Skip to content

Co może zrobić usługa w systemie Windows?

22 de lipiec de 2021
whatcanaservicedoonwindows00

Jeśli otworzysz Menedżera zadań lub Eksploratora procesów w swoim systemie, zobaczysz wiele uruchomionych usług. Ale jaki wpływ może mieć usługa na Twój system, zwłaszcza jeśli jest „uszkodzony” przez złośliwe oprogramowanie? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedzi na pytania ciekawskich czytelników.

Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser — pododdziału Stack Exchange, społecznościowej grupy witryn internetowych z pytaniami i odpowiedziami.

Pytanie

Czytnik SuperUser Forivin chce wiedzieć, jak duży wpływ może mieć usługa na system Windows, zwłaszcza jeśli jest „uszkodzona” przez złośliwe oprogramowanie:

Jakiego rodzaju złośliwe oprogramowanie/spyware ktoś może umieścić w usłudze, która nie ma własnego procesu w systemie Windows? Mam na myśli usługi, które używają na przykład svchost.exe, takie jak:

1626969115 638 Co moze zrobic usluga w systemie Windows

Czy usługa może szpiegować moją klawiaturę? Zrobić zrzuty ekranu? Wysyłać i/lub odbierać dane przez Internet? Zainfekować inne procesy lub pliki? Usuń pliki? Zabić procesy?

Jaki wpływ może mieć usługa na instalację systemu Windows? Czy są jakieś ograniczenia co do tego, co może zrobić „uszkodzona” usługa złośliwego oprogramowania?

Odpowiedź

Współtwórca SuperUser Keltari ma dla nas odpowiedź:

Czym jest usługa?

Usługa to aplikacja, ni mniej ni więcej. Zaletą jest to, że usługa może działać bez sesji użytkownika. Pozwala to na uruchamianie takich rzeczy jak bazy danych, kopie zapasowe, możliwość logowania itp. w razie potrzeby i bez zalogowania użytkownika.

Co to jest svchost?

  • Według Microsoftu: „svchost.exe to ogólna nazwa procesu hosta dla usług uruchamianych z bibliotek dołączanych dynamicznie”. Czy możemy prosić o to po angielsku?
  • Jakiś czas temu Microsoft zaczął przenosić całą funkcjonalność z wewnętrznych usług systemu Windows do plików .dll zamiast .exe. Z perspektywy programowania ma to większy sens w przypadku ponownego użycia… ale problem polega na tym, że nie można uruchomić pliku .dll bezpośrednio z systemu Windows, musi on zostać załadowany z uruchomionego pliku wykonywalnego (exe). W ten sposób narodził się proces svchost.exe.

Zasadniczo usługa, która używa svchost, po prostu wywołuje plik .dll i może wiele zrobić byle co z odpowiednimi poświadczeniami i/lub uprawnieniami.

Jeśli dobrze pamiętam, istnieją wirusy i inne złośliwe oprogramowanie, które ukrywają się za procesem svchost lub nazywają plik wykonywalny svchost.exe, aby uniknąć wykrycia.

Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych doświadczonych technologicznie użytkowników Stack Exchange? Sprawdź pełny wątek dyskusji tutaj.

Czy ten post był pomocny?