imho.ws |
|
|
Сообщения:
Перейти к новому /
Последнее
|
Опции темы |
24.01.2009, 15:23 | # 1 |
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
Нужна технология запуска выполняемого кода через svchost
Нужна технология запуска выполняемого кода через svchost. Как служб и как обычных процессов, dll и exe-шников. Вот здесь есть кое что, но только как запускаются службы оформленные в dll файлах посредством svchost. support.microsoft.com/kb/314056
Имеется в виду не программирование. |
24.01.2009, 16:28 | # 2 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 405
|
svchost предназначен исключительно для запуска служб Windows. Другое использование не предусмотрено.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
24.01.2009, 17:07 | # 3 |
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
Да нет. Я вижу по логам McAfee что через svchost запускаются программы не Windows: модуль программы сканирования (hpqcxs08.dll), модули MS SQL (sqlmap70.dll, ssnetlib.dll, ums.dll), модуль Microsoft Firewall Client (Microsoft Firewall Client Windows Sockets 2 Service Provider - FwcWsp.dll).
Правило Access Protection McAfee - "Prevent svchost executing non-Windows executables" - говорит о том, что McAfee собирается блокировать запуск не Windows исполняемых модулей через svchost. И он это - делает, это видно и по логам и по тому, что эти проги - не работают. Возможно и не предусмотрено создателями Windows XP такое использование svchost, но реально - его пользуют и по полной программе. Вот скрин - на котором видно, что под svchost вообще exe-шник работает - это компононт McAfee. Картинка - ProccessExplorer8.4 Последний раз редактировалось dim99; 24.01.2009 в 17:16. |
24.01.2009, 19:26 | # 4 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 405
|
Ключевое слово здесь служба. Служба Windows вовсе не обязательно входит в изначальный пакет ОС. И даже вовсе не обязательно выпущена M$. Это просто специальное написанное приложение.
И каким боком Макэффи относится к теме топика? Разве что тем, что является примером службы Windows...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
24.01.2009, 19:45 | # 5 | |
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
В данном случае, я использую ее как программу - для мониторига запуска не Windows компонент через svchost. Модуль Access Protection не использует баз сигнатур вредоносного кода, это утилита, которая могла быть бы написана для самостоятельного применения.
Цитата:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (В оснастке Службы - services.msc - нет служб, которые бы вызывались из этих dll) Они не описаны как службы. Откуда идет их вызов - пока не знаю. В реестре их - нет. |
|
24.01.2009, 19:55 | # 6 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 405
|
dim99, службы вовсе не обязаны отображаться в оснастке "Службы". В качестве служб, к примеру, функционируют многие драйверы устройств (тот же модуль сканирования).
Вызываются. Возможно косвенно, но именно отсюда Мокрософт SQL Server и Брандмауэр Windows - есть. Драйвер сканера действительно скорее всего отсутствует в списке служб.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
24.01.2009, 20:27 | # 7 | |
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
Хорошо, а где должны? Как посмотреть?
Цитата:
Как я понимаю, есть Службы, Службы-драйверы, чисто-драйверы Хорошо, но мне нужно увидеть ОТКУДА, я хочу отследить всю цепочку вызова. SQL Server да он есть, но вызов идет exe-шников, только. Ни каких svchost. А Access Protection логирует и блокирует вызов именно через svchost - компонентов M$ SQL - sqlmap70.dll, ssnetlib.dll, ums.dll. Конечно, можно все списать на ошибки McAfee, но я почему то уверен, что тут все правильно. Насчет dll -FwcWsp.dll (Microsoft Firewall Client Windows Sockets 2 Service Provider ) я ошибся. Ее вызов есть в реестре, случай службы-драйвера. HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_C atalog5\Catalog_Entries\000000000001 Но запуск же не через svchost, она как дрв запускается. Хотя в Диспетчер Устройств - Вид- Показать скрытые - Устройства не PnP - ее нет. Ее описание во вложении. |
|
24.01.2009, 21:02 | # 8 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 405
|
Кроме Process Explorer, в состав Windows Sysinternals Suite входят и другие полезные программы... Например http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx и http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |