Службы виндовс 10: Как открыть службы Windows 11 и Windows 10

Содержание

для чего нужны и как их открыть


Posted on by Редакция 2dsl.ru






После включения персонального компьютера и загрузки оперативной системы происходит запуск некоторых процессов. Эти процессы создаются запущенными приложениями и системными службами. Службы, или как их еще называют Services, это тоже программы на которые возложены определенные функциональные задачи. Они автономно запускаются вместе с загрузкой Windows 10, после чего начинают работать, исправно выполнять возложенные функции. Их работа не видна глазу пользователя, но в некоторых случаях службы могут расходовать непозволительно большое количество ресурсов. В таком случае компьютерные специалисты рекомендуют отключать те Services, без которых возможна стабильная и бесперебойная работа ОС. В этой статье расскажем, какие службы можно отключать.

Содержание

Для чего нужны службы

Правильная работа операционной системы невозможна без наличия драйверов. Если в Windows 10 не будет установлен какой-либо драйвер, например, любого периферийного устройства, система не сможет его распознать. То есть, чтобы исправно работал принтер, сканер, модуль управления беспроводной связи или любой другой компонент персонального компьютера в операционной системе должен быть установлен определенный пакет программ – драйверов. Если говорить простым языком, службы это системные приложения, позволяющие Windows 10 обращаться к драйверам, управляющим определенной аппаратной частью компьютера.

Можно сказать, что служба выступает промежуточным звеном в связке «Система – Служба – Драйвер». Для лучшего понимания приведем простой пример. В Windows 10 или в любой другой предыдущей версии ОС есть служба под названием «Диспетчер очереди печати». Она не отвечает за работу внешнего устройства, а только позволяет или не позволяет системе выполнить печать после обращения к драйверу принтера. Подобный принцип взаимодействия Services и Drivers характерен для всей аппаратной части. Но есть системные приложения, которые можно смело отключать и освобождать дополнительные ресурсы. Иногда их отключают с той целью, чтобы снизить уровень уязвимости ПК. Ведь работа некоторых программ тесно связана с сетью: создаются открытые порты, чем могут воспользоваться злоумышленники.

Как открыть окно со службами в Windows 10

Открыть окно со службами можно разными способами. Один из самых простых:

  1. Нажмите на клавиатуре сочетание клавиш Windows + R.
  2. В открывшемся диалоговом окне введите команду «services.msc».
  3. Нажмите «Ок» или клавишу «Enter» на клавиатуре.
  4. На экране появится список всех доступных Services.

Также можно просто нажать правой кнопкой мыши по меню «Пуск», после чего выбрать «Управление компьютером».

В левом окошке открывшегося списка выбираем «Службы и приложения».

Система отобразит все задействованные и неактивные программы. Еще один способ открытия нужного нам списка: вызов «Диспетчер устройств» и переход во вкладку с соответствующим названием.

Последний способ особенно удобен, так как позволяет с минимальными временными затратами просмотреть задействованные и отключенные Services. Прямо здесь их можно включать и отключать. Для этого нажмите на названии правой кнопкой мыши. Полезная «фишка», которой предлагает воспользоваться ОС – поиск в интернете информации, касательно задач и функциональных обязанностей интересующей службы.

Можно ли отключать службы

В принципе, пользователь может отключать все, что ему захочется. Но делать это нужно осознанно. Все дело в том, что определенные Services взаимосвязаны между собой. Отключая одну службу, юзер нарушит работу другой, что приведет к сбою всей операционной системы. Прежде чем предпринимать какие-то действия, нужно внимательно ознакомиться с программой и разобраться с возложенными на неё функциями. В Windows 10 уже есть справочник с описанием, но для начинающего пользователя ПК эта информация поможет показаться непонятной. В любой поисковой системе введите наименование службы, и вы сразу же получите ответ. Поэтому проблем с поиском исчерпывающей информации возникнуть не должно.

Так выглядит описание в системе:

Из скриншота видно, что есть некая служба RemoteRegistry, которая открывает доступ удаленным пользователям к параметрам реестра. По умолчанию она всегда запущена, но мы можем в любую минуту зайти в её свойства и в строке «Состояние» выбрать функцию «Остановить». Чтобы изменения вступили в силу, достаточно нажать кнопку «Ок». Это одна из Services, отключение которой не повлияет на работу ПК. В домашних условиях совершенно нет надобности в RemoteRegistry, которая пригодится разве что систему администратору для правки веток реестра. Мы также подготовили список разрешенных к отключению служб. Вы можете смело их деактивировать и освободить пару сотен мегабайт оперативной памяти.

