Cuando abro el administrador de tareas, veo los procesos (servicios) de Windows en la parte inferior. Como programador, quiero crear un proceso / servicio de Windows para la investigación de seguridad (Windows Defender) pero tengo algunas preguntas,
cuando un ejecutable se ejecuta como un servicio de Windows y como administrador, ¿el defensor de Windows aún lo escanea en busca de subprocesos?
Windows Defender, como casi todos los programas antivirus / antimalware, se ejecuta con un acceso extremadamente privilegiado y, de forma predeterminada, analiza todo lo que puede. Eso definitivamente incluye los servicios de Windows, incluso aquellos que se ejecutan como SISTEMA [LOCAL] (en realidad sería un poco extraño ejecutar un servicio como Administrador; el Administrador es una cuenta de usuario, mientras que SISTEMA es una cuenta de servicio. Sin embargo, tienen permisos equivalentes). / p>
Defender también escanea los archivos que no se están ejecutando. Es decir, escanearía el binario cuando lo creara (compiló) o cuando lo movió al sistema (descargándolo o copiándolo desde un almacenamiento externo, o lo que sea). Podría ser posible pasar el análisis del archivo de forma segura, pero el análisis ejecutable lo atrapa, dependiendo de las firmas que busque en cada caso. Incluso es ligeramente posible que lo contrario sea cierto, aunque sería extraño (y no tiene sentido; si no puedes pasar la exploración del archivo, no tendrás la oportunidad de ejecutar).
Como se detalla en aquí en este Microsoft KB página :
[...] De forma predeterminada, a la cuenta del sistema se le otorga el control total de todos los archivos en un volumen NTFS. Aquí la cuenta del sistema tiene el mismo funcional. privilegios como la cuenta de administrador.
Énfasis mío.
El servicio antimalware de Windows Defender se ejecuta bajo este usuario del SISTEMA, y esencialmente le da acceso al servicio a todo, incluidos todos los demás procesos, ya sea que se ejecuten con privilegios administrativos o no.
Si aún necesita asegurarse de que Windows Defender está escaneando en tiempo real, publiqué una respuesta a una pregunta del Superusuario aquí que le indica cómo usar Process Hacker para ver qué archivos está leyendo el servicio.
Process Hacker se puede usar para Ver los archivos que están siendo escaneados también. Una vez instalado, ejecute el programa como administrador, o haga clic en
Show details for all processesen el menú desplegable Hacker.Desde allí, vaya a la pestaña Disco. Todos los archivos que se están leyendo o escrito a se mostrará; Cualquier archivo en esa lista que dice que es siendo leido por MsMpEng.exe (el ejecutable principal del Defender) esta siendo escaneado Es más fácil ver lo que se está escaneando si pega
MsMpEng.exeen la barra de búsqueda en la parte superior derecha de la ventana y luego haga clic en la columna Archivo para ordenar alfabéticamente, ya que esto filtra lista para que solo aparezcan los archivos analizados por Defender.
Abre el cuadro de diálogo Ejecutar presionando la tecla "Windows" y la tecla "R" Escriba ‘services.msc’ en el cuadro de diálogo Abrir Presione la tecla Enter o haga clic en el botón OK Consulte el ‘Centro de seguridad’ en la lista de servicios Haga clic derecho en el Centro de seguridad Haga clic en Reiniciar
Lea otras preguntas en las etiquetas windows-permissions windows