Нужна технология запуска выполняемого кода через svchost
 

Нужна технология запуска выполняемого кода через svchost. Как служб и как обычных процессов, dll и exe-шников. Вот здесь есть кое что, но только как запускаются службы оформленные в dll файлах посредством svchost. support.microsoft.com/kb/314056
Имеется в виду не программирование.

svchost предназначен исключительно для запуска служб Windows. Другое использование не предусмотрено.

Да нет. Я вижу по логам McAfee что через svchost запускаются программы не Windows: модуль программы сканирования (hpqcxs08.dll), модули MS SQL (sqlmap70.dll, ssnetlib.dll, ums.dll), модуль Microsoft Firewall Client (Microsoft Firewall Client Windows Sockets 2 Service Provider - FwcWsp.dll).
Правило Access Protection McAfee - "Prevent svchost executing non-Windows executables"
- говорит о том, что McAfee собирается блокировать запуск не Windows исполняемых модулей через svchost. И он это - делает, это видно и по логам и по тому, что эти проги - не работают.
Возможно и не предусмотрено создателями Windows XP такое использование svchost, но реально - его пользуют и по полной программе.
Вот скрин - на котором видно, что под svchost вообще exe-шник работает - это компононт McAfee. Картинка - ProccessExplorer8.4

Ключевое слово здесь служба. Служба Windows вовсе не обязательно входит в изначальный пакет ОС. И даже вовсе не обязательно выпущена M$. Это просто специальное написанное приложение.
И каким боком Макэффи относится к теме топика? :idontnow:
Разве что тем, что является примером службы Windows...

В данном случае, я использую ее как программу - для мониторига запуска не Windows компонент через svchost. Модуль Access Protection не использует баз сигнатур вредоносного кода, это утилита, которая могла быть бы написана для самостоятельного применения.

Конечно ДА, но разве я это оспариваю? Все, перечисленные мной dll не вызываются отсюда:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
(В оснастке Службы - services.msc - нет служб, которые бы вызывались из этих dll)
Они не описаны как службы. Откуда идет их вызов - пока не знаю. В реестре их - нет.

dim99, службы вовсе не обязаны отображаться в оснастке "Службы". В качестве служб, к примеру, функционируют многие драйверы устройств (тот же модуль сканирования).
Вызываются. Возможно косвенно, но именно отсюда
Мокрософт SQL Server и Брандмауэр Windows - есть. Драйвер сканера действительно скорее всего отсутствует в списке служб.

Хорошо, а где должны? Как посмотреть?
Ну да, они описаны здесь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services но Службами, наверно, не являются.
Как я понимаю, есть Службы, Службы-драйверы, чисто-драйверы :)
Хорошо, но мне нужно увидеть ОТКУДА, я хочу отследить всю цепочку вызова.

SQL Server да он есть, но вызов идет exe-шников, только. Ни каких svchost. А Access Protection логирует и блокирует вызов именно через svchost - компонентов M$ SQL - sqlmap70.dll, ssnetlib.dll, ums.dll. Конечно, можно все списать на ошибки McAfee, но я почему то
уверен, что тут все правильно.
Насчет dll -FwcWsp.dll (Microsoft Firewall Client Windows Sockets 2 Service Provider ) я ошибся. Ее вызов есть в реестре, случай службы-драйвера.
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_C atalog5\Catalog_Entries\000000000001
Но запуск же не через svchost, она как дрв запускается. Хотя в Диспетчер Устройств - Вид- Показать скрытые - Устройства не PnP - ее нет.
Ее описание во вложении.

Кроме Process Explorer, в состав Windows Sysinternals Suite входят и другие полезные программы... Например http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx и http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Стандартными средствами список дрв. и служб
sc query type= driver
sc query type= service

Или перечисление и дрв. и служб в одном списке
sc query state= all