Que peut faire un service sous Windows?

10

Quel genre de malware / spyware quelqu'un pourrait-il mettre dans un service qui n'a pas son propre processus sur Windows? Je veux dire les services qui utilisent svchost.exe par exemple, comme ceci:
entrez la description de l'image ici

Un service pourrait-il espionner mon entrée clavier? Prendre des captures d'écran? Envoyer / recevoir des données sur Internet? Infecter d'autres processus ou fichiers? Supprimer les fichiers? Tuer les processus?

Forivin
la source
5
Tout est programmé pour le faire. Un service pourrait faire tout ce que vous mentionnez s'il est programmé pour le faire.
Ramhound

Réponses:

18

Qu'est-ce qu'un service?

Un service est une application, ni plus ni moins. L'avantage est qu'un service peut s'exécuter sans session utilisateur. Cela permet à des choses comme les bases de données, les sauvegardes, la possibilité de se connecter, etc. de s'exécuter en cas de besoin et sans qu'un utilisateur ne se connecte.

Qu'est-ce que svchost ?

Selon Microsoft: «svchost.exe est un nom de processus hôte générique pour les services qui s'exécutent à partir de bibliothèques de liens dynamiques». Pourrions-nous avoir cela en anglais s'il vous plaît?

Il y a quelque temps, Microsoft a commencé à déplacer toutes les fonctionnalités des services Windows internes vers des fichiers .dll au lieu de fichiers .exe. Du point de vue de la programmation, cela a plus de sens pour la réutilisabilité… mais le problème est que vous ne pouvez pas lancer un fichier .dll directement à partir de Windows, il doit être chargé à partir d'un exécutable en cours d'exécution (.exe). Ainsi le processus svchost.exe est né.

Donc, essentiellement, un service qui utilise svchost appelle simplement un fichier .dll et peut faire à peu près n'importe quoi avec les bonnes informations d'identification et / ou autorisations.

Si je me souviens bien, il existe des virus et autres logiciels malveillants qui se cachent derrière le processus svchost, ou nomment l'exécutable svchost.exe pour éviter la détection.

Keltari
la source
1
Pour aller plus loin, si vous utilisez Process Explorer et que vous survolez l'instance de svchost, il vous indiquera les services qu'il héberge .
Scott Chamberlain
@ScottChamberlain Vous pouvez également cliquer avec le bouton droit de la souris et Go to Service(s)dans le gestionnaire de tâches intégré sur n'importe quelle version récente de Windows (Vista +).
Bob
1
Le gestionnaire de tâches de Windows 8 vous facilite la tâche: 250kb.de/u/140522/p/ZFP0uJMz2yVJ.png
Forivin
@Forivin Je suis curieux de savoir comment vous avez réussi à charger un PNG vers le haut . Et comment vous avez réussi à obtenir cela à 1,5 Mo - un PNG de couleurs principalement plates comme cela devrait être de quelques centaines de Ko, max.
Bob
@Bob Tu n'es en fait pas le premier à me demander ça. : p Je suis trop paresseux pour savoir pourquoi, mais j'ai créé cette capture d'écran en utilisant AltGr + Print (charge une capture d'écran bitmap de la fenêtre actuelle dans le presse-papiers), puis collée dans un fichier png vide à l'aide de Paint, il est donc probable que c'est toujours un bitmap (avec une mauvaise extension). Cela expliquerait la taille et peut-être aussi le chargement vers le haut. ;)
Forivin