Dssvc что это за служба windows 10

When you open the Task Manager on your Windows computer, you may come across a process called “Service Host: Data Sharing Service” running in the background. This process might raise some questions and concerns, especially if you are not familiar with it. In this article, we will explore what the Service Host: Data Sharing Service process is, why it is running in Task Manager, and whether it poses any risks to your system.

Картинка с сайта: malwaretips.com

Understanding the Service Host: Data Sharing Service Process

The Service Host: Data Sharing Service process, also known as “dssvc.exe,” is a legitimate Windows system process that is responsible for facilitating data sharing between applications and services on your computer. It is part of the Windows operating system and plays a crucial role in enabling various functionalities and features.

When you install Windows, several services are installed by default to ensure the smooth functioning of the operating system. These services are grouped together under a single process called “Service Host.” The Service Host process acts as a container for multiple services, including the Data Sharing Service.

Why is the Service Host: Data Sharing Service Running?

The Service Host: Data Sharing Service process runs in the background to support various Windows features and functionalities. It enables data sharing between applications and services, allowing them to communicate and exchange information seamlessly.

One of the primary purposes of the Data Sharing Service is to facilitate the sharing of diagnostic and usage data with Microsoft. This data helps Microsoft improve the performance, reliability, and security of their products and services. By analyzing this data, Microsoft can identify and address potential issues, develop patches and updates, and enhance the overall user experience.

It is important to note that the data collected by the Data Sharing Service is anonymized and does not contain any personally identifiable information. Microsoft follows strict privacy guidelines and regulations to ensure the protection of user data.

Is the Service Host: Data Sharing Service Process Safe?

The Service Host: Data Sharing Service process is a legitimate system process and is not inherently harmful or malicious. It is a crucial component of the Windows operating system and is required for the proper functioning of various features and services.

However, it is essential to remain vigilant and ensure that the process running on your system is genuine and not a disguised malware or virus. Malware and viruses often use similar names to legitimate processes to evade detection. To ensure the safety of your system, it is recommended to regularly scan your computer for malware and viruses using reliable security software like Malwarebytes Free.

How to Identify the Legitimacy of the Service Host: Data Sharing Service Process?

To verify the legitimacy of the Service Host: Data Sharing Service process running on your system, you can follow these steps:

1. Open the Task Manager by pressing Ctrl + Shift + Esc or right-clicking on the taskbar and selecting “Task Manager.”
2. Click on the “Processes” or “Details” tab, depending on your Windows version.
3. Locate the “Service Host: Data Sharing Service” process in the list.
4. Right-click on the process and select “Properties.”
5. In the Properties window, check the file location and digital signature.

If the file location is in the “C:\Windows\System32” directory and the digital signature is verified to be from Microsoft, it is highly likely that the process is legitimate. However, if the file location is suspicious or the digital signature is not verified, it is recommended to perform a thorough malware scan using reliable security software.

Conclusion

The Service Host: Data Sharing Service process is an essential component of the Windows operating system that enables data sharing between applications and services. It plays a crucial role in facilitating the smooth functioning of various features and services.

While the process itself is not harmful, it is important to remain cautious and ensure that the process running on your system is legitimate. Regularly scanning your computer for malware and viruses using reliable security software like Malwarebytes Free can help ensure the safety and security of your system.

By understanding the purpose and functionality of the Service Host: Data Sharing Service process, you can make informed decisions regarding its presence in the Task Manager and ensure the optimal performance of your Windows computer.

Provides data brokering between applications.

Default Settings

Default Behavior

Data Sharing Service is a Win32 service. In Windows 10 it is starting only if the user, an application or another service starts it. When the Data Sharing Service is started, it is running as LocalSystem in a shared process of svchost.exe along with other services. If Data Sharing Service fails to load or initialize, Windows 10 start up proceeds without warnings. However the error details are being logged.

Restore Default Startup Configuration of Data Sharing Service

1. Run the Command Prompt as an administrator.

2. Copy the command below, paste it into the command window and press ENTER:

sc config DsSvc start= demand

3. Close the command window and restart the computer.

The DsSvc service is using the DsSvc.dll file that is located in the C:\Windows\System32 directory. If the file is removed or corrupted, read this article to restore its original version from Windows 10 installation media.

Provides data brokering between applications.

This service also exists in Windows 11.

Startup Type

Default Properties

Default Behavior

The Data Sharing Service is running as LocalSystem in a shared process of svchost.exe. Other services might run in the same process. If Data Sharing Service fails to load or initialize, Windows 10 start up proceeds. No warning is displayed, but the error is recorded into the Event Log.

Restore Default Startup Type of Data Sharing Service

Automated Restore

1. Select your Windows 10 edition and release, and then click on the Download button below.

2. Save the RestoreDataSharingServiceWindows10.bat file to any folder on your hard drive.

3. Right-click the downloaded batch file and select Run as administrator.

4. Restart the computer to save changes.

Note. Make sure that the DsSvc.dll file exists in the %WinDir%\System32 folder. If this file is missing you can try to restore it from your Windows 10 installation media.

