Нужна технология запуска выполняемого кода через svchost

[dim99]

Нужна технология запуска выполняемого кода через svchost. Как служб и как обычных процессов, dll и exe-шников. Вот здесь есть кое что, но только как запускаются службы оформленные в dll файлах посредством svchost. support.microsoft.com/kb/314056
Имеется в виду не программирование.

[Borland]

svchost предназначен исключительно для запуска служб Windows. Другое использование не предусмотрено.

[dim99]

Да нет. Я вижу по логам McAfee что через svchost запускаются программы не Windows: модуль программы сканирования (hpqcxs08.dll), модули MS SQL (sqlmap70.dll, ssnetlib.dll, ums.dll), модуль Microsoft Firewall Client (Microsoft Firewall Client Windows Sockets 2 Service Provider - FwcWsp.dll).
Правило Access Protection McAfee - "Prevent svchost executing non-Windows executables"
- говорит о том, что McAfee собирается блокировать запуск не Windows исполняемых модулей через svchost. И он это - делает, это видно и по логам и по тому, что эти проги - не работают.
Возможно и не предусмотрено создателями Windows XP такое использование svchost, но реально - его пользуют и по полной программе.
Вот скрин - на котором видно, что под svchost вообще exe-шник работает - это компононт McAfee. Картинка - ProccessExplorer8.4

[Borland]

Ключевое слово здесь служба. Служба Windows вовсе не обязательно входит в изначальный пакет ОС. И даже вовсе не обязательно выпущена M$. Это просто специальное написанное приложение.

Цитата:

Сообщение от dim99

Правило Access Protection McAfee

И каким боком Макэффи относится к теме топика?
Разве что тем, что является примером службы Windows...

[dim99]

Цитата:

Сообщение от Borland

И каким боком Макэффи относится к теме топика?

В данном случае, я использую ее как программу - для мониторига запуска не Windows компонент через svchost. Модуль Access Protection не использует баз сигнатур вредоносного кода, это утилита, которая могла быть бы написана для самостоятельного применения.

Цитата:

Сообщение от Borland

Ключевое слово здесь служба. Служба Windows вовсе не обязательно входит в изначальный пакет ОС. И даже вовсе не обязательно выпущена M$. Это просто специальное написанное приложение.

Конечно ДА, но разве я это оспариваю? Все, перечисленные мной dll не вызываются отсюда:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
(В оснастке Службы - services.msc - нет служб, которые бы вызывались из этих dll)
Они не описаны как службы. Откуда идет их вызов - пока не знаю. В реестре их - нет.

[Borland]

dim99, службы вовсе не обязаны отображаться в оснастке "Службы". В качестве служб, к примеру, функционируют многие драйверы устройств (тот же модуль сканирования).

Цитата:

Сообщение от dim99

Все, перечисленные мной dll не вызываются отсюда

Вызываются. Возможно косвенно, но именно отсюда

Цитата:

Сообщение от dim99

В оснастке Службы - services.msc - нет служб, которые бы вызывались из этих dll

Мокрософт SQL Server и Брандмауэр Windows - есть. Драйвер сканера действительно скорее всего отсутствует в списке служб.

[dim99]

Цитата:

Сообщение от Borland

службы вовсе не обязаны отображаться в оснастке "Службы".

Хорошо, а где должны? Как посмотреть?

Цитата:

Сообщение от Borland

В качестве служб, к примеру, функционируют многие драйверы устройств (тот же модуль сканирования).

Ну да, они описаны здесь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services но Службами, наверно, не являются.
Как я понимаю, есть Службы, Службы-драйверы, чисто-драйверы

Цитата:

Сообщение от Borland

Вызываются. Возможно косвенно, но именно отсюда

Хорошо, но мне нужно увидеть ОТКУДА, я хочу отследить всю цепочку вызова.

Цитата:

Сообщение от Borland

Мокрософт SQL Server и Брандмауэр Windows - есть.

SQL Server да он есть, но вызов идет exe-шников, только. Ни каких svchost. А Access Protection логирует и блокирует вызов именно через svchost - компонентов M$ SQL - sqlmap70.dll, ssnetlib.dll, ums.dll. Конечно, можно все списать на ошибки McAfee, но я почему то
уверен, что тут все правильно.
Насчет dll -FwcWsp.dll (Microsoft Firewall Client Windows Sockets 2 Service Provider ) я ошибся. Ее вызов есть в реестре, случай службы-драйвера.
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_C atalog5\Catalog_Entries\000000000001
Но запуск же не через svchost, она как дрв запускается. Хотя в Диспетчер Устройств - Вид- Показать скрытые - Устройства не PnP - ее нет.
Ее описание во вложении.

[Borland]

Цитата:

Сообщение от dim99

но мне нужно увидеть ОТКУДА, я хочу отследить всю цепочку вызова

Кроме Process Explorer, в состав Windows Sysinternals Suite входят и другие полезные программы... Например http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx и http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

[dim99]

Стандартными средствами список дрв. и служб
sc query type= driver
sc query type= service

Или перечисление и дрв. и служб в одном списке
sc query state= all