知道哪些系统服务会使你身处险境吗(3)

常常做“替罪羊”的打印服务
涉及服务:Print Spooler  危害:拖慢系统
系统速度突然变得很慢，打开“任务管理器”查看进程后竟然发现有一个spoolsv.exe的服务占用了大多数的CPU资源。在命令提示符中用“tasklist /svc”命令看了一下，发现这个进程竟然属于Print Spooler服务(见图6)。中毒了？还真说不好，虽然有病毒冒充这个服务进程，但如果你的杀毒软件稍微挣气一点点、偶尔升级一下下的话，这种甲骨文(别误会，此处并没有偷偷说Oracle的坏话)级别的病毒肯定不会存在于你的系统。刚才还说微软不傻，可现在实在忍不住要鄙视一下他们，直到今天，仍然有这么多人因为Windows XP中的低级Bug造成系统缓慢。故障出现的原因是系统没有及时删除打印后台文件，因此在向打印机发送打印作业时，后台的打印服务就会反复尝试对此打印作业进行后台处理(简而言之——死循环)。

微软原来想干嘛:通过打印池服务管理和控制打印队列。
黑客是怎么干的:黑客这回什么也没干，我们错怪他了……
安全建议:如果出现spoolsv.exe占用大量系统资源的状况，首先确保杀毒软件仍在正常工作中，然后尝试删除“%Systemroot%\System32\Spool\Printers”目录下的所有文件，并重启打印服务。如果你有打印机，那么强烈建议不要为了这点小事把此服务禁用，否则你就什么都打印不了了。

小提示
只有Windows XP以上的系统可以使用“tasklist /svc”命令，单独的“tasklist”命令可以列出系统中当前的所有进程，而加参数“svc”后就能显示所有的服务进程和它们对应的服务。

可以理解为“微软后门”的远程注册表服务
涉及服务:Remote Registry 危害:啥都危害了
比尔大叔可能以为每个普通用户都会在远程管理自己的电脑，所以他把这个服务设定为系统默认启动。尽管如此，我们也不能因为要告诉读者此服务有危险就信口开河，把它说成网络中的每个用户都能访问的东西。远程注册表操作，还是需要IPC登录的管理员权限才行(如果有人会问IPC登录的游客权限账户行不行，我会告诉他们:“扯淡！除了管理员，压根没别人能登录IPC。”)。对弱口令的用户来说，这个漏洞是致命的，黑客很容易就能在你系统的注册表里做点手脚，木马、后门，啥都来了。

微软原来想干嘛:让用户远程管理本地系统中的注册表，这……这实在太扯了。
黑客是怎么干的:穷举弱口令，找出管理员账户密码并登录IPC，然后打开“注册表编辑器”，通过远程功能连接到受害者系统中的注册表(见图7)，然后在自启动项里加点木马和后门，在文件关联里再加一道木马的生存保险，最后顺便瞄一眼播放器在注册表里的历史记录，看看受害者最近在看什么新片……
安全建议:如果你没有什么奇特的使用需求，强烈建议将此服务设为“禁用”，这本该是Windows自己做的。

你凭什么成为别人的文件服务器
涉及服务:Server  危害:信息泄露
花了半年早饭钱买回来的数百GB大硬盘，却在沦为别人的文件服务器，这种事谁能接受！？身在学校、公司等局域网环境的朋友注意了，如果你平时就讨厌把硬盘里的东西共享给别人，那就干脆把这个服务给禁用了。又是IPC登录后闹的(这个理由我都有些厌倦了)，说来说去，弱口令是万万不可取的！