Yea, though I walk through the valley of the shadow of death, I will fear no evil: for thou art with me; thy rod and thy staff they comfort me.

Команды sc query и wmic для сохранения списка состояния сервисов Windows.
Время на стриме — 02:05:20

Состояние сервисов после установки на чистой Windows 10 Pro 1809 x64. Большой список всех служб, выдаваемый командой sc query, с русскими и английскими названиями:

Файл ALL SERVICE STOP START.bat
Время на стриме — 02:16:07 «Остановка сервисов в автоматическом режиме»

Все службы в Windоws 10

1. AJRouter — Служба маршрутизатора AllJoyn: Перенаправляет сообщения AllJoyn для локальных клиентов AllJoyn. Если эта служба будет остановлена, клиенты AllJoyn, у которых нет своих связанных маршрутизаторов, не смогут запуститься. Запуск вручную

2. ALG — Служба шлюза уровня приложения: Обеспечивает поддержку стороннего протокола для общего доступа к подключению к Интернету. Запуск вручную

3. AppIDSvc — Удостоверение приложения: Определяет и проверяет удостоверение приложения. Отключение данной службы делает невозможным принудительное применение политики AppLocker. Запуск вручную

4. Appinfo — Сведения о приложении: Обеспечивает выполнение интерактивных приложений с дополнительными административными привилегиями. Если эта служба будет остановлена, пользователи не смогут запускать приложения с дополнительными административными привилегиями, которые могут потребоваться для выполнения нужных пользовательских заданий.  Запуск вручную

5. AppMgmt — Управление приложениями: Обработка запросов на установку, удаление и построение списков для программ, установленных через групповую политику. При отключении этой службы пользователи не смогут устанавливать, удалять и создавать списки программ, установленных через групповую политику. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Запуск вручную

6. AppReadiness — Готовность приложений: Подготовка приложений к использованию при первом входе пользователя на компьютер или добавлении новых приложений. Запуск вручную

7. AppXSvc — Служба развертывания AppX (AppXSVC): Обеспечивает поддержку инфраструктуры для Магазина Windows. Эта служба запускается по требованию. Если она отключена, приложения из Магазина не будут развертываться в системе и могут работать неправильно. Запуск вручную

8. AudioEndpointBuilder — Средство построения конечных точек Windows Audio: Управление звуковыми устройствами для службы Windows Audio.  Если эта служба остановлена, то звуковые устройства и эффекты не будут правильно работать.  Если данная служба отключена, все явно зависящие от нее службы запустить не удастся. Запуск автоматически

9. Audiosrv — Windows Audio: Управление средствами работы со звуком для программ Windows.  Если эта служба остановлена, то аудиоустройства и эффекты не будут правильно работать.  Если данная служба отключена, то будет невозможно запустить все явно зависящие от нее службы. Запуск автоматически

10. AxInstSV — Установщик ActiveX (AxInstSV): Обеспечивает проверку контроля учетных записей для установки элементов ActiveX из Интернета и разрешает управление установкой элементов ActiveX в зависимости от параметров групповой политики. Эта служба запускается по требованию и, если она отключена, установка элементов ActiveX будет выполняться в соответствии с настройками браузера по умолчанию. Запуск вручную

11. BDESVC — Служба шифрования дисков BitLocker: BDESVC предоставляет службу шифрования диска BitLocker. Шифрование диска BitLocker обеспечивает защищенный запуск операционной системы, а также полное шифрование тома ОС, фиксированных и съемных томов. Эта служба позволяет BitLocker предлагать пользователям различные действия, связанные с подключением их томов, и автоматически разблокирует тома без пользовательского вмешательства. Кроме того, она по возможности сохраняет сведения о восстановлении в Active Directory и при необходимости гарантирует использование новейших сертификатов восстановления.  Остановка или отключение этой службы может помешать пользователям применять эти функции. Запуск вручную

12. BFE — Служба базовой фильтрации: Служба базовой фильтрации (BFE) представляет собой службу, которая управляет политиками брандмауэра и политиками IP-безопасности (IPsec), применяя фильтрацию пользовательских режимов. Остановка или отключение службы BFE значительно снижает уровень безопасности системы. Это также приводит к непредсказуемым действиям при управлении IPsec и работе приложений брандмауэра. Запуск автоматически

13. BITS — Фоновая интеллектуальная служба передачи (BITS): Передает файлы в фоновом режиме работы, используя незанятую пропускную способность сети. Если эта служба заблокирована, то любые приложения, зависящие от BITS, такие как центр обновления Windows или MSN Explorer, не смогут автоматически скачивать программы и другую информацию. Запуск автоматически (отложенный запуск)

