Как запретить Windows переписывать svchost?

[The_Darkness]

Мне окончательно надоели все эти жуткие способы незаметного автозапуска программ с 3 тоннами кода и я решил назвать как нибудь svchost(все время ему бедному достается) по другому а свою прогу назвать соответственно svchost! И при запуске моей проги запускать и svchost под его новым именем а моя прога само собой будет автоматом загружаться при запуске Windows. Вроде все хорошо, а Windows все время переписывает svchost на изначальный.Как запретить ей это делать?

[rpy3uH]

это возможно только в безопасном режиме. Но тем не менее если у тебя получится его заменить в обычном режиме Windows покажет сообщение о том что нарушены компоненты Windows и надо вставить оригинальный компакт диск с дистрибутивом.

[JTG]

Н-да, ТС, какие амбициозные планы однако )))

Svchost, прям процесс всех процессов, ДОЛЖЕН стартовать намного раньше твоеё проги, т.к. именно он во время загрузки системы ещё до того, как появится стандартное "Приветствие", составляет список служб, которые необходимо запустить, группирует их каким-то образом и загружает. На том этапе, когда начинает работу svchost стандартное приложение наверняка даже просто запустится не сможет, не говоря уже о том, чтоб создать какой-либо процес, кстати говоря сам по себе запуск svchost тоже ничего не даст, гляди:

DHCP Client - C:\WINDOWS\system32\svchost.exe -k netsvcs
Removable Storage - C:\WINDOWS\system32\svchost.exe -k netsvcs
Server - C:\WINDOWS\system32\svchost.exe -k netsvcs
Windows audio - C:\WINDOWS\System32\svchost.exe -k netsvcs
...
Вопрос на засыпку - откуда система знает что надо запустить ту или иную службу, если приложение и параметры одни и те же

Так что заменяй какой-нибудь менее важный автозагружаемый файл (explorer, ctfmon... идея собственно не нова, так поступают компаньон-вирусы)

[The_Darkness]

Понятно. Короче svchost не прокатит А если аналогичным способом подменить smss.exe, не прокатит? Если бы прог-а запускалась сама, да еще б и не убивалась, было б вобче круто( но что-то подсказывает мне, что если б такое легко осуществлялось, весь мир сидел бы без инета, т.к. он был бы полон неубиваемых вирусов )

[B_N]

Цитата:

Сообщение от The_Darkness

Понятно. Короче svchost не прокатит А если аналогичным способом подменить smss.exe, не прокатит? Если бы прог-а запускалась сама, да еще б и не убивалась, было б вобче круто( но что-то подсказывает мне, что если б такое легко осуществлялось, весь мир сидел бы без инета, т.к. он был бы полон неубиваемых вирусов )

Если все обстоит действительно так, как Вы говорите, "...svchost(все время ему бедному достается)", то у Вас либо неверно сконфигурированная, либо основательно вирушеная система. У меня, к примеру, при аптайме около сорока часов, на момент написания поста, только один ServiceHost "съел" 1 час 20 минут, у остальных это время не превышает нескольких секунд, т.е. реально, нагрузка от всех их вместе взятых - пара процентов. Не стоит забывать еще, что масса зловредов любят маскироваться под svchost.exe и другие сугубо системные процессы. Если Вам нужно грузиться в систему раньше чего-то другого, то для этого существует масса правомочных, с точки зрения ОС способов, как хорошо документированных, как сервисы и драйвера, так и относительно слабо документированных, как замена msgina.dll или winlogon.exe на свои собственные. Просто так заменять менеджер сессий smss.exe, "оконную" подсистему csrss.exe, сервер входа в систему lsass.exe или менеджер сервисов services.exe не прокатит, стоит еще помнить, что на этапе загрузки между ними идет очень интенсивный и почти нигде не описаный обмен данными и сложная синхронизация, которые вряд ли выйдет "заменить" переименованием файла. Если Вам просто интересно, "откуда ноги растут", начните, например с "Внутреннего устройства Windows NT" Руссиновича и Соломона, если Вы хотите полностью контролировать систему, оставаясь при этом целиком или почти незамеченым, то Вам нужно в нулевое кольцо.

[Almaas]

Господа, раз уж тут про svchost разговор идет, помогите разобраться пожалуйста.
У меня Касперский все время при подключении-отключении от инета выдает:
"Перехвачена попытка удалить значения в ключе системного реестра, содержащего состав системных библиотек, загружаемых при старте операционной системы."
Ключ: HKEY_LOCAL_MACHINE\SYSTEM\ControlSe t001\Services\Tcpip6\Parameters\Int erfaces\{27551826-1fce-452c-aa93-22d46fc26865}
и вроде как процесс этот вызван svchost.
Раньше, вылазило только одно сообщение, я запрещал и все дальше работало нормально. После установки SP1 (у меня Vista Home Basic) таких сообщений стала вылазить целая пачка.
Насколько это опасно и стоит ли мне добавить этот процесс к доверенной зоне в Касперском? Или, если это лучше, подскажите, какое правило в Касперском создать, чтобы и безопасно было, и эти надписи не раздражали?
За ранее, спасибо.

[JTG]

На форуме касперского говорят

Цитата:

"Hi, it's a normal popup, for svchost you can create a rule and allow it, it's just some modification in the network interfaces."

Типа перемудрили они с проактивной защитой, добавь в исключения =)

[KORN]

а ты напиши svchost.exe тока букву С напиши русской и тогда конфликта не будет... либо напиши svhost.exe тоже не сразу заметишь подмены то трабла будет в том что в автозапуске появится клон и это наведет на подозрение...