Wenn Sie den Task-Manager oder den Prozess-Explorer auf Ihrem System öffnen, werden viele Dienste ausgeführt. Aber wie stark kann sich ein Dienst auf Ihr System auswirken, insbesondere wenn er durch Malware «beschädigt» wird? Der heutige SuperUser Q & A-Beitrag enthält Antworten auf die Fragen eines neugierigen Lesers.
Die Frage
SuperUser Reader Forivin möchte wissen, wie viel Einfluss ein Dienst auf ein Windows-System haben kann, insbesondere wenn er durch Malware «beschädigt» wird:
Welche Art von Malware / Spyware könnte jemand in einen Dienst einbinden, der unter Windows keinen eigenen Prozess hat? Ich meine Dienste, die zum Beispiel svchost.exe verwenden, wie folgt:
Könnte ein Dienst meine Tastatureingabe ausspionieren? Screenshots machen? Daten über das Internet senden und / oder empfangen? Andere Prozesse oder Dateien infizieren? Dateien löschen? Tötungsprozess?
Wie viel Einfluss könnte ein Dienst auf eine Windows-Installation haben? Gibt es Grenzen für die Funktionsweise eines «beschädigten» Malware-Dienstes?
Die Antwort
SuperUser-Mitarbeiter Keltari hat die Antwort für uns:
Was ist ein Service?
Ein Dienst ist eine Anwendung, nicht mehr und nicht weniger. Der Vorteil ist, dass ein Dienst ohne Benutzersitzung ausgeführt werden kann. Auf diese Weise können Datenbanken, Sicherungen, die Möglichkeit zur Anmeldung usw. bei Bedarf und ohne Anmeldung eines Benutzers ausgeführt werden.
Was ist Svchost?
- Laut Microsoft: «svchost.exe ist ein generischer Hostprozessname für Dienste, die von Dynamic Link-Bibliotheken ausgeführt werden.» Könnten wir das bitte auf Englisch haben?
- Vor einiger Zeit hat Microsoft damit begonnen, alle Funktionen von internen Windows-Diensten in DLL-Dateien anstelle von EXE-Dateien zu verschieben. Aus programmtechnischer Sicht ist dies für die Wiederverwendbarkeit sinnvoller. Das Problem ist jedoch, dass Sie eine DLL-Datei nicht direkt unter Windows starten können. Sie muss von einer laufenden ausführbaren Datei (exe) geladen werden. So wurde der Prozess svchost.exe geboren.
Im Wesentlichen ruft ein Dienst, der svchost verwendet, nur eine DLL auf und kann so ziemlich alles etwas mit den richtigen Anmeldeinformationen und / oder Berechtigungen.
Wenn ich mich richtig erinnere, gibt es Viren und andere Malware, die sich hinter dem svchost-Prozess verstecken oder die ausführbare Datei svchost.exe benennen, um eine Erkennung zu vermeiden.
Haben Sie der Erklärung etwas hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie weitere Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Den vollständigen Diskussionsthread finden Sie hier.