Was kann ein Dienst unter Windows tun?

10

Welche Art von Malware / Spyware könnte jemand in einen Dienst einbinden, der unter Windows keinen eigenen Prozess hat? Ich meine Dienste, die zum Beispiel svchost.exe verwenden, wie folgt:
Geben Sie hier die Bildbeschreibung ein

Könnte ein Dienst meine Tastatureingabe ausspionieren? Screenshots machen? Daten über das Internet senden / empfangen? Andere Prozesse oder Dateien infizieren? Dateien löschen? Tötungsprozess?

services malware windows-services Forivin
quelle
5
Alles, wofür es programmiert ist. Ein Dienst könnte all die Dinge tun, die Sie erwähnen, wenn er dafür programmiert ist.
Ramhound

Antworten:

18

Was ist ein Service?

Ein Dienst ist eine Anwendung, nicht mehr und nicht weniger. Der Vorteil ist, dass ein Dienst ohne Benutzersitzung ausgeführt werden kann. Auf diese Weise können Datenbanken, Sicherungen, die Möglichkeit zur Anmeldung usw. bei Bedarf und ohne Anmeldung eines Benutzers ausgeführt werden.

Was ist Svchost ?

Laut Microsoft: "svchost.exe ist ein generischer Hostprozessname für Dienste, die aus Bibliotheken mit dynamischen Links ausgeführt werden." Könnten wir das bitte auf Englisch haben?

Vor einiger Zeit hat Microsoft damit begonnen, alle Funktionen von internen Windows-Diensten in DLL-Dateien anstelle von EXE-Dateien zu verschieben. Aus Programmiersicht ist dies für die Wiederverwendbarkeit sinnvoller. Das Problem ist jedoch, dass Sie eine DLL-Datei nicht direkt unter Windows starten können. Sie muss von einer laufenden ausführbaren Datei (.exe) geladen werden. So wurde der Prozess svchost.exe geboren.

Im Wesentlichen ruft ein Dienst, der svchost verwendet, nur eine DLL auf und kann mit den richtigen Anmeldeinformationen und / oder Berechtigungen so ziemlich alles tun .

Wenn ich mich richtig erinnere, gibt es Viren und andere Malware, die sich hinter dem svchost-Prozess verstecken oder die ausführbare Datei svchost.exe benennen, um eine Erkennung zu vermeiden.

Keltari
quelle
1
Um noch einen Schritt weiter zu gehen: Wenn Sie Process Explorer verwenden und den Mauszeiger über die svchost-Instanz bewegen, werden Sie darüber informiert, welche Dienste gehostet werden .
Scott Chamberlain
@ScottChamberlain Sie können auch mit der rechten Maustaste und Go to Service(s)im integrierten Task-Manager auf jede neuere Version von Windows (Vista +) klicken .
Bob
1
Der Windows 8 Taskmanager macht es noch einfacher: 250kb.de/u/140522/p/ZFP0uJMz2yVJ.png
Forivin
@Forivin Ich bin gespannt, wie du es geschafft hast, ein PNG nach oben zu laden . Und wie Sie es geschafft haben, das auf 1,5 MB zu bringen - ein PNG mit meist flachen Farben sollte ein paar hundert kB, max.
Bob
@ Bob Du bist eigentlich nicht der erste, der mich das fragt. : p Ich bin zu faul, um herauszufinden, warum, aber ich habe diesen Screenshot mit AltGr + Print erstellt (lädt einen Bitmap-Screenshot des aktuellen Fensters in die Zwischenablage) und ihn dann mit Paint in eine leere PNG-Datei eingefügt Es ist immer noch eine Bitmap (mit einer falschen Erweiterung). Das würde die Größe und vielleicht auch die Aufwärtsbelastung erklären. ;)
Forivin