При первой же необходимости можно вернуть их к работе. Просто повторите весь описанный выше порядок действий. Только в свойствах отключенной службы с целью её запуска в строке «Состояние» жмите функцию «Запустить».

Универсального рецепта отключения всех ненужных Services нет. Задача юзера – шаг за шагом деактивировать сервисы, которые не критичны для работы операционной системы. Здесь главное не навредить. Если вы точно не можете понять, нужна программа или нет, в её свойствах выберите автоматический тип запуска. Работа этого приложения будет сохранена, но операционная система немного облегчится.

Отключаем Services с помощью PowerShell

В Windows 10 легко взаимодействовать с системой, изменять параметры и автоматизации задач посредством современной командной оболочки PowerShell. Открывается приложение через панель управления или с формы поиска.

Непосредственно в открытой командной строке введите функцию stop-service и наименование службы. Остановим работу приведенного выше сервиса, отвечающего за удаленный доступ пользователей к реестру. Просто вводим stop-service remoteregisty.

Теперь служба не будет работать. Чтобы вернуть её к работе, stop-service в строке команд следует заменить на start-service. Однако такой способ больше подходит опытным пользователям, уверенным в правильности своих действий. Начинающим юзерам рекомендуем пользоваться более наглядными и надежными методиками – в диспетчере или в управлении компьютером.

Заключение

Настраивать, отключать или включать службы достаточно просто. Только нужно быть уверенным в правильности совершаемых действий. Не будет лишним перед каждым обращением к Services страховаться. Зайдите в реестр и экспортируйте ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services в reg-файл, чтобы в случае сбоя привычной работы Windows 10 вернуть прежние настройки. В этой ветке хранятся все исходные параметры. После отключения некоторых сервисов освобождается оперативная память, разгружается система. Вполне оправданное занятие, которое даст определенный результат. Надеемся, что после прочтения данной статьи у вас появилось понимание, как отключаются и включаются службы в Windows 10.



Posted in Проблемы с ПК, Программы, Терминология



Основные принципы объектно-ориентированного программирования

  • Редакция 2dsl.ru

  • 24 мая, 2023


Основные принципы объектно-ориентированного (ООП) программирования основаны на использовании объектов, которые представляют собой экземпляры классов, и на применении объектно-ориентированных методов и концепций. Эти основные принципы — это инструменты для создания более…


iPad 9 и iPad 10: сравнение двух поколений планшетов Apple

  • Редакция 2dsl. ru

  • 22 мая, 2023


iPad 9 и iPad 10 — это два новых планшета от компании Apple, которые были представлены в 2021 и 2022 годах соответственно. Оба планшета имеют ряд общих характеристик, но также…


Что такое Facades в Laravel

  • Редакция 2dsl.ru

  • 20 мая, 2023


Facades в Laravel — это шаблон проектирования, который позволяет использовать классы и объекты, как будто они являются статическими методами. Facades позволяют упростить код и улучшить его читаемость. Facades в Laravel…


Применение и различия SpriteKit и SceneKit

  • Редакция 2dsl.ru

  • 14 мая, 2023


SpriteKit и SceneKit — это два мощных инструмента, входящих в стандартный набор iOS-фреймворков, которые используются для создания визуально привлекательных и интерактивных пользовательских интерфейсов и игровых приложений. Оба фреймворка используются для…

Популярные записи

  • Apple
  • IP-TV и Приставки (STB)
  • PON оборудование
  • Wi-Fi
  • Абонентам TTK
  • Акции
  • Ваши вопросы
  • Видеокарты
  • Вокруг Интернета
  • Всё про IP-TV
  • Для Сайта
  • Другое
  • Железо
  • Забава.ру
  • Загрузка сайтов
  • Игры
  • Интернет-маркетинг
  • Компьютерное железо
  • Личный кабинет
  • Мир Hi-Tech
  • Мобльный раздел
  • Модемы
  • Настройки IP-TV и Интернета
  • Новости
  • Остальные
  • Ответы абонентам
  • Помощь (Технологии)
  • Проблемы с ПК
  • Проверить скорость
  • Программы
  • Разработка
  • Роутеры
  • Серия DIR
  • Спутниковое ТВ
  • Тарифы
  • Терминология
  • У меня проблема
  • Услуги

