Если вы откроете диспетчер задач или Process Explorer в своей системе, вы увидите, что многие службы работают. Но какое влияние служба может оказать на вашу систему, особенно если она «повреждена» вредоносным ПО? Сегодняшний пост SuperUser Q & A содержит ответы на вопросы любопытных читателей.
Сегодняшняя сессия Вопросов и Ответов приходит к нам благодаря SuperUser — подразделению Stack Exchange, объединенной группой веб-сайтов вопросов и ответов.
Вопрос
Читатель SuperUser Forivin хочет знать, какое влияние служба может оказать на систему Windows, особенно если она «повреждена» вредоносным ПО:
Какое вредоносное / шпионское ПО можно было бы поместить в службу, не имеющую собственного процесса в Windows? Я имею в виду сервисы, которые используют svchost.exe, например, так:
Может ли служба следить за моим вводом с клавиатуры? Делать скриншоты? Отправлять и / или получать данные через Интернет? Заражать другие процессы или файлы? Удалить файлы? Убить процессы?
Какое влияние может оказать служба на установку Windows? Есть ли какие-либо ограничения на то, что может сделать вредоносная «испорченная» служба?
Ответ
Участник SuperUser Келтари имеет ответ для нас:
Что такое сервис?
Сервис — это приложение, не больше, не меньше. Преимущество заключается в том, что служба может работать без сеанса пользователя. Это позволяет таким вещам, как базы данных, резервные копии, возможность входа в систему и т. Д., Запускаться при необходимости и без входа пользователя.
Что такое свчост ?
- Согласно Microsoft: «svchost.exe — это общее имя хост-процесса для сервисов, которые запускаются из динамически подключаемых библиотек». Можем ли мы иметь это на английском языке, пожалуйста?
- Некоторое время назад Microsoft начала перемещать всю функциональность из внутренних служб Windows в файлы .dll вместо файлов .exe. С точки зрения программирования, это имеет больше смысла для повторного использования … но проблема в том, что вы не можете запустить файл .dll напрямую из Windows, его нужно загрузить из запущенного исполняемого файла (exe). Таким образом, процесс svchost.exe родился.
Таким образом, сервис, который использует svchost, просто вызывает .dll и может делать что угодно с правильными учетными данными и / или разрешениями.
Если я правильно помню, существуют вирусы и другие вредоносные программы, которые скрываются за процессом svchost или называют исполняемый файл svchost.exe, чтобы избежать обнаружения.
Есть что добавить к объяснению? Отключить звук в комментариях. Хотите узнать больше ответов от других опытных пользователей Stack Exchange? Ознакомьтесь с полной веткой обсуждения здесь .