Một dịch vụ có thể làm gì trên Windows?

Loại phần mềm độc hại / phần mềm gián điệp nào đó mà ai đó có thể đưa vào một dịch vụ không có quy trình riêng trên windows? Ý tôi là các dịch vụ sử dụng svchost.exe chẳng hạn, như thế này:
nhập mô tả hình ảnh ở đây

Một dịch vụ gián điệp trên đầu vào bàn phím của tôi? Chụp ảnh màn hình? Gửi / nhận dữ liệu qua internet? Lây nhiễm các quá trình hoặc tập tin khác? Xóa các tập tin? Giết quá trình?

services malware windows-services

— Forivin
nguồn

Bất cứ điều gì nó được lập trình để làm. Một dịch vụ có thể làm tất cả những điều bạn đề cập nếu được lập trình để làm như vậy.

— Ramhound

Dịch vụ là gì?

Một dịch vụ là một ứng dụng, không hơn, không kém. Ưu điểm là một dịch vụ có thể chạy mà không cần phiên người dùng. Điều này cho phép những thứ như cơ sở dữ liệu, sao lưu, khả năng đăng nhập, vv để chạy khi cần và không cần người dùng đăng nhập.

Svchost là gì?

Theo Microsoft:, Svchost.exe là tên quy trình lưu trữ chung cho các dịch vụ chạy từ thư viện liên kết động. Chúng tôi có thể có điều đó bằng tiếng Anh không?

Cách đây một thời gian, Microsoft đã bắt đầu chuyển tất cả các chức năng từ các dịch vụ Windows nội bộ sang các tệp dll thay vì các tệp .exe. Từ góc độ lập trình, điều này có ý nghĩa hơn đối với khả năng tái sử dụng, nhưng vấn đề là bạn không thể khởi chạy một tập tin trực tiếp từ Windows, nó phải được tải lên từ một tệp thực thi đang chạy (.exe). Do đó, quá trình svchost.exe đã ra đời.

Vì vậy, về cơ bản, một dịch vụ sử dụng svchost chỉ là gọi một dll và có thể thực hiện khá nhiều thứ với thông tin xác thực và / hoặc quyền.

Nếu tôi nhớ chính xác, có vi-rút và phần mềm độc hại khác ẩn đằng sau quá trình svchost hoặc đặt tên cho Svchost.exe có thể thực thi để tránh bị phát hiện.

— Keltari
nguồn

Để tiến thêm một bước nữa, nếu bạn sử dụng Process Explorer và bạn di chuột qua đối tượng svchost, nó sẽ cho bạn biết dịch vụ nào đang lưu trữ .

— Scott Chamberlain

@ScottChamberlain Bạn cũng có thể chỉ cần nhấp chuột phải và Go to Service(s)trong trình quản lý tác vụ tích hợp trên mọi phiên bản Windows gần đây (Vista +).

— Bob

Windows 8 TASkmanager giúp việc này trở nên dễ dàng hơn: 250kb.de/u/140522/p/ZFP0uJMz2yVJ.png

— Forivin

@Forivin Tôi tò mò làm thế nào bạn quản lý để có được một PNG để tải theo hướng lên . Và làm thế nào bạn quản lý để có được điều đó đến 1,5 MB - một PNG có màu chủ yếu bằng phẳng như thế sẽ là vài trăm kB, tối đa.

— Bob

@Bob Bạn thực sự không phải là người đầu tiên hỏi tôi điều đó. : p Tôi quá lười để tìm hiểu lý do tại sao, nhưng tôi đã tạo ảnh chụp màn hình này bằng cách sử dụng AltGr + Print (tải ảnh chụp màn hình bitmap của cửa sổ hiện tại trong bảng tạm) và sau đó dán vào tệp png trống bằng Paint, vì vậy có khả năng đó là nó vẫn là một bitmap (có phần mở rộng sai). Điều đó sẽ giải thích kích thước và cũng có thể tải lên. ;)

— Forivin

Một trong những cách dễ nhất để xác định quy trình nào đang chạy trong svchost là sử dụng:

Tweaking.com - Công cụ tra cứu svchost.exe v1.5.0

http://www.tweaking.com/content/page/tweaking_com_svchost_exe_lookup_tool.html

Hoạt động tốt.

— Wayne De Rick
nguồn