24Aug
Si vous ouvrez le Gestionnaire des tâches ou Process Explorer sur votre système, vous verrez de nombreux services en cours d'exécution. Mais quel impact un service peut-il avoir sur votre système, en particulier s'il est «corrompu» par un logiciel malveillant? Le SuperUser Q & A d'aujourd'hui a les réponses aux questions d'un lecteur curieux.
Question d'aujourd'hui &La session de réponse nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web Q & A.
La question
SuperUser lecteur Forivin veut savoir quel impact un service peut avoir sur un système Windows, en particulier s'il est «corrompu» par un logiciel malveillant:
Quel genre de logiciel malveillant / spyware quelqu'un pourrait mettre dans un service qui ne possède pas son propreprocessus sur Windows? Je veux dire les services qui utilisent svchost.exe par exemple, comme ceci:
Pourrait un service espion sur mon entrée de clavier? Prendre des captures d'écran? Envoyer et / ou recevoir des données sur Internet? Infecté d'autres processus ou fichiers? Supprimer les fichiers? Tuer les processus?
Quel impact un service peut-il avoir sur une installation Windows? Y a-t-il des limites à ce que pourrait faire un service «corrompu» de logiciels malveillants?
La réponse
SuperUser contributeur Keltari a la réponse pour nous:
Qu'est-ce qu'un service?
Un service est une application, pas plus, pas moins. L'avantage est qu'un service peut fonctionner sans session utilisateur. Cela permet à des choses telles que des bases de données, des sauvegardes, la possibilité de se connecter, etc. de s'exécuter en cas de besoin et sans qu'un utilisateur ne se connecte.
Qu'est-ce que svchost?
- Selon Microsoft: "svchost.exe est un nom de processus hôte générique pour les services qui s'exécutent à partir de bibliothèques de liens dynamiques".Pourrions-nous avoir cela en anglais s'il vous plaît?
- Il y a quelque temps, Microsoft a commencé à déplacer toutes les fonctionnalités des services Windows internes vers des fichiers. dll au lieu des fichiers. exe. Du point de vue de la programmation, cela a plus de sens pour la réutilisabilité. .. mais le problème est que vous ne pouvez pas lancer un fichier. dll directement depuis Windows, il doit être chargé à partir d'un exécutable en cours d'exécution( exe).Ainsi, le processus svchost.exe est né.
Donc, essentiellement un service qui utilise svchost ne fait qu'appeler un. dll et peut faire à peu près tout avec les bonnes informations d'identification et / ou autorisations.
Si je me souviens bien, il y a des virus et d'autres logiciels malveillants qui se cachent derrière le processus svchost, ou nommez l'exécutable svchost.exe pour éviter la détection.
Avoir quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.