14. BrokerInfrastructure — Служба инфраструктуры фоновых задач: Служба инфраструктуры Windows, контролирующая возможность выполнения фоновых задач в системе. Запуск автоматически

15. Browser — Браузер компьютеров: Обслуживает список компьютеров в сети и выдает его программам по запросу. Если служба остановлена, список не будет создан или обновлен. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы. Запуск вручную

16. bthserv — Служба поддержки Bluetooth: Служба Bluetooth поддерживает обнаружение и согласование удаленных устройств Bluetooth. Остановка или отключение этой службы может привести к сбоям в работе уже установленных устройств Bluetooth, а также к невозможности обнаружения и согласования новых устройств. Запуск вручную

17. CertPropSvc — Распространение сертификата: Копирует сертификаты пользователя и корневые сертификаты со смарт-карты в хранилище сертификатов текущего пользователя, обнаруживает установку смарт-карт в устройство чтения смарт-карт и при необходимости устанавливает самонастраивающийся мини-драйвер смарт-карт. Запуск вручную

18. ClipSVC — Служба лицензий клиента (ClipSVC): Обеспечивает поддержку инфраструктуры для Microsoft Store. Эта служба запускается по требованию, и при ее отключении приложения, приобретенные с помощью Магазина Windows, не будут работать правильно. Запуск вручную

19. CommsAPHost — Sync Host: This service synchronizes mail, contacts, calendar and various other user data. Mail and other applications dependent on this functionality will not work properly when this service is not running. Запуск вручную

20. COMSysApp — Системное приложение COM+: Управление настройкой и отслеживанием компонентов COM+. Если данная служба остановлена, большинство компонентов COM+ не будет работать правильно. Если данная служба отключена, все явно зависящие от нее службы не смогут запуститься. Запуск вручную

21. CoreUIRegistrar — CoreMessaging: Manages communication between system components. Запуск автоматически

22. CryptSvc — Службы криптографии: Предоставляет три службы управления: службу баз данных каталога, которая подтверждает подписи файлов Windows и разрешает установку новых программ, службу защищенного корня, которая добавляет и удаляет сертификаты доверенного корневого центра сертификации с этого компьютера, и службу автоматического обновления корневых сертификатов, которая получает корневые сертификаты из центра обновления Windows и разрешает сценарии, такие как SSL. В случае остановки данной службы будет нарушена работа всех этих служб управления. В случае отключения данной службы будет невозможен запуск всех явно зависимых от нее служб. Автоматически

23. CscService — Автономные файлы: Служба автономных файлов выполняет работу по обслуживанию кэша автономных файлов, отвечает на события входа пользователя в систему и выхода его из системы, реализует свойства общих API и отсылает интересующимся работой автономных файлов и изменениями состояния кэша те события, которые им интересны. Запуск вручную

24. DcomLaunch — Модуль запуска процессов DCOM-сервера: Служба DCOMLAUNCH запускает COM- и DCOM-серверы в ответ на запросы активации объектов. Если отключить или остановить эту службу, то программы, использующие COM или DCOM, будут работать неправильно. Отключать службу DCOMLAUNCH не рекомендуется. Запуск автоматически

25. DcpSvc — DcpSvc: <Не удается прочитать описание. Код ошибки: 1813 > Запуск вручную

26. defragsvc — Оптимизация дисков: Помогает компьютеру работать более эффективно за счет оптимизации файлов на запоминающих устройствах. Запуск вручную

27. DeviceAssociationService — Служба сопоставления устройств: Служба сопоставления устройств. Запуск вручную

28. DeviceInstall — Служба установки устройств: Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо не требуя вмешательства пользователя, либо сводя его к минимуму. Остановка или отключение этой службы может привести к нестабильной работе системы. Запуск вручную

29. DevQueryBroker — DevQuery Backgroud Discovery Broker: Enables apps to discover devices with a backgroud task. Запуск вручную

30. Dhcp — DHCP-клиент: Регистрирует и обновляет IP-адреса и DNS-записи для этого компьютера. Если данная служба остановлена, этот компьютер не сможет получать динамические IP-адреса и выполнять обновления DNS. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Запуск автоматически

31. DiagTrack — Diagnostics Tracking Service: The Diagnostics Tracking Service enables data collection about functional issues in Windows components. Запуск автоматически

32. DmEnrollmentSvc — Служба регистрации управления устройством: Выполняет действия по регистрации устройства для управления устройством. Запуск вручную

33. dmwappushservice — dmwappushsvc: Requests wap push msgs from cellcore and calls PushRouter_SubmitPush. Запуск автоматически (отложенный запуск)

34. Dnscache — DNS-клиент: Служба DNS-клиента (dnscache) кэширует имена DNS и регистрирует полное имя этого компьютера. Если служба остановлена, разрешение имен DNS будет продолжаться, но результаты запросов имен DNS не будут кэшироваться, а имя компьютера не будет зарегистрировано. Если служба отключена, все явно зависящие от нее службы запустить не удастся. Автоматически