Популярные статьи

Рубрики

  • Apple
  • IP-TV и Приставки (STB)
  • PON оборудование
  • Wi-Fi
  • Абонентам TTK
  • Акции
  • Ваши вопросы
  • Видеокарты
  • Вокруг Интернета
  • Всё про IP-TV
  • Для Сайта
  • Другое
  • Железо
  • Забава. ру
  • Загрузка сайтов
  • Игры
  • Интернет-маркетинг
  • Компьютерное железо
  • Личный кабинет
  • Мир Hi-Tech
  • Мобльный раздел
  • Модемы
  • Настройки IP-TV и Интернета
  • Новости
  • Остальные
  • Ответы абонентам
  • Помощь (Технологии)
  • Проблемы с ПК
  • Проверить скорость
  • Программы
  • Разработка
  • Роутеры
  • Серия DIR
  • Спутниковое ТВ
  • Тарифы
  • Терминология
  • У меня проблема
  • Услуги

Как открыть службы в Windows 10

На Windows 10 доступно несколько способов запуска программы для управления службами — системными приложениями, которые выполняются вне зависимости от статуса пользователя. Мы рассмотрим самые популярные методы, чтобы вы могли выбрать наиболее подходящий для себя.

Поиск по системе

Если вы знаете, как называется программа, но не в курсе, где она находится, то универсальное решение — системный поиск. Запустить его можно двумя способами:

  1. Щёлкнуть по кнопке со значком лупы возле меню «Пуск».
  2. Нажать сочетание клавиш Win+S.

Самый быстрый способ перейти в список служб

В обоих случаях появится окно встроенного поиска Windows 10. Вводим запрос «службы» и получаем результат в поле «Лучшее соответствие». Программу можно открыть или запустить от имени администратора — а ещё закрепить на начальном экране или панели задач. Это удобно, если приходится постоянно обращаться к системной утилите. 

Меню «Пуск»

Ссылки на большую часть системных утилит размещены в меню «Пуск». Программа «Службы» входит в это число.

  1. Открываем меню «Пуск».
  2. Нажимаем на кнопку «Все приложения».
  3. Листаем список по раздела «Средства администрирования».
  4. Раскрываем раздел и выбираем запуск приложения «Службы». 

Запуск служб через список средств администрирования

Загрузится системная утилита, в интерфейсе которой доступны все службы Windows 10, активные и отключенные.

Контекстное меню панели задач

Ещё один удобный способ — переход к списку служб через контекстное меню панели задач. Вызвать его можно двумя способами:

  1. Кликнуть правой кнопкой по меню «Пуск».
  2. Нажать сочетание клавиш Win+X.

В контекстном меню нет отдельного пункта «Службы». Зато есть ссылка на раздел «Управление компьютером», через который мы попадём в список системных приложений. 

Воспользуемся этим разделом для перехода к списку служб

В левом меню выбираем раздел «Службы и приложения», после чего запускаем одноимённую программу. 

Здесь тоже есть ссылка на список служб Windows 10

Готово, мы добрались до списка служб Windows 10.

Диспетчер задач

В «Диспетчере задач» отображается список выполняемых и остановленных служб. Через него можно перейти в интерфейс управления системными приложениями.

  1. Нажимаем сочетание клавиш Ctrl+Shift+Esc.
  2. Если «Диспетчер задач» открывается в свёрнутом виде, кликаем по ссылке «Подробнее».
  3. Переходим на вкладку «Службы» и нажимаем «Открыть службы».

Через диспетчер задач можно управлять службами

Если нужно запустить, остановить или перезапустить службу, то можно даже не открывать отдельный интерфейс для управления системными приложениями. Эти действия выполняются через «Диспетчер задач». По клику правой кнопкой по службе появляется контекстное меню, в котором доступны все перечисленные выше опции.

Командная строка, PowerShell и меню «Выполнить»

У любого системного приложения есть название, по которому его можно вызвать. У программы «Службы» это «services.msc». Чтобы запустить оснастку с его помощью, воспользуемся любым доступным способом — например, командной строкой.

