24Aug
Se abrir o Gerenciador de Tarefas ou o Process Explorer no seu sistema, você verá muitos serviços em execução. Mas quanto de um impacto pode ter um serviço no seu sistema, especialmente se ele for "corrompido" pelo malware? O Super-usuário Q & A publica as respostas às perguntas de um leitor curioso.
Today's Question &A sessão de atendimento chega a cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento comunitário de sites Q & A.
A pergunta
Leitor de superutilizador Forivin quer saber quanto impacto um serviço pode ter em um sistema Windows, especialmente se for "corrompido" por malware:
Que tipo de malware / spyware alguém poderia colocar em um serviço que não possui o seu próprioprocesso no Windows? Quero dizer, serviços que usam o svchost.exe, por exemplo, como este:
Um serviço poderia espiar a entrada do teclado? Tire screenshots? Enviar e / ou receber dados pela internet? Infectar outros processos ou arquivos? Deletar arquivos? Processos de matar?
Quanto impacto poderia ter um serviço em uma instalação do Windows? Existem limites para o que um serviço "corrupto" de malware poderia fazer?
A Resposta O contribuidor
SuperUser Keltari tem a resposta para nós:
O que é um serviço?
Um serviço é uma aplicação, não mais, nem menos. A vantagem é que um serviço pode ser executado sem uma sessão de usuário. Isso permite que coisas como bancos de dados, backups, capacidade de login, etc. para serem executados quando necessário e sem um usuário conectado.
O que é o svchost?
- De acordo com a Microsoft: "svchost.exe é um nome de processo de host genérico para serviços que são executados a partir de bibliotecas de vínculo dinâmico".Podemos ter isso em inglês, por favor?
- Há algum tempo, a Microsoft começou a mover toda a funcionalidade dos serviços internos do Windows para arquivos. dll em vez de arquivos. exe. Do ponto de vista da programação, isso faz mais sentido para a reutilização. .. Mas o problema é que você não pode iniciar um arquivo. dll diretamente do Windows, ele deve ser carregado a partir de um executável executável( exe).Assim, o processo svchost.exe nasceu.
Então, essencialmente, um serviço que usa svchost é apenas chamando um. dll e pode fazer muito qualquer coisa com as credenciais e / ou permissões corretas.
Se eu lembro corretamente, existem vírus e outros malwares que escondem atrás do processo svchost, ou nomeiam o svchost.exe executável para evitar a detecção.
Tem alguma coisa a adicionar à explicação? Som desligado nos comentários. Deseja ler mais respostas de outros usuários Tech-savvy Stack Exchange? Confira o tópico de discussão completo aqui.