35. DoSvc — Оптимизация доставки: Выполнение задач по оптимизации доставки содержимого. Запуск автоматически (отложенный запуск)

36. dot3svc — Проводная автонастройка: Служба Wired AutoConfig (DOT3SVC) отвечает за проверку подлинности IEEE 802.1X интерфейсов Ethernet. Если текущее развертывание проводных сетей использует проверку подлинности 802.1X, необходимо настроить службу DOT3SVC для возможности подключения уровня 2 и предоставления доступа к сетевым ресурсам. На проводные сети, не использующие проверку подлинности 802.1X, служба DOT3SVC не влияет. Запуск вручную

37. DPS — Служба политики диагностики: Служба политики диагностики позволяет обнаруживать проблемы, устранять неполадок и разрешать вопросы, связанные с работой компонентов Windows.  Если остановить данную службу, диагностика не будет работать. Запуск автоматически

38. DsmSvc — Диспетчер настройки устройств: Включение обнаружения, скачивания и установки программного обеспечения, относящегося к устройствам. Если эту службу отключить, то устройства могут быть настроены на использование устаревшего программного обеспечения и работать неправильно. Запуск вручную

39. DsSvc — Служба совместного доступа к данным: Выполняет функции посредника при передаче данных между приложениями. Запуск вручную

40. Eaphost — Расширяемый протокол проверки подлинности (EAP): Служба расширяемого протокола проверки подлинности (EAP) обеспечивает проверку подлинности в сети в таких сценариях, как 802.1x (проводные и беспроводные сети), VPN и защита сетевого доступа (NAP).  EAP также обеспечивает поддержку API-интерфейсов, используемых клиентами доступа к сети, такими как беспроводной клиент и VPN-клиент, в процессе проверки подлинности.  Если эта служба отключена, компьютеру не удастся получить доступ к сетям, требующим проверку подлинности EAP. Запуск вручную

41. EFS — Шифрованная файловая система (EFS): Предоставляет основную технологию шифрования, которая используется для хранения зашифрованных файлов в томах файловой системы NTFS. Если эта служба остановлена или отключена, доступ приложений к зашифрованным файлам не обеспечивается. Запуск вручную

42. EventLog — Журнал событий Windows: Эта служба управляет событиями и журналами событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. События могут отображаться в формате XML и текстовом формате. Остановка этой службы может снизить безопасность и надежность системы. Запуск автоматически

43. EventSystem — Система событий COM+: Поддержка службы уведомления о системных событиях (SENS), обеспечивающей автоматическое распространение событий подписавшимся компонентам COM. Если данная служба остановлена, SENS будет закрыта и не сможет предоставлять уведомления входа и выхода. Если данная служба отключена, все явно зависящие от нее службы не смогут запуститься.  Запуск автоматически

44. Fax — Факс: Позволяет отправлять и получать факсы, используя ресурсы этого компьютера и сетевые ресурсы. Запуск вручную

45. fdPHost — Хост поставщика функции обнаружения: В службе FDPHOST размещаются поставщики обнаружения сетевых ресурсов компонента обнаружения функций. Эти поставщики обнаружения функций обеспечивают службы обнаружения сетевых ресурсов для протоколов SSDP и WS-D. Остановка или отключение службы FDPHOST приведет к отключению обнаружения сетевых ресурсов для этих протоколов при использовании обнаружения функций. Если эта служба недоступна, сетевые службы, работа которых зависит от компонента обнаружения функций и данных протоколов обнаружения, не смогут находить сетевые устройства или ресурсы. Запуск вручную

46. FDResPub — Публикация ресурсов обнаружения функции: Публикует этот компьютер с его ресурсами, так что их можно будет обнаружить в сети.  Если эта служба остановлена, то сетевые ресурсы уже не будут публиковаться и не будут обнаруживаться другими компьютерами в сети. Запуск вручную

47. fhsvc — Служба истории файлов: Защищает файлы пользователя от случайной потери за счет их копирования в резервное расположение. Запуск вручную

48. FontCache — Служба кэша шрифтов Windows: Оптимизирует производительность приложений, кэшируя наиболее часто используемые данные о шрифтах. Приложения будут запускать эту службу, если она еще не выполняется. Отключение службы может привести к снижению производительности приложения. Запуск автоматически

49. gpsvc — Клиент групповой политики: Данная служба отвечает за применение параметров, настроенных администраторами для компьютеров и пользователей с помощью компонента «Групповая политика». Если эта служба отключена, параметры не будут применяться, а приложениями и компонентами будет невозможно управлять через групповую политику. В этом случае могут не работать компоненты или приложения, зависящие от компонента «Групповая политика». Запуск автоматически

