Wenn Sie den Task-Manager oder den Prozess-Explorer öffnenAuf Ihrem System werden viele Dienste ausgeführt. Aber wie stark kann sich ein Dienst auf Ihr System auswirken, insbesondere wenn er durch Malware "beschädigt" wird? Der heutige SuperUser-Frage- und Antwortbeitrag enthält die Antworten auf die Fragen eines neugierigen Lesers.
Die heutige Frage & Antwort-Sitzung wird von SuperUser bereitgestellt - einer Unterteilung von Stack Exchange, einer von der Community gesteuerten Gruppierung von Q & A-Websites.
Die Frage
SuperUser Reader Forivin möchte wissen, wie viel Einfluss ein Dienst auf ein Windows-System haben kann, insbesondere wenn es durch Malware "beschädigt" ist:
Welche Art von Malware / Spyware könnte jemand in einen Dienst einbinden, der unter Windows keinen eigenen Prozess hat? Ich meine Dienste, die svchost.exe zum Beispiel verwenden, wie folgt:
Konnte ein Dienst meine Tastatureingabe ausspionieren? Screenshots machen? Daten über das Internet senden und / oder empfangen? Andere Prozesse oder Dateien infizieren? Dateien löschen? Tötungsprozess?
Welchen Einfluss könnte ein Dienst auf eine Windows-Installation haben? Gibt es irgendwelche Grenzen für die Funktionsweise eines "beschädigten" Malware-Dienstes?
Die Antwort
SuperUser-Mitwirkender Keltari hat die Antwort für uns:
Was ist eine Dienstleistung?
Ein Dienst ist eine Anwendung, nicht mehr und nicht weniger. Der Vorteil ist, dass ein Dienst ohne Benutzersitzung ausgeführt werden kann. Auf diese Weise können Datenbanken, Sicherungen, Anmeldemöglichkeiten usw. bei Bedarf ausgeführt werden, ohne dass ein Benutzer angemeldet ist.
Was ist Svchost?
- Laut Microsoft: "svchost.exe ist ein generischer Host-Prozessname für Dienste, die aus Dynamic Link-Bibliotheken ausgeführt werden." Könnten wir das bitte auf Englisch haben?
- Vor einiger Zeit hat Microsoft begonnen, alle zu bewegendie Funktionalität von internen Windows-Diensten in DLL-Dateien anstelle von EXE-Dateien. Aus Programmiersicht ist dies für die Wiederverwendbarkeit sinnvoller. Das Problem ist jedoch, dass Sie eine DLL-Datei nicht direkt unter Windows starten können. Sie muss von einer laufenden ausführbaren Datei (exe) geladen werden. Damit war der Prozess svchost.exe geboren.
Im Grunde genommen ruft ein Dienst, der svchost verwendet, nur eine DLL auf und kann so ziemlich alles etwas mit den richtigen Anmeldeinformationen und / oder Berechtigungen.
Wenn ich mich richtig erinnere, gibt es Viren und andere Malware, die sich hinter dem Prozess svchost verstecken, oder benennen Sie die ausführbare Datei svchost.exe, um eine Erkennung zu vermeiden.
Möchten Sie der Erklärung etwas hinzufügen? Ton aus in den Kommentaren. Möchten Sie weitere Antworten von technisch versierten Stack Exchange-Benutzern lesen? Den vollständigen Diskussionsthread finden Sie hier.
