Mitä palvelu voi tehdä Windowsissa?
Jos avaat Task Manager- tai Process Explorer -ohjelman, näet monia palveluita. Mutta kuinka paljon vaikutus voi olla palveluun järjestelmässäsi, varsinkin jos se on vahingoittunut haittaohjelmalla? Tämän päivän SuperUser Q&A -postissa on vastaukset utelias lukijan kysymyksiin.
Nykypäivän Kysymys- ja vastaus -istunto tulee meille suotuisasti SuperUserin - Stack Exchange -alueen, yhteisöpohjaisen Q & A-sivustojen ryhmittymän - kautta..
Kysymys
SuperUser-lukija Forivin haluaa tietää, kuinka paljon palvelu voi vaikuttaa Windows-järjestelmään, varsinkin jos haittaohjelma on "vioittunut":
Millaisia haittaohjelmia / vakoiluohjelmia joku voisi käyttää palveluun, jolla ei ole omaa prosessia Windowsissa? Tarkoitan esimerkiksi palveluita, jotka käyttävät svchost.exe-tiedostoa, kuten tämä:
Voisiko palvelupyyntö näppäimistössä syöttää? Ota kuvakaappauksia? Lähetä ja / tai vastaanota tietoja Internetissä? Tartuttaa muita prosesseja tai tiedostoja? Poista tiedostot? Tappaa prosessit?
Kuinka paljon palvelu voi vaikuttaa Windows-asennukseen? Onko haittaohjelman "korruptoituneella" palvelulla mitään rajoituksia?
Vastaus
SuperUserin avustaja Keltarilla on vastaus meille:
Mikä on palvelu?
Palvelu on sovellus, ei enempää, ei vähempää. Etuna on, että palvelu voi toimia ilman käyttäjäistuntoa. Tämä mahdollistaa esimerkiksi tietokantojen, varmuuskopioiden, kirjautumiskyvyn jne. Suorittamisen tarvittaessa ja ilman käyttäjän kirjautumista.
Mikä on svchost?
- Microsoftin mukaan “svchost.exe on yleinen isäntäprosessin nimi palveluille, jotka toimivat dynaamisista linkkikirjastoista”. Voisimmeko saada sen englanniksi??
- Jonkin aikaa sitten Microsoft alkoi siirtää kaikkia sisäisten Windows-palveluiden toimintoja .dll-tiedostoihin .exe-tiedostojen sijaan. Ohjelmoinnin näkökulmasta tämä on järkevämpää uudelleenkäytettävyyden kannalta ... mutta ongelma on, että et voi käynnistää .dll-tiedostoa suoraan Windowsista, vaan se on ladattava käynnissä olevasta suoritettavasta (exe). Näin syntyi svchost.exe-prosessi.
Niinpä, pohjimmiltaan svchostia käyttävä palvelu kutsuu vain .dll: ää ja voi tehdä melko paljon mitä vain oikeat valtuudet ja / tai oikeudet.
Jos muistan oikein, on viruksia ja muita haittaohjelmia, jotka piiloutuvat svchost-prosessin taakse, tai nimeää suoritettavan svchost.exe-tiedoston, jotta vältetään havaitseminen.
Onko jotain lisättävää selitykseen? Ääni pois kommenteista. Haluatko lukea lisää vastauksia muilta tech-savvy Stack Exchange -käyttäjiltä? Tutustu koko keskusteluketjuun täällä.