  1. Запускаем командную строку.
  2. Вводим команду «services.msc» (без  кавычек). 
  3. Нажимаем на клавишу Enter и ждём открытия системной утилиты.

Вместо командной строки можно использовать консоль PowerShell. На последних версиях Windows 10 она доступна в контекстном меню панели задач.

  1. Кликаем правой кнопкой по панели задач.
  2. Выбираем в контекстном меню консоль PowerShell.
  3. Вводим команду «services.msc» и нажимаем на клавишу Enter.

Ещё один способ — использование окна «Выполнить». Вызвать его можно сочетанием клавиш Win+R. В появившемся окне вводим команду «services.msc», нажимаем «ОК» и попадаем в список служб.

Запуск списка служб с помощью команды

Запуск новой задачи доступен также через «Диспетчер задач». В меню «Файл» есть одноимённая опция, при нажатии на которую появляется такое же окно «Выполнить», как при использовании сочетания клавиш Win+R.

Конфигурация системы

Службы — важная часть конфигурации системы, поэтому логично, что их список можно найти в одноимённой утилите. 

  1. Нажимаем сочетание клавиш Win+R для вызова меню «Выполнить».
  2. Вводим команду «msconfig».
  3. Переходим на вкладку «Службы».

Здесь можно включать и отключать службы

Здесь немного своя атмосфера. Перейти к полному списку служб из этого раздела нельзя, гибко управлять системными приложениями тоже не получится. Единственная функция — включение и отключение служб. Можно убрать из списка компоненты Microsoft, чтобы было удобнее работать со службами сторонних программ. 

Панель управления

Функциональность «Панели управления» постепенно отбирают «Параметры», однако в ней ещё остаются некоторые полезные возможности. Среди них — оснастка для управления службами.

  1. Открываем «Панель управления».
  2. Выбираем режим просмотра «Категории».
  3. Переходим в раздел «Система и безопасность».
  4. Открываем подраздел «Администрирование».
  5. Запускаем приложение «Службы».

В инструментах администрирования мы находим ещё одну ссылку на список служб

Путь получился долгим, зато без всяких команд и сочетаний клавиш.

Запуск файла

Как и у любого приложения, у «Служб» есть файл, при запуске которого открывается оснастка для управления системными компонентами. Найти его можно в папке C:\Windows\System32.

Этот файл отвечает за переход к списку служб Windows 10

Можно перейти в этот каталог через «Компьютер» или запустить «Проводник» и вставить в адресную строку значение C:\Windows\System32. Системная папка открыта для просмотра, поэтому проблем с нахождением файла services.msc не будет.

Использование сторонних приложений

Управлять службами можно не только с помощью системной утилиты, но и через сторонние приложения. Например, есть программа System Explorer. Мы рассказывали о ней в материале о приложениях для диагностики ноутбуков, но она прекрасно работает и на ПК. В System Explorer есть раздел «Службы», который полностью заменяет системные инструменты управления.

Список служб также отображается в утилитах для их отключения. Они используются для оптимизации системы. Мы уже рассказывали о том, как отключать службы Windows 10. В частности, в том материале упоминалась бесплатная утилита Easy Service Optimizer, которая выводит полный перечень системных приложений и помогает избавиться от ненужных служб.


Post Views: 1 398

Руководство защитника по службам Windows | by Jonathan Johnson

Опасно находить вредоносные сервисы в одиночку! Возьми это!

Опубликовано в

·

Чтение: 10 мин.

·

18 января

Авторы: Люк Пейн и Джонатан Джонсон

Это вторая часть игры Defender. Серия путеводителей. В соответствии с темой мы обсуждаем службы Windows, лежащие в их основе технологии, распространенные векторы атак и методы их защиты/мониторинга. Службы являются важной частью операционной системы Windows, позволяя контролировать и настраивать длительные процессы, необходимые для поддержания работоспособности ОС. Это также позволяет службам быть распространенным вектором эскалации и настойчивости злоумышленников. Некоторые службы (особенно пользовательские службы) работают с высокими уровнями привилегий и настроены на перезапуск при загрузке. Это удачный вариант для предприимчивого злоумышленника, стремящегося закрепиться в окружающей среде.

