在Process Explorer中双击打开进程ID为1376的svchost进程的属性对话框，并切换到“Services”标签页，可以看到其下有“DCOM Server Process Launcher”服务，该服务以“rpcss.dll”的形式运行在svchost进程中，如附图所示。

　　盆盆评注 “Remote Procedure Call (RPC)”服务也是以“rpcss.dll”的形式运行在另外一个svchost进程中。但是两个并没有服务共享同一个svchost进程，这是因为这两个服务的启动帐户不同。“Remote Procedure Call (RPC)”服务的启动帐户是NETWORK SERVICE，而“DCOM Server Process Launcher”服务的启动帐户是SYSTEM。

　　接下来在Process Monitor中，我们可以看到dllhost进程检查HKCR\AppID\{9DF523B0-A6C0-4EA9-B5F1-F4565C3AC8B8}注册表键值，如附图所示。以便知道应该加载“Timedate.cpl”注册表组件，并最终允许修改系统时间。