Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #40, МАРТ 2004 г.

Наша служба и опасна и глючна

Фленов Михаил

Спецвыпуск Xakep, номер #040, стр. 040-066-2


Разумеется, это - громадная поляна для маскировки вредоносного кода, за что программистам MS надо сказать огромное человеческое спасибо, потому что если сейчас такой код не сильно прячется в сервисах, то через год или два, если не будет хорошей возможности мониторинга служб, злобный код основательно переберется из процессов в сервисы.

Контролируемые и общие

На закладке Общие окна настроек сервисов можно увидеть и контролируемые параметры, такие как тип запуска, параметры запуска.

Тип запуска может быть:

1. Авто - сервис автоматически запускается при старте системы. После этого ты можешь его остановить вручную или оставить в запущенном состоянии. Автоматически должны запускаться только необходимые всегда службы.

2. Вручную - сервис не стартует автоматически, но ты можешь его запустить вручную из оснастки или просто с командной строки. Этот режим – для редко запускаемых служб, например, установил ты SQL Server для выполнения какой-то задачи. После этого удалять сервер жалко (может еще пригодиться), а держать в загруженном состоянии глупо, потому что это тормозит загрузку и отнимает память. В таком случае лучше поставить ручную загрузку и стартовать сервер только по мере необходимости.

3. Отключен – сервис отключен, и его невозможно запустить никакими методами. Если у тебя есть какой-то сервис, который ты считаешь небезопасным, и при этом он тебе не нужен, то отключи его, чтобы твой злейший враг не наказал тебя. Это также запрещает запускаться всем другим сервисам, которые зависят от отключенного. Например, если отключить базовый сервис сети, то ни одна сетевая служба не заработает.

В самом низу окна есть еще строка для ввода дополнительных параметров, которые должны быть переданы в командную строку при запуске. Лично мне еще ни разу не приходилось вбивать сюда какую-нибудь ерунду.

Проблемы запуска

Первый раз я столкнулся с проблемой запуска сервисов, когда только появился Windows 2000. Тогда мы установили на компьютер драйвера для привода ZIP, а они оказались несовместимы… при старте системы повалил поток ошибок и глупых сообщений. Удаление драйверов не помогло, и тонна ошибок осталась.

Я облазил все места залежей драйверов, прочистил реестр и проверил на автозапуск все программы на опасные гинекологические связи с ZIP-драйвом, но ничего не исчезло. Только после этого пришла умная мысль заглянуть в сервисы и – вуаля – там оказалась служба драйва, которая упорно не хотела удаляться :).

После перевода службы в отключенное состояние ошибки при загрузке Windows не исчезли, а вот после переключения в ручной режим Windows снова заблестел и засверкал как новенький.

Отсюда вывод – если при старте системы вываливаются сообщения об ошибках, то не надо петь шаманские песни и бить в бубны, а надо идти в журнал и смотреть, какой из сервисов не доволен жизнью.

Войди правильно

На закладке Вход в систему окна параметров сервиса можно настроить права, под которыми он будет выполняться. Что это значит? От того, какую учетную запись ты укажешь здесь, зависят права, которые будет иметь сервис. Если ты всем укажешь С системной учетной записью, а сам будешь входить в Windows под админом, то все сервисы будут иметь полные права. Таким образом, любая прога, замаскировавшаяся под сервис, сможет натворить в системе много зла.

Назад на стр. 040-066-1  Содержание  Вперед на стр. 040-066-3