Обзор служб

Службы на базовом уровне являются процессами. Однако между услугой и стандартным процессом существуют некоторые существенные различия. Вы не можете взять стандартный двоичный файл и установить его как сервис, ожидая, что он будет работать. Службы должны быть установлены до того, как их можно будет выполнять, и им требуются определенные функции, чтобы механизм управления мог взаимодействовать с ними, о чем мы подробнее поговорим позже в этом посте.

По данным Microsoft:

«Службы Microsoft Windows, ранее известные как службы NT, позволяют создавать длительные исполняемые приложения, которые работают в своих собственных сеансах Windows. Эти службы могут запускаться автоматически при загрузке компьютера, их можно приостанавливать и перезапускать, и они не отображают никакого пользовательского интерфейса. Эти функции делают службы идеальными для использования на сервере или в тех случаях, когда вам нужны долговременные функции, которые не мешают другим пользователям, работающим на том же компьютере. Вы также можете запускать службы в контексте безопасности определенной учетной записи пользователя, которая отличается от вошедшего в систему пользователя или учетной записи компьютера по умолчанию» 9.0005

Использование служб

Обычному пользователю не нужно взаимодействовать с консолью служб, и даже опытные пользователи могут редко просматривать установленные службы. Многие из них необходимы для функционирования самой Windows, и многие из них устанавливаются вместе с программным обеспечением в течение всего жизненного цикла машины.

Хотя службами можно управлять вручную, взаимодействие с ними по существу ограничивается запуском и остановкой. Любые элементы графического интерфейса пользователя, созданные службой, отображаются в отдельной оконной станции, отличной от интерактивной станции текущего пользователя. Думайте об этом как о скрытом рабочем столе, посвященном каждой службе. Согласно Microsoft:

«Поскольку станция службы Windows не является интерактивной станцией, диалоговые окна, вызванные из приложения службы Windows, не будут видны, и ваша программа может перестать отвечать».

Что делать, если вы хотите взаимодействовать с этими станциями, или служба хочет взаимодействовать со станцией, которую вы видите ? У Microsoft есть ответ и на этот вопрос.

«.NET Framework также не включает классы, представляющие станции и рабочие столы. Если ваша служба Windows должна взаимодействовать с другими станциями, вам потребуется доступ к неуправляемому Windows API».

Короче говоря, взаимодействие пользователя со службами Windows довольно низкое. Почему мы и злоумышленники так заботимся о них? Читай, дорогой защитник, читай.

Внутреннее устройство служб

На высоком уровне службы поддерживаются сервером удаленного вызова процедур (RPC), называемым диспетчером управления службами (SCM). Этот сервер хранится в двоичном файле services.exe и позволяет создавать, настраивать, перечислять и поддерживать службы. Службы являются одним из основных компонентов операционной системы (ОС) Windows и (в зависимости от службы) необходимы для успешной загрузки/запуска ОС.

Как упоминалось ранее, службы поддерживаются RPC-сервером, называемым SCM (MS-SCMR), хранящимся в двоичном файле services.exe. Однако; Если говорить о службах, то на самом деле есть 4 основных компонента:

Диспетчер управления службами (SCM)

Когда двоичный файл service.exe запускается во время процесса загрузки, service.exe выполняет различные функции, чтобы запустить SCM. Одной из них является функция, которая генерирует базу данных службы. Это делается путем сканирования содержимого раздела реестра Services (HKLM\SYSTEM\CurrentControlSet\Services\). Каждая запись добавляется в базу данных и считается служебной записью. Каждая запись будет иметь имя службы и соответствующие параметры (подробнее об этом позже).

Если после загрузки кто-то хочет зарегистрировать службу и запустить ее в течение того же жизненного цикла загрузки, он должен использовать соответствующие API-интерфейсы Win32 на основе службы или напрямую вызывать методы RPC MS-SCMR. Это позволяет отправлять сообщения в SCM через RPC, что позволит создать службу путем создания записи в разделе реестра Службы, для которой после того, как SCM создаст другую запись службы в базе данных службы.

Однако кто-то может вручную добавить ключ в реестр в разделе реестра Services; SCM не знает, как добавить это в качестве записи. Чтобы запустить эту службу, требуется перезагрузка. Затем SCM соответствующим образом добавит эту службу в базу данных.

