บริการทำอะไรได้บ้างบน Windows

ใครบ้างที่สามารถนำมัลแวร์ / สปายแวร์ประเภทใดมาสู่บริการที่ไม่มีกระบวนการเป็นของตัวเองบน windows ฉันหมายถึงบริการที่ใช้ svchost.exe เช่นนี้
ป้อนคำอธิบายรูปภาพที่นี่

เซอร์วิสสายลับบนอินพุตคีย์บอร์ดของฉันได้หรือไม่? ถ่ายภาพหน้าจอไหม ส่ง / รับข้อมูลผ่านอินเทอร์เน็ต? ติดเชื้อกระบวนการหรือไฟล์อื่น ๆ ? ลบไฟล์? ฆ่ากระบวนการหรือไม่

services malware windows-services

— Forivin
แหล่งที่มา

ทุกสิ่งที่ตั้งโปรแกรมไว้ให้ทำ บริการสามารถทำทุกสิ่งที่คุณพูดถึงหากบริการนั้นถูกตั้งโปรแกรมไว้

— Ramhound

บริการคืออะไร?

บริการคือแอปพลิเคชันไม่มากไม่น้อย ข้อดีคือบริการสามารถทำงานได้โดยไม่ต้องมีเซสชันผู้ใช้ สิ่งนี้อนุญาตให้มีสิ่งต่าง ๆ เช่นฐานข้อมูลการสำรองข้อมูลความสามารถในการเข้าสู่ระบบ ฯลฯ สามารถทำงานได้เมื่อจำเป็นและไม่ต้องมีผู้ใช้ที่ล็อกอิน

svchostคืออะไร

อ้างอิงจาก Microsoft:“ svchost.exe เป็นชื่อกระบวนการโฮสต์ทั่วไปสำหรับบริการที่เรียกใช้จากไลบรารีการเชื่อมโยงแบบไดนามิก” เราขอเป็นภาษาอังกฤษได้มั้ย

เมื่อไม่นานมานี้ Microsoft เริ่มย้ายการทำงานทั้งหมดจากบริการ Windows ภายในไปยังไฟล์. dll แทนที่จะเป็นไฟล์. exe จากมุมมองการเขียนโปรแกรมสิ่งนี้เหมาะสมสำหรับการใช้ซ้ำ ... แต่ปัญหาคือคุณไม่สามารถเปิดไฟล์. dll โดยตรงจาก Windows จะต้องโหลดขึ้นมาจาก executable (.exe) ดังนั้นกระบวนการ svchost.exe เกิด

ดังนั้นโดยพื้นฐานแล้วบริการที่ใช้ svchost นั้นเป็นเพียงการเรียก. dll และสามารถทำสิ่งใดก็ได้ที่มีสิทธิและ / หรือสิทธิ์ที่เหมาะสม

หากฉันจำอย่างถูกต้องมีไวรัสและมัลแวร์อื่น ๆ ที่ซ่อนอยู่หลังกระบวนการ svchost หรือตั้งชื่อ svchost.exe ที่ปฏิบัติการได้เพื่อหลีกเลี่ยงการตรวจจับ

— Keltari
แหล่งที่มา

หากต้องการใช้อีกหนึ่งขั้นตอนหากคุณใช้Process Explorerและคุณวางเมาส์เหนืออินสแตนซ์ svchost ระบบจะแจ้งให้คุณทราบว่าบริการใดที่โฮสต์อยู่

— Scott Chamberlain

@ScottChamberlain คุณสามารถคลิกขวาและGo to Service(s)ในตัวจัดการงานที่ติดตั้งมากับ Windows รุ่นใดก็ได้ (Vista +)

— Bob

Taskmanager ของ Windows 8 ทำให้ง่ายยิ่งขึ้น: 250kb.de/u/140522/p/ZFP0uJMz2yVJ.png

— Forivin

@Forivin ฉันอยากรู้ว่าคุณจะจัดการ PNG ให้โหลดได้อย่างไรในทิศทางที่สูงขึ้น และวิธีที่คุณจัดการเพื่อให้ได้ถึง 1.5 MB - PNG ของสีแบนส่วนใหญ่เช่นนั้นควรเป็นสองร้อย kB, สูงสุด

— Bob

@Bob คุณไม่ใช่คนแรกที่ถามฉัน : p ฉันขี้เกียจเกินไปที่จะหาสาเหตุ แต่ฉันสร้างภาพหน้าจอนี้โดยใช้ AltGr + Print (โหลดบิตแมปสกรีนช็อตของหน้าต่างปัจจุบันในคลิปบอร์ด) จากนั้นวางลงในไฟล์ png ที่ว่างโดยใช้ Paint ดังนั้นจึงเป็นไปได้ว่า มันยังคงเป็นบิตแมป (ที่มีนามสกุลไม่ถูกต้อง) นั่นจะอธิบายขนาดและอาจเพิ่มขึ้นไปอีก ;)

— Forivin

หนึ่งในวิธีที่ง่ายที่สุดในการพิจารณาว่าโปรเซสใดกำลังทำงานภายใต้ svchost คือการใช้:

Tweaking.com - เครื่องมือค้นหา svchost.exe V1.5.0

http://www.tweaking.com/content/page/tweaking_com_svchost_exe_lookup_tool.html

ทำได้ดี.

— เวย์นเดอริก
แหล่งที่มา