Що може зробити служба в Windows?

Яке саме зловмисне / шпигунське програмне забезпечення може хтось поставити в службу, яка не має власного процесу на Windows? Я маю на увазі сервіси, які використовують svchost.exe, наприклад, наприклад:
введіть тут опис зображення

Чи може служба шпигуна на моїй клавіатурі? Зробити скріншоти? Надсилання / отримання даних через Інтернет? Заразити інші процеси чи файли? Видалити файли? Вбивати процеси?

services malware windows-services

— Форивін
джерело

Все, що було запрограмовано. Служба може зробити все, що ви згадуєте, якби її запрограмували на це.

— Рамхаунд

Що таке послуга?

Послуга - це додаток, ні більше, ні менше. Перевага полягає в тому, що сервіс може працювати без користувацького сеансу. Це дозволяє такі речі, як бази даних, резервне копіювання, можливість входу в систему і т.д., запускатись за потреби та без входу користувача.

Що таке svchost ?

За даними Microsoft: "svchost.exe - це загальне ім'я хостового процесу для служб, що запускаються з бібліотек динамічного зв'язку". Чи можемо ми мати це англійською мовою?

Деякий час тому Microsoft почала переміщувати всю функціональність із внутрішніх служб Windows у файли .dll замість файлів .exe. З точки зору програмування це має більше сенсу для повторного використання ... але проблема полягає в тому, що ви не можете запустити .dll файл безпосередньо з Windows, його потрібно завантажити з запущеного виконуваного файлу (.exe). Таким чином народився процес svchost.exe.

Отже, сервіс, який використовує svchost, просто викликає .dll і може робити майже все, що потрібно, з потрібними обліковими записами та / або дозволами.

Якщо я добре пам’ятаю, є віруси та інша шкідлива програма, яка ховається за процесом svchost або називає виконуваний файл svchost.exe, щоб уникнути виявлення.

— Кельтарі
джерело

Щоб зробити це ще на крок далі, якщо ви користуєтеся процесором Explorer і наведіть на нього курсор на екземпляр svchost, він підкаже, які послуги він розміщує .

— Скотт Чемберлен

@ScottChamberlain Ви також можете просто клацнути правою кнопкою миші та Go to Service(s)у вбудованому менеджері завдань у будь-якій останній версії Windows (Vista +).

— Боб

Windows 8 Taskmanager робить це ще простіше: 250kb.de/u/140522/p/ZFP0uJMz2yVJ.png

— Forivin

@Forivin Мені цікаво, як вам вдалося отримати PNG для завантаження у напрямку вгору . І як вам вдалося отримати це до 1,5 Мб - PNG здебільшого плоских кольорів, таких, як це повинно бути кілька сотень кБ, макс.

— Боб

@Bob Ти насправді не перший, хто мене це запитав. : p Я лінивий, щоб дізнатися чому, але я створив цей скріншот за допомогою AltGr + Print (завантажує знімок растрового зображення поточного вікна в буфер обміну), а потім вставив у порожній png-файл за допомогою Paint, тому, ймовірно, це все-таки растрова карта (з неправильним розширенням). Це пояснило б розмір, а може, і завантаження вгору. ;)

— Форівін

Один з найпростіших способів визначити, які процеси працюють під svchost, це використовувати:

Tweaking.com - інструмент пошуку svchost.exe V1.5.0

http://www.tweaking.com/content/page/tweaking_com_svchost_exe_lookup_tool.html

Добре працює.

— Уейн Де Рік
джерело