Другое > Hard'n'Soft

Помогите побороть глюки Винды...

<< < (2/2)

gepar: --- Цитата: Unit2k ---Но вот раньше что-то я подобного не замечал. --- Конец цитаты --- Вот ты не замечал, а он ходил  :)

HardWareMan: --- Цитата: gepar от 11 Ноябрь 2010, 23:55:29 ---В том что свхост ходит в инет мало удивительного. --- Конец цитаты --- svchost = сокращение от service host. Процесс, который несет на себе все службы. Внимание вопрос: протоколы, обслуживающие звук, сеть, диски (еще много чего) - это что?

gepar: HardWareMan,кому адресуется вопрос? Если мне то вопрос не понят так как я не HardWareMan и настолько хорошо в винде и железе не разбираюсь  :) Я знаю что через свхост подцепляется целая куча библиотек от всяческого софта и не только и потом ходят обновляться/сливать куда-то свои данные, наблюдаю это с помощью нодовского файревола. Как почистить этот хлам в теме о виндовс 7 я вопрос уже задавал, но никто так и не ответил, а жаль, уверен что можно бы половину списка удалить. Хотя я и так заблокировал всему левому доступ к сети так что в принципе ничто инфу обо мне не сливает, но то что "оно" сидит в системе неприятно. Добавлено позже: Всё выше написанное действительно только для настоящего свхоста, в инете написано что некоторые вирусы свой свхост пихают запущенный от лица пользователя (в отличии от настоящего запущенного от системы), но я такого не встречал так что предположу что у Unit2k в инет ходит настоящий, а не лжесвхост.

УльтраБлокС: --- Цитата: gepar ---Всё выше написанное действительно только для настоящего свхоста --- Конец цитаты --- А если в настоящий svchost внедрён малварь-код, как это например делает кидо? --- Цитата: gepar ---в инете написано что некоторые вирусы свой свхост пихают запущенный от лица пользователя (в отличии от настоящего запущенного от системы) --- Конец цитаты --- А ничего что есть баги, заюзав которые можно поднять привелегии до (и следовательно запускать проги от имени) SYSTEM? --- Цитата: gepar ---но я такого не встречал так что предположу что у Unit2k в инет ходит настоящий, а не лжесвхост. --- Конец цитаты --- Если лежит в %WINDIR\System32\svchost.exe то настоящий, но это не гарантирует что к нему не прицеплен малварь. --- Цитата: Unit2k ---да и с компом ничего странного за исключением непонятных сетевых атак не происходит. --- Конец цитаты --- Это довольно странно. Либо у тебя провайдерская локалка (у кого-то вирь ломится к тебе) или у тебя внешний IP и к тебе тоже кто-то ломится. В первом случаи надо либо отключать провайдерскую локалку, либо ставить фаервол (впрочем если есть сообщения о сетевых атаках, то он по ходу уже установлен). Во втором - крыть сетевые порты, особенно нижние (1-1000). А лучше закрыть все и открывать только по необходимости.

Unit2k: Свкхост настоящий и похоже не модифицирован (уж касперский бы заметил). Другое дело, что раньше не замечал я его там, где он сейчас. Висели его процессы себе под winlogon и все норм. А тут он под эксплорером, при наведении курсора служб никаких не кажет. В общем, я его от греха подальше выгружаю при старте системы(если ток не забываю). Косяков при этом никаких не вижу. Все работает нормально. Добавлено позже: Ах да. Ещё была тема, что нещадно начал тормозить инет. Я впрочем не подавал особого беспокойства т.к. думал на прова - мало-ли - сеть загружена или работы какие проводятся. Ближе к ночи норм будет. Но нет! Даже в 00.00 инет тормозит. И тут я вспонимаю про свкхост и тут же выгружаю его - буквально тут же инет начинает работать нормально.  0_0 Уж не знаю что за дела. Впрочем это единичный случай - бывали дни, он висел весь вечер и инет работал так же нормально.

УльтраБлокС: Вообщем не должен от explorer'а запускаться svchost. Эта какая-то дрянь. Все svchost'ы должны происходить от services.exe

Unit2k: --- Цитата: УльтраБлокС ---Вообщем мне кажется что что-то тут не так... --- Конец цитаты --- мне тоже так кажется.  :biggrin: Иначе бы вопрос на повестке дня не ставил.  :) Добавлено позже: --- Цитата: УльтраБлокС ---Вообщем не должен от explorer'а запускаться svchost. Эта какая-то дрянь. Все svchost'ы должны происходить от services.exe --- Конец цитаты --- Я этого не знал, но предполагал. Вот интересно, что HardWareMan скажет.