Функции SCM

API-интерфейсы Win32, которые можно использовать для взаимодействия с SCM, можно найти в файле winsvc.h или advapi32.dll/sechost.dll. Когда вызываются поддерживаемые API-интерфейсы Win32, они в конечном итоге вызывают двоичный файл службы RPC (services.exe), который выполняет метод MS-SCMR.

Пример: CreateServiceW будет действовать как клиент RPC, который делает NdrClientCall, который инициирует вызов метода MS-SCMR RCreateServiceW.

Для получения дополнительной информации посетите:

  • Использование телеметрии RPC
  • Путь к обнаружению телеметрии Идентификация телеметрии RPC для инженеров по обнаружению

Параметры службы

При создании службы характеристики службы передаются в качестве параметров. Некоторые параметры необходимы для успешного запуска сервиса, а другие являются необязательными. Список общих параметров:

Служба безопасности

Службы, как и реестр, являются объектами, к которым можно применить дескриптор безопасности, что делает их защищаемыми объектами. Эти права определяют, какие участники могут управлять службой и выполнять такие действия, как запуск/остановка, удаление и т. д. Существуют различные способы проверки дескриптора безопасности службы. Microsoft предоставляет Win32 API под названием QueryServiceObjectSecurity, однако есть способы сделать это и с некоторыми встроенными двоичными файлами Windows:0005

sc.exe: 

 sc.exe sdshow

PowerShell (действительно полезно, только если в ключе имени службы содержится другая папка «Безопасность»):

 $SD = Get-ItemProperty -Path HKLM: \ System \ CurrentControlSet \ Services \ Prade \ Security \ 
 $ sddl = ([wmiclass] ”win32_securitydescriptorHelper”).  BinarySdtosddl ($ sd.security) .sddl 
 $ securitydscriptor = convertfrom -sdlstring- Дискреционный Acl

Поскольку мы имеем дело с защищаемыми объектами (опять же, как и реестр), существуют права доступа, которые проверяются на соответствие дескриптору безопасности службы и токену принципала. Microsoft задокументировала эти права доступа для нас в разделе «Безопасность служб и права доступа»:

SCM на самом деле также имеет свои собственные права доступа. Они устроены таким образом, что когда кто-то пытается создать, удалить или изменить службу, он должен подключиться к SCM. Microsoft также задокументировала это:

Наконец, в рамках этого раздела мы хотим кратко упомянуть об особом «виде» услуг — защищенных услугах. Это очень распространено среди поставщиков EDR. У Алекса Ионеску есть отличная серия постов в блоге под названием «Эволюция защищенных процессов». Не вдаваясь в подробности, но если служба имеет значение, называемое «LaunchedProtected», и значение установлено в 0x02, 0x08, то двоичный файл службы (либо . exe, либо .dll) работает как защищенный процесс. Джонатан Джонсон написал сценарий PowerShell, который можно найти в его gist, который будет перечислять все защищенные процессы и службы.

Создание службы

Постоянство/повышение привилегий

Часто при обсуждении служб речь идет о сохранении. Службы имеют возможность запускаться при загрузке/старте системы. Злоумышленникам удобно сохранять плацдарм высокопривилегированной учетной записи для сохранения и того, что службы создаются так часто, что аналитикам может быть трудно отличить вредоносные службы от невредоносных служб.

Исполнение/Боковое перемещение

Создание сервиса также можно использовать для выполнения или горизонтального перемещения. Типичным примером, который приводится, может быть PsExec, который, как известно, создает службу и запускает ее в удаленной системе.

Создание обнаружения для этих тактик требует телеметрии для новых установок службы в системе, что возможно, но потенциально зашумлено.

Модификация службы

Услугами можно легко злоупотреблять для повышения привилегий несколькими способами:

Путь к сервису без кавычек с пробелом

Если путь к сервису не заключен в кавычки и содержит пробел, аналогично перехвату порядка поиска DLL, система будет искать «C:\Program Files\Company.exe», прежде чем пытаться «C:\ Program Files\Company Name\test.exe», что позволяет просто вставить двоичный файл без каких-либо изменений самой службы.