50. hidserv — Доступ к HID-устройствам: Активирует и поддерживает использование клавиш быстрого вызова на клавиатурах, пультов дистанционного управления и других устройств мультимедиа. Отключение этой службы не рекомендуется. Запуск вручную

51. HomeGroupListener — Прослушиватель домашней группы: Изменение параметров локального компьютера, связанных с конфигурацией и обслуживанием подключенных к домашней группе компьютеров. Если эта служба остановлена или отключена, возможны ошибки в работе компьютера в домашней группе, а также в работе самой группы. Отключение этой службы не рекомендуется. Запуск вручную

52. HomeGroupProvider — Поставщик домашней группы: Выполнение сетевых задач, связанных с настройкой и обслуживанием домашних групп. Если эта служба остановлена или отключена, возможны ошибки при обнаружении других домашних групп, а также ошибки в работе собственной домашней группы. Отключение этой службы не рекомендуется. Запуск вручную

53. IEEtwCollectorService — Служба сборщика ETW Internet Explorer: Служба сборщика ETW для Internet Explorer. Собирает в реальном времени события ETW и обрабатывает их. Запуск вручную

54. IKEEXT — Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности: Служба IKEEXT содержит модули для работы с ключами в Интернете (IKE) и по протоколу IP с проверкой подлинности (AuthIP). Эти модули для работы с ключами используются при проверке подлинности и обмене ключами в протоколе безопасности IP (IPsec). Остановка или отключение службы IKEEXT ведет к отключению обмена ключами IKE и AuthIP с другими компьютерами. Как правило, IPsec настроен на использование IKE или AuthIP; таким образом, остановка или отключение службы IKEEXT может привести к сбою в работе IPsec и поставить под угрозу безопасность системы. Настоятельно рекомендуется, чтобы служба IKEEXT была включена. Запуск вручную

55. iphlpsvc — Вспомогательная служба IP: Обеспечивает возможность туннельного подключения с помощью технологий туннелирования для IP версии 6 (6to4, ISATAP, порты прокси и Teredo), а также IP-HTTPS. Если остановить эту службу, компьютер не сможет использовать дополнительные возможности подключения, предоставляемые этими технологиями. Запуск автоматически

56. KeyIso — Изоляция ключей CNG: Служба изоляции ключей CNG размещается в процессе LSA. Эта служба обеспечивает изоляцию процесса ключа для закрытых ключей и связанных операций криптографии, как того требуют общие критерии. Эта служба хранит и использует долгоживущие ключи в безопасном процессе в соответствии с требованиями общих критериев. Запуск вручную

57. KtmRm — KtmRm для координатора распределенных транзакций: Координирует транзакции между MS DTC и диспетчером транзакций ядра (KTM). Если данная служба не требуется, рекомендуется не запускать ее. Если она потребуется, MS DTC или KTM автоматически запустят ее. Если служба отключена, то при взаимодействии MS DTC с диспетчером транзакций ядра будут возникать ошибки и запуск всех служб, явно зависящих от нее, станет невозможным. Запуск вручную

58. LanmanServer — Сервер: Поддерживает общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение. Если служба остановлена, такие функции не удастся выполнить. Если данная служба отключена, не удастся запустить любые явно зависимые службы. Запуск автоматически

59. LanmanWorkstation — Рабочая станция: Создает и поддерживает клиентские сетевые подключения к удаленным серверам по протоколу SMB. Если данная служба будет остановлена, эти подключения станут недоступными. Если данная служба отключена, все явно зависящие от нее службы запустить не удастся. Запуск автоматически

60. lfsvc — Служба географического положения: Эта служба отслеживает местоположение системы и управляет геозонами (географическими расположениями, с которыми сопоставлены события). Если отключить эту службу, приложения не смогут получать и использовать уведомления для географического положения и геозон. Запуск вручную

61. lltdsvc — Тополог канального уровня: Создает карту сети, содержащую сведения о топологии компьютеров и устройств (подключений), а также метаданные, описывающие каждый компьютер и устройство.  Если эта служба отключена, карта сети будет работать неправильно. Запуск вручную

62. lmhosts — Модуль поддержки NetBIOS через TCP/IP: Осуществляет поддержку NetBIOS через службу TCP/IP (NetBT) и разрешение имен NetBIOS для клиентов в сети, позволяя пользователям получать общий доступ к файлам, принтерам, а также подключаться к сети. Если данная служба остановлена, эти функции могут быть недоступны. Если данная служба отключена, все явно зависящие от нее службы запустить не удастся. Запуск вручную

63. LSM — Диспетчер локальных сеансов: Основная служба Windows, которая управляет локальными сеансами пользователей. Остановка или отключение этой службы приведет к нестабильной работе системы. Запуск автоматически

64. MosHost — Downloaded Maps Manager: Windows service for application access to downloaded maps. This service is started on-demand by application accessing downloaded maps. Disabling this service will prevent apps from accessing maps. Запуск вручную

