有人会将哪种恶意软件/间谍软件放入 Windows 上没有自己的进程的服务中?我的意思是使用 svchost.exe 的服务,例如:
服务可以监视我的键盘输入吗?截取屏幕截图?通过互联网发送/接收数据?感染其他进程或文件?删除文件?终止进程?
答案1
什么是服务?
服务是一个应用程序,不多也不少。优点是服务可以在没有用户会话的情况下运行。这允许数据库、备份、登录能力等在需要时运行,而无需用户登录。
什么是进程管理器?
根据微软的说法:“svchost.exe 是从动态链接库运行的服务的通用主机进程名称”。我们能用英文表达一下吗?
不久前,微软开始将所有功能从内部 Windows 服务转移到 .dll 文件而不是 .exe 文件中。从编程角度来看,这更有利于提高可重用性……但问题是您无法直接从 Windows 启动 .dll 文件,必须从正在运行的可执行文件 (.exe) 加载它。因此 svchost.exe 进程诞生了。
因此,本质上,使用 svchost 的服务只是调用 .dll,并且可以做很多事情任何事物具有正确的凭证和/或权限。
如果我没记错的话,有些病毒和其他恶意软件确实隐藏在 svchost 进程后面,或者将可执行文件命名为 svchost.exe 以避免被检测到。
答案2
确定 svchost 下正在运行的进程的最简单方法之一是使用:
Tweaking.com - svchost.exe 查找工具 V1.5.0
http://www.tweaking.com/content/page/tweaking_com_svchost_exe_lookup_tool.html
效果很好。