Путь службы, доступный для записи пользователем

Если путь, по которому находится двоичный файл службы, доступен для записи пользователем, двоичный файл службы можно просто заменить, чтобы получить выполнение. Новый двоичный файл будет выполняться с тем же уровнем привилегий, что и исходный двоичный файл.

Служба, изменяемая пользователем

Если служба может быть изменена пользователем, путь службы может быть изменен так, чтобы он указывал на новый двоичный файл. Это включает в себя изменения в реестре служебных данных (хотя для вступления изменений в силу потребуется перезагрузка).

Классифицировать вредоносную службу может быть довольно сложно. Это связано с тем, что телеметрия, которую вы увидите ниже, может быть несколько ограничена данными, которые они предоставляют. Недостаточно посмотреть на имя службы, путь к изображению и т. д., чтобы определить, была ли служба вредоносной. Итак, мы хотели дать вам несколько потенциальных вещей, которые могут помочь.

  • Проверьте, насколько эта услуга распространена в вашей организации. Хорошим примером этого является PsExec. PsExec — очень распространенная служба, которую злоумышленники сбрасывают. Однако; если ваша организация не разрешает администраторам использовать PsExec для задач удаленного администрирования (что мы не предлагаем разрешать), то создание службы PsExec (PsExecSvc) вызывает большую тревогу.
  • Нечитаемые имена служб. C2 позволяют злоумышленнику контролировать имя службы, однако злоумышленники нередко просто используют значения по умолчанию при выполнении этих команд. Эти значения по умолчанию часто включают нечитаемые имена, которые могут быть просто строкой символов. В отчете DFIR за 2021 год показан пример, когда служба была установлена ​​со строкой 9.0149 27б435 .
  • Необычные пути к изображениям. Многие злоумышленники сбрасывают файлы в общие ресурсы C$, ADMIN$, а также в каталоги Temp. Если вы видите службы, установленные с путем из одного из этих каталогов, мы предлагаем изучить его.
  • Установка службы имеет сетевое подключение. Мы часто ищем сервисы, которые были установлены там, где пришел запрос по сети, и/или если сам сервис имеет сетевые подключения после запуска. Это может дать нам контекст относительно того, откуда поступила инструкция по созданию и/или куда идет сообщение.

Очевидно, что при поиске сервисов есть много других вещей, на которые следует обращать внимание — например, поиск двоичных файлов сервисов VT score, но мы хотели дать несколько вещей, на которые мы обычно любим смотреть. Приведенная ниже телеметрия — это способы идентификации вновь созданных и измененных служб.

В этом разделе основное внимание уделяется собственной телеметрии, а также телеметрии EDR, которая предоставляется нам для использования. Собственная телеметрия будет включать события безопасности Windows (WSE), а EDR будет включать события Microsoft Defender for Endpoint/Sysmon.

События Windows:

  • Идентификатор события 4697 (безопасность) — служба была установлена ​​в системе
  • Зависит от вызова RPC — вызывается RCreateService*. Для получения дополнительной информации посетите: TelemetrySource.
  • Идентификатор события 7045 (Система) — служба была установлена ​​в системе
  • Зависит от вызова RPC — вызывается RCreateService*.

Microsoft Defender для конечной точки:

  • DeviceEvents:ServiceInstalled
  • Зависит от вызова RPC — вызывается RCreateService*.
  • DeviceRegistryEvents:RegistryKeyCreated
  • DeviceRegistryEvents:RegistryValueSet

Sysmon:

  • Идентификатор события 12 — Создание/удаление реестра
  • Идентификатор события 13 — Регистрация y Набор значений

Объяснение можно найти здесь, а пример Jupyter Notebook с помощью этой телеметрии можно найти здесь.

Примечания к телеметрии

Как показано выше, многие события зависят от вызываемого вызова RPC RCreateService*. Как упоминалось ранее, службу можно создать, добавив раздел реестра и не используя какой-либо из поддерживаемых API-интерфейсов SCM. Как известно, поиск значений создания/набора ключей реестра в разделе реестра служб (HKLM:\SYSTEM\CurrentControlSet\Services) является более надежным решением, чем полагаться на время создания служб. Это вызовет множество предупреждений, если вы будете искать только создание ключа в разделе реестра служб, поэтому мы предлагаем выполнить надлежащую обработку после предупреждения, чтобы правильно идентифицировать потенциально вредоносные службы, которые были созданы.