65. MpsSvc — Брандмауэр Windows: Брандмауэр Windows помогает предотвратить несанкционированный доступ к вашему компьютеру через Интернет или сеть. Запуск автоматически

66. MSDTC — Координатор распределенных транзакций: Координация транзакций, охватывающих несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы. Если остановить данную службу, то такие транзакции будут выполняться с ошибкой. Если данная служба отключена, то запуск любых явно зависящих от нее служб станет невозможен. Запуск вручную

67. MSiSCSI — Служба инициатора Майкрософт iSCSI: Управляет сеансами Интернет-SCSI (iSCSI) между компьютером и удаленными целевыми устройствами iSCSI. Если эта служба остановлена, компьютер не сможет выполнить вход в систему или получить доступ к целевым устройствам iSCSI. Если данная служба отключена, ни одну явно зависящую от нее службу запустить не удастся. Запуск вручную

68. msiserver — Установщик Windows: Позволяет добавлять, изменять и удалять приложения, предоставленные пакетом установщика Windows (*.msi, *.msp). Если эта служба отключена, запуск любых явно зависящих от нее служб невозможен. Запуск вручную

69. MsKeyboardFilter — Microsoft Keyboard Filter: Controls keystroke filtering and mapping. Отключена

70. NcaSvc — Помощник по подключению к сети: Вывод уведомления о состоянии DirectAccess для компонентов пользовательского интерфейса. Запуск вручную

71. NcbService — Посредник подключений к сети: Подключения к посредникам, позволяющие приложениям Магазина Windows получать уведомления из Интернета. Запуск вручную

72. NcdAutoSetup — Автоматическая настройка сетевых устройств: Служба автоматической установки подключенных к сети устройств отслеживает и устанавливает подходящие устройства, которые подключаются к подходящей сети. Остановка или отключение этой службы не позволит Windows автоматически обнаруживать и устанавливать подходящие устройства, подключенные к сети. Однако пользователи могут Запуск вручную добавлять подключенные к сети устройства на ПК через пользовательский интерфейс. Запуск вручную

73. Netlogon — Сетевой вход в систему: Обеспечивает безопасный канал связи между этим компьютером и контроллером домена для проверки подлинности пользователей и служб. Если эта служба остановлена, компьютер может быть неспособен проверять подлинность пользователей и служб и контроллер домена не может регистрировать DNS-записи. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Запуск вручную

74. Netman — Сетевые подключения: Управляет объектами папки «»Сеть и удаленный доступ к сети»», отображающей свойства локальной сети и подключений удаленного доступа. Запуск вручную

75. netprofm — Служба списка сетей: Определяет сети, к которым подключен компьютер, собирает и хранит данные о свойствах этих сетей и оповещает приложения об изменении этих свойств. Запуск вручную

76. NetSetupSvc — Служба настройки сети: Служба настройки сети управляет установкой сетевых драйверов и разрешает конфигурацию низкоуровневых параметров сети. В случае остановки этой службы все выполняемые установки драйверов могут быть отменены. Запуск вручную

77. NetTcpPortSharing — Служба общего доступа к портам Net.Tcp: Предоставляет возможность совместного использования TCP-портов по протоколу Net.Tcp. Отключена

78. NgcCtnrSvc — Служба контейнера учетных данных следующего поколения: Управляет ключами удостоверений локального пользователя, используемыми для проверки подлинности пользователя для поставщиков удостоверений, а также виртуальными смарт-картами TPM. Если эта служба отключена, ключи удостоверений локального пользователя и виртуальные смарт-карты TPM будут недоступны. Рекомендуется не перенастраивать службу. Запуск вручную

79. NgcSvc — Учетные данные следующего поколения: Служба учетных данных следующего поколения обеспечивает изоляцию процесса для криптографических ключей, используемых для проверки подлинности для связанных поставщиков удостоверений пользователя. Если эта служба отключена, использование этих ключей и управление ими будет недоступно, включая вход компьютера в систему и единый вход для приложений и веб-сайтов. Эта служба запускается и останавливается автоматически. Рекомендуется не перенастраивать эту службу. Запуск вручную

80. NlaSvc — Служба сведений о подключенных сетях: Собирает и сохраняет сведения о конфигурации сети и уведомляет программы при изменении этих сведений. Если данная служба будет остановлена, сведения о конфигурации могут стать недоступными. Если данная служба отключена, все явно зависящие от нее службы запустить не удастся. Запуск автоматически

81. nsi — Служба интерфейса сохранения сети: Эта служба отправляет сетевые уведомления (например, о добавлении или удалении интерфейса и т. п.) клиентам пользовательских режимов. Остановка этой службы вызовет отключение от сети. Если данная служба отключена, все явно зависящие от нее службы запустить не удастся. Автоматически

