Ko var darīt pakalpojumā Windows?
Ja savā sistēmā atverat uzdevumu pārvaldnieku vai procesa pārlūkprogrammu, jūs redzēsiet daudzus pakalpojumus. Bet cik liela ietekme var būt pakalpojumam jūsu sistēmā, it īpaši, ja ļaunprātīga programmatūra to ir bojājusi? Šodienas SuperUser Q&A ziņojumam ir atbildes uz ziņkārīgiem lasītāja jautājumiem.
Šodienas jautājumu un atbilžu sesija mums dod pieklājību no SuperUser-Stack Exchange apakšnodaļas, kas ir kopienas orientēta Q & A tīmekļa vietņu grupa.
Jautājums
SuperUser lasītājs Forivin vēlas uzzināt, cik lielā mērā pakalpojumam var būt ietekme uz Windows sistēmu, it īpaši, ja ļaunprātīga programmatūra to ir bojājusi:
Kādu ļaunprātīgu programmatūru / spiegprogrammatūru kāds varētu nodot pakalpojumā, kuram nav sava procesa Windows sistēmā? Es domāju pakalpojumus, kas izmanto, piemēram, svchost.exe, piemēram:
Vai pakalpojuma spiegu var manā tastatūras ievadā? Veikt ekrānšāviņus? Vai sūtīt un / vai saņemt datus internetā? Vai inficēt citus procesus vai failus? Vai dzēst failus? Nogalināt procesus?
Cik liela ietekme varētu būt pakalpojumam Windows instalācijā? Vai ir kādi ierobežojumi, ko varētu darīt ļaunprātīgas programmatūras „bojāts” pakalpojums?
Atbilde
SuperUser ieguldītājam Keltarim ir atbilde:
Kas ir pakalpojums?
Pakalpojums ir lietojumprogramma, ne vairāk, ne mazāk. Priekšrocība ir tā, ka pakalpojums var darboties bez lietotāja sesijas. Tas ļauj lietām, piemēram, datu bāzēm, dublējumkopijām, spējai pieteikties utt., Lai palaistu, ja nepieciešams un bez lietotāja pieslēgšanās.
Kas ir svchost?
- Saskaņā ar Microsoft: „svchost.exe ir vispārējs resursdatora procesa nosaukums pakalpojumiem, kas darbojas no dinamiskās saites bibliotēkām”. Vai mēs to varētu lūgt angļu valodā?
- Pirms kāda laika Microsoft sāka pārvietot visas funkcijas no iekšējiem Windows pakalpojumiem uz .dll failiem, nevis .exe failus. No programmēšanas viedokļa, tas ir vairāk jēga atkārtotai izmantošanai ... bet problēma ir tā, ka jūs nevarat sākt .dll failu tieši no Windows, tas ir jāielādē no darbojošās izpildāmās (exe). Tādējādi svchost.exe process ir dzimis.
Tātad būtībā pakalpojums, kas izmanto svchost, ir tikai .dll zvanīšana un var darīt diezgan daudz neko ar pareizajiem akreditācijas datiem un / vai atļaujām.
Ja es atceros pareizi, ir vīrusi un citas ļaunprātīgas programmatūras, kas slēpjas aiz svchost procesa vai nosauc izpildāmo svchost.exe, lai izvairītos no atklāšanas.
Vai kaut kas jāpievieno paskaidrojumam? Skaņas izslēgšana komentāros. Vai vēlaties lasīt vairāk atbildes no citiem tehnoloģiju gudriem Stack Exchange lietotājiem? Apskatiet pilnu diskusiju pavedienu šeit.