Какое вредоносное / шпионское ПО может кто-то поместить в службу, у которой нет собственного процесса на Windows? Я имею в виду сервисы, которые используют svchost.exe, например, так:
Может ли служба следить за моим вводом с клавиатуры? Делать скриншоты? Отправить / получить данные через Интернет? Заражать другие процессы или файлы? Удалить файлы? Убить процессы?
Что такое сервис?
Сервис - это приложение, не больше, не меньше. Преимущество заключается в том, что служба может работать без сеанса пользователя. Это позволяет таким вещам, как базы данных, резервные копии, возможность входа в систему и т.д., Запускаться при необходимости и без входа пользователя.
Что такое свчост?
Согласно Microsoft: «svchost.exe - это общее имя хост-процесса для сервисов, которые запускаются из динамически подключаемых библиотек». Можем ли мы иметь это на английском, пожалуйста?
Некоторое время назад Microsoft начала перемещать всю функциональность из внутренних служб Windows в файлы .dll вместо файлов .exe. С точки зрения программирования это имеет больше смысла для повторного использования ... но проблема в том, что вы не можете запустить файл .dll напрямую из Windows, его нужно загрузить из запущенного исполняемого файла (.exe). Таким образом, процесс svchost.exe родился.
Таким образом, сервис, который использует svchost, просто вызывает .dll и может делать что угодно с правильными учетными данными и / или разрешениями.
Если я правильно помню, существуют вирусы и другие вредоносные программы, которые скрываются за процессом svchost или называют исполняемый файл svchost.exe, чтобы избежать обнаружения.
Один из самых простых способов определить, какие процессы выполняются в svchost, это использовать:
Tweaking.com - инструмент поиска svchost.exe V1.5.0
http://www.tweaking.com/content/page/tweaking_com_svchost_exe_lookup_tool.html
Работает хорошо.