82. p2pimsvc — Диспетчер удостоверения сетевых участников: Предоставляет службы идентификации для протокола однорангового разрешения имен (PNRP) и группировки одноранговой сети. В случае запрещения службы для протокола однорангового разрешения имен (PNRP) и группировки одноранговой сети, а также некоторые приложения, например домашняя группа и Remote Assistance, могут оказаться неработоспособными. Запуск вручную

83. p2psvc — Группировка сетевых участников: Включает многосторонние взаимодействия с помощью группировки одноранговой сети. При отключении некоторые приложения, например, домашняя группа, могут перестать работать. Запуск вручную

84. PcaSvc — Служба помощника по совместимости программ: Обеспечивает поддержку помощника по совместимости программ. Он следит за программами, устанавливаемыми и запускаемыми пользователем, и обнаруживает известные проблемы, связанные с совместимостью. Если остановить данную службу, то помощник по совместимости программ будет работать неправильно. Запуск автоматически

85. PeerDistSvc — BranchCache: Эта служба кэширует сетевое содержимое, полученное от кэширующих узлов локальной подсети. Запуск вручную

86. PerfHost — Хост библиотеки счетчика производительности: Позволяет удаленным пользователям и 64-разрядным процессам запрашивать счетчики производительности, предоставляемые 32-разрядными библиотеками. Запуск вручную

87. PhoneSvc — Телефонная связь: Управляет состоянием телефонной связи на устройстве. Запуск вручную

88. PimIndexMaintenance — Служба контактных данных. Запуск вручную

89.pla — Журналы и оповещения производительности: Служба журналов производительности и оповещений собирает данные с локальных и удаленных компьютеров соответственно заданным параметрам расписания, а затем записывает данные в журнал или выдает оповещение. Если данная служба остановлена, все сведения о производительности не собираются. Если данная служба отключена, все явно зависящие от нее службы запущены не будут. Запуск вручную

90. PlugPlay — Plug and Play: Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо не требуя вмешательства пользователя, либо сводя его к минимуму. Остановка или отключение этой службы может привести к нестабильной работе системы. Запуск вручную

91. PNRPAutoReg — Служба публикации имен компьютеров PNRP: Эта служба публикует имя компьютера посредством протокола однорангового разрешения имен (Peer Name Resolution Protocol).  Конфигурация управляется посредством команды netsh с контекстом «p2p pnrp peer». Запуск вручную

92. PNRPsvc — Протокол PNRP: Разрешает безсерверное одноранговое разрешение имен через Интернет. В случае запрещения некоторые приложения для одноранговых сетей и совместной работы, такие как Remote Assistance, могут оказаться неработоспособными. Запуск вручную

93. PolicyAgent — Агент политики IPsec: Безопасность протокола IP (IPsec) поддерживает проверку подлинности кэширующих узлов на сетевом уровне, проверку подлинности источника данных, проверку целостности данных, их конфиденциальность (шифрование) и защиту повторения.  Эта служба вводит в действие политики IPsec, созданные с помощью оснастки «Политики IP-безопасности» или средством командной строки «netsh ipsec».  Остановка этой службы может привести к возникновению проблем с сетевыми подключениями, если политика требует, чтобы соединения использовали IPsec.  Кроме того, если остановлена эта служба, то удаленное управление брандмауэром Windows недоступно. Запуск вручную

94. Power — Питание: Управляет политикой питания и отправкой уведомлений политики питания. Запуск автоматически

95. PrintNotify — Расширения и уведомления для принтеров: Эта служба открывает пользовательские диалоговые окна для принтеров и обрабатывает уведомления от удаленного сервера печати или принтера. Если вы ее отключите, то не сможете видеть расширения и уведомления для принтеров. Запуск вручную

96. ProfSvc — Служба профилей пользователей: Эта служба отвечает за загрузку и выгрузку профилей пользователей. Если эту службу остановить или отключить, пользователи не смогут входить в систему и выходить из нее, в приложениях могут возникать проблемы при обращении к данным пользователей, а компоненты, зарегистрированные для получения уведомлений о событиях профилей, не будут их получать. Запуск автоматически

97. QWAVE — Quality Windows Audio Video Experience: Quality Windows Audio Video Experience (qWave) — сетевая платформа для потоковой передачи аудио и видео в домашних сетях на основе IP-протокола. Платформа qWave обеспечивает более высокую производительность и надежность потоковой передачи аудио и видео, обеспечивая необходимое качество обслуживания сети для аудио- и видеоприложений. Платформа содержит механизмы управления доступом, отслеживания и принудительного выполнения, получения данных приложений и установки приоритета трафика. Запуск вручную

98. RasAuto — Диспетчер автоматических подключений удаленного доступа: Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу. Запуск вручную

99. RasMan — Диспетчер подключений удаленного доступа: Управляет подключениями удаленного доступа и виртуальной частной сети (VPN) с данного компьютера к Интернету или другим удаленным сетям. Если данная служба отключена, все явно зависящие от нее службы запустить не удастся. Запуск вручную

