If-Koubou

Co może zrobić usługa w systemie Windows?

Co może zrobić usługa w systemie Windows? (Jak)

Jeśli otworzysz Menedżera zadań lub Eksploratora procesów w systemie, zobaczysz wiele usług działających. Ale jak duży wpływ na system może mieć usługa, zwłaszcza jeśli jest ona "uszkodzona" przez złośliwe oprogramowanie? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedzi na ciekawe pytania czytelnika.

Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, społecznościowego forum z pytaniami i odpowiedziami.

Pytanie

Czytnik SuperUser Forivin chce wiedzieć, jaki wpływ może mieć usługa na system Windows, zwłaszcza jeśli jest "uszkodzony" przez złośliwe oprogramowanie:

Jakie złośliwe oprogramowanie / spyware może ktoś umieścić w usłudze, która nie ma własnego procesu w systemie Windows? Mam na myśli usługi korzystające z svchost.exe, na przykład:

Czy na moim wejściu z klawiatury mógłbym szpiegować usługę? Zrób zrzuty ekranu? Wysyłaj i / lub odbieraj dane przez Internet? Infekować inne procesy lub pliki? Usuń pliki? Zabijać procesy?

Jaki wpływ może mieć usługa na instalację systemu Windows? Czy istnieją ograniczenia dotyczące tego, co może zrobić "uszkodzona" usługa złośliwego oprogramowania?

Odpowiedź

Pomocnik SuperUser Keltari ma dla nas odpowiedź:

Czym jest usługa?

Usługa to aplikacja, nie więcej, nie mniej. Zaletą jest to, że usługa może działać bez sesji użytkownika. Dzięki temu takie rzeczy jak bazy danych, kopie zapasowe, możliwość logowania itp. Mogą być uruchamiane w razie potrzeby i bez zalogowanego użytkownika.

Co to jest svchost?

  • Według Microsoftu: "svchost.exe to ogólna nazwa procesu hosta dla usług uruchamianych z bibliotek dołączanych dynamicznie". Czy możemy to zrobić po angielsku?
  • Jakiś czas temu Microsoft zaczął przenosić całą funkcjonalność z wewnętrznych usług Windows do plików .dll zamiast plików .exe. Z perspektywy programowania ma to więcej sensu dla ponownego wykorzystania ... ale problem polega na tym, że nie można uruchomić pliku .dll bezpośrednio z systemu Windows, musi on zostać załadowany z działającego pliku wykonywalnego (exe). Tak narodził się proces svchost.exe.

Tak więc, zasadniczo usługa, która używa svchost, po prostu wywołuje .dll i może zrobić całkiem dużo byle co z odpowiednimi poświadczeniami i / lub uprawnieniami.

Jeśli dobrze pamiętam, istnieją wirusy i inne złośliwe oprogramowanie ukrywające się za procesem svchost lub nazwa pliku wykonywalnego svchost.exe, aby uniknąć wykrycia.

Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.