Suspension filetée de service

  • Description: Une technique d’évasion plus avancée qui cipère les services critiques du système responsables de la journalisation ou de la surveillance, tels que le prélecture (SysMain), le PCA (PcaSvc), la journalisation des événements (EventLog) ou le diagnostic (DPS). Au lieu d’arrêter complètement le service (ce qui est facilement détectable via ou les gestionnaires de service), le bypasser suspend des threads spécifiques au sein du processus du service (souvent ).sc query svchost.exe

  • Mécanisme: Nécessite des outils capables d’interagir avec des threads de processus, tels que Process Hacker / System Informer, ou des scripts/outils personnalisés utilisant des fonctions API Windows telles que , , et . Le bypasser identifie le(s) thread(s) spécifique(s) associés à la fonctionnalité principale du service cible (souvent lié à sa DLL principale, par exemple pour SysMain, pour PcaSvc, pour EventLog, pour DPS) et les place en état suspendu.OpenThread SuspendThread ResumeThread sechost.dll pcasvc.dll wevtsvc.dll dps.dll

  • Pourquoi les tricheurs l’utilisent : Cela permet au processus principal de service () de rester listé comme « En cours » dans le Gestionnaire des tâches et les requêtes de service, ce qui peut tromper les vérifications de base. Cependant, le(s) thread(s) suspendu(s) empêchent le service d’accomplir sa fonction réelle (par exemple, écrire des fichiers de prélecture, enregistrer les événements, enregistrer les données DPS). C’est une façon plus discrète de désactiver la journalisation que d’arrêter complètement le service.svchost.exe

  • Détection: Nécessite une inspection directe des threads au sein des processus de service concernés à l’aide d’un outil comme System Informer (fonctionnant sous le nom d’Administrator) :

    1. Localiser le (ou le processus potentiellement dédié) associé au service cible (par exemple, SysMain, PcaSvc, EventLog, DPS).svchost.exe

    2. Faites un clic droit sur le processus -> Propriétés -> onglet Fils de discussion.

    3. Examinez la liste des fils de discussion. Cherchez des fils avec un état « Suspendu ».

    4. Faites très attention à la colonne « Commencer l’adresse ». Si les threads suspendus ont des adresses de départ pointant dans la DLL principale associée à la fonctionnalité de ce service (par exemple, , ), cela est très suspect et fortement indicatif d’une falsification délibérée pour désactiver la journalisation.sechost.dll wevtsvc.dll

PrécédentManipulation des attributs (lecture seule)SuivantObfuscation de l’invite de commande (CMD)

Mis à jour