Question Plus d'infos sur svchost.exe

Hello,

Pour bien débuter la semaine, je vous propose un petit billet que je viens de publier sur mon blog:

janel.spaces.live.com/blog/cns!9B5AA3F6FA0088C2!427.entry

Le titre complet est \"PowerShell, svchost.exe et les fonctions avancées (1ere partie)\". En effet, j'y décrit une technique (parmi d'autres) pour explorer les services hébergés dans un processus svchost.exe.

Dans une 2eme partie (à venir dans les tous prochains jours) je reprendrai le script créé dans cette 1ere partie en l'améliorant gràce aux fonctionnalités apportées par la v2 et regroupées sous le nom de \"fonctions avancées\".

A suivre!

Janel

Salut,

Mais get-process ne fournit pas de méthode pour aller voir quels services se cachent dans ces processus.

Une autre approche serait d'utiliser les API Win32 mais là aussi le code serait assez complexe.
Sinon tu pouvais préciser que svchost charge des dll et qu'une instance d'un process propose la liste des DLL qu'il utilise par la propriétés Modules :
[code:1]
get-process svchost|foreach-object{$_.modules}
[/code:1]

En effet, j'ai mentionné la possibilité d'afficher les modules dans mon billet, en précisant que la solution n'est pas idéale parce qu'elle renvoie tous les modules, y compris ceux qui ne correspondent pas à des services.

Et même pour ceux qui correspondent à des services, la relation entre module et service n'est pas forcément évidente. Or, je voulais pouvoir obtenir des détails sur les services en question (leur description, leur status, éventuellement les arrêter, etc).

Janel