Cosa può fare un servizio su Windows?

Quale tipo di malware / spyware potrebbe essere inserito da qualcuno in un servizio che non ha il proprio processo su Windows? Intendo servizi che usano svchost.exe per esempio, come questo:
enter image description here

Un servizio potrebbe spiare il mio input da tastiera? Prendere screenshot? Invia / ricevi dati su Internet? Infettare altri processi o file? Cancella file? Uccidere i processi?

services malware windows-services

— Forivin
fonte

Qualunque cosa sia programmata da fare. Un servizio potrebbe fare tutte le cose che menzioni se è programmato per farlo.

— Ramhound

Cos'è un servizio?

Un servizio è un'applicazione, né più né meno. Il vantaggio è che un servizio può essere eseguito senza una sessione utente. Ciò consente di eseguire operazioni come database, backup, possibilità di accesso, ecc. Quando necessario e senza che un utente abbia effettuato l'accesso.

Cosa è svchost ?

Secondo Microsoft: "svchost.exe è un nome di processo host generico per servizi eseguiti da librerie a collegamento dinamico". Potremmo averlo in inglese per favore?

Qualche tempo fa, Microsoft ha iniziato a spostare tutte le funzionalità dai servizi interni di Windows in file .dll anziché in file .exe. Da un punto di vista della programmazione questo ha più senso per la riusabilità ... ma il problema è che non è possibile avviare un file .dll direttamente da Windows, esso deve essere caricato da un eseguibile (.exe) in esecuzione. Quindi è nato il processo svchost.exe.

Quindi, essenzialmente un servizio che usa svchost chiama semplicemente un file .dll e può fare praticamente tutto nulla con le giuste credenziali e / o permessi.

Se ricordo bene, ci sono virus e altri malware che si nascondono dietro il processo svchost, o nominano il file eseguibile svchost.exe per evitare il rilevamento.

— Keltari
fonte

Per fare un ulteriore passo avanti, se usi Process Explorer e ti passi sopra l'istanza di svchost che ti dirà quali servizi sta ospitando .

— Scott Chamberlain

@ ScottChamberlain Si può anche solo fare clic destro e Go to Service(s) nel task manager integrato su qualsiasi versione recente di Windows (Vista).

— Bob

Il Taskmanager di Windows 8 lo rende ancora più semplice: 250kb.de/u/140522/p/ZFP0uJMz2yVJ.png

— Forivin

@ Forivin Sono curioso di sapere come sei riuscito a caricare un PNG in un file verso l'alto direzione. E come sei riuscito a portarlo a 1,5 MB - un PNG di colori prevalentemente piatti come quello dovrebbe essere un paio di centinaia di kB, max.

— Bob

@Bob In realtà non sei il primo a chiedermelo. : p Sono troppo pigro per scoprire perché, ma ho creato questo screenshot usando AltGr + Print (carica uno screenshot bitmap della finestra corrente negli appunti) e poi incollato in un file png vuoto usando Paint, quindi è probabile che è ancora una bitmap (con un'estensione errata). Questo spiegherebbe le dimensioni e forse anche il caricamento verso l'alto. ;)

— Forivin

Uno dei modi più semplici per determinare quali processi sono in esecuzione con svchost è quello di utilizzare:

Tweaking.com - svchost.exe Strumento di ricerca V1.5.0

http://www.tweaking.com/content/page/tweaking_com_svchost_exe_lookup_tool.html

Funziona bene.

— Wayne De Rick
fonte