Hemsida » hur » Vad kan en tjänst göra på Windows?

    Vad kan en tjänst göra på Windows?

    Om du öppnar uppgiftshanteraren eller Process Explorer på ditt system ser du många tjänster som körs. Men hur mycket av en påverkan kan en tjänst ha på ditt system, speciellt om det är "skadat" av skadlig kod? Dagens SuperUser Q & A-inlägg har svar på en nyfiken läsarens frågor.

    Dagens Question & Answer-session kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.

    Frågan

    SuperUser-läsare Forivin vill veta hur stor inverkan en tjänst kan ha på ett Windows-system, särskilt om det är "skadat" av skadlig kod:

    Vilken typ av skadlig kod / spionprogram kan någon sätta i en tjänst som inte har egen process på Windows? Jag menar tjänster som använder svchost.exe till exempel, så här:

    Kan en tjänst spionera på mitt tangentbordsinmatning? Ta skärmdumpar? Skicka och / eller ta emot data över internet? Infektera andra processer eller filer? Radera filer? Döda processer?

    Hur mycket påverkan kan en tjänst ha på en Windows-installation? Finns det några begränsningar för vad en skadlig "skadad" tjänst skulle kunna göra?

    Svaret

    SuperUser-bidragare Keltari har svaret för oss:

    Vad är en tjänst?

    En tjänst är en ansökan, inte mer, inte mindre. Fördelen är att en tjänst kan köras utan användarsession. Detta gör att saker som databaser, säkerhetskopior, förmåga att logga in, etc. kan köras vid behov och utan att en användare är inloggad.

    Vad är svchost?

    • Enligt Microsoft: "svchost.exe är ett generiskt värdprocessnamn för tjänster som körs från dynamiska länksbibliotek". Kan vi få det på engelska tack?
    • För en tid sedan började Microsoft flytta all funktionalitet från interna Windows-tjänster till .dll-filer i stället för .exe-filer. Ur ett programmeringsperspektiv är det här bättre för återanvändning ... men problemet är att du inte kan starta en .dll-fil direkt från Windows, den måste laddas upp från en körbar exe. Således blev svchost.exe-processen född.

    Så i huvudsak en tjänst som använder svchost kallar bara en. Dll och kan göra ganska mycket något med rätt uppgifter och / eller behörigheter.

    Om jag minns rätt, finns det virus och annan skadlig kod som gömmer sig bakom svchost-processen, eller namnger körbar svchost.exe för att undvika detektering.


    Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.