  • Книга внутреннего устройства Windows, часть 2, глава 10 073 Введение в службы Windows
  • QueryServiceObjectSecurity
  • ProtectionChecks.ps1
  • Эволюция защищенных процессов

Как исправить службы, которые не открываются/не отвечают (Windows 10)

  1. org/ListItem»> Главная
  2. Окна

Windows 10 поставляется с несколькими стандартными приложениями, которые позволяют пользователям изменять и управлять различными компонентами системы. Это включает в себя возможность перезапускать основные службы, перезапускать, завершать или отключать системные задачи, а также управлять дисками и накопителями, среди прочего.

Эти приложения включают, помимо прочего, средство просмотра событий, средство управления дисками, средство служб, диспетчер устройств, планировщик заданий и т. д.

Fix Services.msc не открывается или не отвечает

Services.msc — стандартное приложение для Windows 10, которое позволяет пользователям включать, отключать и изменять способ запуска служб в ОС. Эти службы включают службы ОС, такие как служба диспетчера очереди печати, а также сторонние службы, такие как служба обновления Chrome.

Приложение часто требуется для устранения неполадок в Windows 10, когда необходимо перезапустить или закрыть службы или отключить их для устранения проблем. Открыть Services.msc;

  1. Нажмите сочетание клавиш Win+R , чтобы открыть окно запуска.
  2. В поле запуска введите services.msc и нажмите клавишу Enter.
  3. Откроется приложение Services.msc.

Если описанные выше шаги не работают, и вы не можете открыть приложение или оно зависает сразу после открытия, попробуйте следующие исправления.

Перезагрузите систему

Возможно, в вашей системе возникла ошибка, из-за которой приложение Services.msc не открывается или оно зависает. Перезагрузите систему и попробуйте открыть приложение.

Проверить ассоциацию консоли управления Microsoft

Приложение MSC или .msc на самом деле представляет собой тип файла, очень похожий на файл EXE. Этот файл открывается с помощью консоли управления Microsoft. Если ассоциация приложений нарушена, т. е. Windows 10 не знает, как открыть файл MSC, файл services.msc не откроется.

  1. Откройте приложение «Настройки » с помощью сочетания клавиш Win+I.
  2. Перейти к приложениям.
  3. Выберите вкладку Приложения по умолчанию.
  4. Щелкните параметр Выбрать приложения по умолчанию по типу файла .
  5. Найдите .msc и нажмите кнопку плюс.
  6. Выберите Консоль управления Microsoft.

Запустить сканирование системы

Возможно, проблема с системными файлами. Вы можете восстановить их, запустив сканирование SFC.

  1. Откройте командную строку с правами администратора.
  2. Запустите эту команду : sfc/scannow .
  3. Разрешить команде c завершить и исправить файлы/ошибки.
  4. Откройте services.msc.

Запустите services.msc с правами администратора

Services.msc требует прав администратора для запуска. Если вы запустите его без прав администратора, он может зависнуть.

  1. Откройте командную строку с правами администратора.
  2. Введите эту команду: services.msc и нажмите Enter.
  3. Откроется приложение services.msc.

Перерегистрировать файлы DLL

Приложение Services.msc может перестать отвечать на запросы или не открываться, если есть проблема с файлами DLL. Самый простой способ исправить это — перерегистрировать их.

  1. Откройте командную строку с правами администратора.
  2. Затем выполните следующие команды, одну за другой. 
 Regsvr32 Msxml.dll
Regsvr32 Msxml2. dll
Regsvr32 Msxml3.dll
  1. После выполнения команд перезагрузите систему.

Изменить настройки Services.msc в безопасном режиме

Services.msc — это приложение, и его настройки могли быть изменены, что привело к его зависанию или закрытию. Вам нужно будет загрузиться в безопасном режиме, чтобы исправить это.

  1. Загрузитесь в безопасном режиме с включенной сетью .
  2. Коснитесь сочетания клавиш Win+R, чтобы открыть окно запуска.
  3. Введите services.msc и нажмите Enter.
  4. Дважды щелкните службу информации о приложении .
  5. Перейдите на вкладку Общие.
  6. Откройте раскрывающийся список Тип запуска и выберите Вручную.
  7. Нажмите Применить и выйти из безопасного режима.
  8. Откройте файл Services.