HardWareMan: Касаемо вопроса. Service - это служба по английский. Соответственно Service Host - это хост служб. Службы - это программы, работающие в фоновом режиме и не требующие интерактивного общения с пользователем. Так же, службы могут обеспечивать работу других программ. В линуксе это демоны. Ну так вот, службы всякие бывают. Например самба. Этот процесс отвечает за шаринг файлов и принтеров в сетях майкрософт. А значит - будет слушать порты и ломиться в сеть. А ходит он под свцхостом. Еще вопросы? --- Цитата: УльтраБлокС от 12 Ноябрь 2010, 22:19:49 ---А если в настоящий svchost внедрён малварь-код, как это например делает кидо? --- Конец цитаты --- Кидо не внедряет малварь в свцхост. Он запускает себя под свцхостом (и его можно выпнуть без краха системы). --- Цитата: УльтраБлокС от 12 Ноябрь 2010, 22:55:51 ---Вообщем не должен от explorer'а запускаться svchost. Эта какая-то дрянь. Все svchost'ы должны происходить от services.exe --- Конец цитаты --- Вточечности так. Все сервиси должен запускать винлогон. Главное - найти лжесвцхост, если такой есть.

gepar: --- Цитата: Unit2k ---Другое дело, что раньше не замечал я его там, где он сейчас. Висели его процессы себе под winlogon и все норм. А тут он под эксплорером, при наведении курсора служб никаких не кажет. В общем, я его от греха подальше выгружаю при старте системы(если ток не забываю). Косяков при этом никаких не вижу. Все работает нормально. --- Конец цитаты --- Смена сортировки списка процессов не означает что сам процесс изменился  :) УльтраБлокС,HardWareMan,кхм, если я правильно понял то Unit2k о местоположении в списке говорит, а не о привилегиях запуска процесса. Да и запущенный процесс как от explorer'а я никогда не видел, разве что имя пользователя задать explorer и запустить  :D Добавлено позже: --- Цитата: УльтраБлокС ---А ничего что есть баги, заюзав которые можно поднять привелегии до (и следовательно запускать проги от имени) SYSTEM? --- Конец цитаты --- Не видел никогда, это вам линуксоидам приснилось, требую пруфлинк (вася-пупкин. нет - не в авторитете, пруф должен вести на нормальный сайт).

УльтраБлокС: --- Цитата: gepar ---Да и запущенный процесс как от explorer'а я никогда не видел, разве что имя пользователя задать explorer и запустить --- Конец цитаты --- Это дерево процессов. Открывая какую-нибудь программу через Проводник, explorer.exe становится "родителем" процесса программы. Это не имя пользователя. Поэтому с какого хрена svchost порождается explorer.exe? --- Цитата: gepar ---Не видел никогда, это вам линуксоидам приснилось, требую пруфлинк (вася-пупкин. нет - не в авторитете, пруф должен вести на нормальный сайт). --- Конец цитаты --- Нафиг пруфлинк? Вот самый простой пример эскалации привилегий под XP: 1. Открываешь cmd.exe (командную строку) 2. Пишешь: --- Код: ---at <текущее время + 2 минуты> /interactive "cmd.exe" --- Конец кода --- 3. Закрываешь командную строку и ждёшь ~2 минуты пока не откроется системный шелл. 4. Из шелла системы можно запускать любые проги от имени SYSTEM. В заголовке окна будет написано "?:\WINDOWS\System32\svchost.exe". Это происходит потому, что служба "Планировщик Заданий" запускает софт от своего имени, а не от пользователя. Теперь чтобы совсем прогнать мысли о снах линуксоидов, открываем диспетчер задач, и видим что в процессах висит cmd.exe с юзером SYSTEM. Отсюда есть приколы как рекурсивно зайти в систему как SYSTEM. 1. Выполняешь вышеописанные действия для получения системного шелла. 2. Открываешь диспетчер задач и убиваешь explorer.exe (при этом должны пропасть значки с рабочего) 3. Пишешь в системном шелле "explorer.exe" 4. Ждёшь пока загрузится юзер SYSTEM 5. Можешь проверять - теперь мы в системе как SYSTEM Правда работает это не всегда, т.к. админ может прикрыть доступ к команде at, так что прокатит это далеко не везде. Но в винде есть и другие дыры эскалации привилегий. gepar, ну так что, пруфов достаточно, или это "линуксоидам приснилось"?

HardWareMan: Пример дерева зависимости процессов. Ехплорер запускается винлогоном, но под другим пользователем, поэтому эхплорер как бы отдельно.

Навигация

 Главная страница сообщений

Предыдущая страница

Перейти к полной версии