100. RemoteAccess — Маршрутизация и удаленный доступ: Предлагает услуги маршрутизации организациям в локальной и глобальной сетях. Отключена

101. RemoteRegistry — Удаленный реестр: Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Отключена

102. RetailDemo — Служба демонстрации магазина: Служба демонстрации магазина контролирует действия устройства, когда на нем используется режим демонстрации магазина. Запуск вручную

103. RpcEptMapper — Сопоставитель конечных точек RPC: Обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта. Если эта служба остановлена или отключена, программы, использующие службы удаленного вызова процедур (RPC), не смогут работать. Запуск автоматически

104. RpcLocator — Локатор удаленного вызова процедур (RPC): В Windows 2003 и более ранних версиях Windows служба «Локатор удаленного вызова процедур (RPC)» управляла базой данных службы имен RPC. В Windows Vista и более поздних версиях Windows эта служба не выполняет каких-либо функций и присутствует для обеспечения совместимости с устаревшими приложениями. Запуск вручную

105. RpcSs — Удаленный вызов процедур (RPC): Служба RPCSS — это диспетчер служб для COM- и DCOM-серверов. Она выполняет запросы активации объектов, разрешение экспортера объектов и распределенный сбор мусора для этих серверов. Если отключить или остановить эту службу, то программы, использующие COM или DCOM, будут работать неправильно. Отключать службу RPCSS не рекомендуется. Запуск автоматически

106. SamSs — Диспетчер учетных записей безопасности: Запуск этой службы служит для других служб сигналом о том, что диспетчер учетных записей безопасности (SAM) готов к приему запросов.  При отключении данной службы другие службы в системе не получат уведомления о готовности SAM, что в свою очередь может помешать корректному запуску этих служб. Не следует отключать эту службу.  Запуск автоматически

107. SCardSvr — Смарт-карта: Управляет доступом к устройствам чтения смарт-карт. Если эта служба остановлена, этот компьютер не сможет считывать смарт-карты. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Отключена

108. ScDeviceEnum — Служба перечисления устройств чтения смарт-карт: Создает узлы программного устройства для всех устройств чтения смарт-карт, доступных в указанном сеансе. Если эта служба отключена, перечисление устройств чтения смарт-карт API-интерфейсами WinRT будет недоступно. Запуск вручную

109. Schedule — Планировщик заданий: Позволяет настраивать расписание автоматического выполнения задач на этом компьютере. Данная служба также отвечает за выполнение нескольких критически важных системных задач Windows. Если эта служба остановлена, эти задачи не могут быть запущены в установленное расписанием время. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Запуск автоматически

110. SCPolicySvc — Политика удаления смарт-карт: Позволяет настроить систему так, чтобы рабочий стол блокировался при извлечении смарт-карты. Запуск вручную

111. seclogon — Вторичный вход в систему: Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен. Если эта служба отключена, то нельзя запустить другие службы, которые явно зависят от нее. Запуск вручную

112. SENS — Служба уведомления о системных событиях: Ведет наблюдение за системными событиями и уведомляет подписчиков системы событий COM+ об этих событиях. Запуск автоматически

113. SensorService — Служба датчиков: Служба сенсоров управляет различными функциями сенсоров. Управляет Простой ориентацией устройства (SDO) и Журнал сенсоров. Загружает простой датчик ориентации устройства, который передает сведения об изменениях в ориентации устройства.  Если эта служба остановлена или отключена, простой датчик ориентации устройства не будет загружаться и автоповорот не будет работать. Наполнение журнала датчиков также будет прекращено. Запуск вручную

114. SensrSvc — Служба наблюдения за датчиками: Ведет наблюдение за различными датчиками для предоставления доступа к данным адаптации к системному и пользовательскому состоянию.  В случае остановки или отключения этой службы корректировка яркости дисплея в соответствии с освещенностью не производится. Остановка этой службы также может повлиять на другие функции системы. Запуск вручную

115. SessionEnv — Настройка сервера удаленных рабочих столов: Служба настройки сервера удаленных рабочих столов (RDCS) отвечает за все действия, связанные с настройкой и обслуживанием сеансов служб удаленных рабочих столов и удаленного доступа, для которых необходим контекст SYSTEM. Это касается временных папок сеансов, тем и сертификатов удаленных рабочих столов. Запуск вручную

116. SharedAccess — Общий доступ к подключению к Интернету (ICS): Предоставляет службы трансляции сетевых адресов, адресации, разрешения имен и службы предотвращения вторжения для домашней сети или сети небольшого офиса. Отключена

117. ShellHWDetection — Определение оборудования оболочки: Предоставляет уведомления для событий автозапуска на различных устройствах. Запуск автоматически

118. smphost — SMP дисковых пространств (Майкрософт): Служба узла для поставщика управления дисковыми пространствами (Майкрософт). Если эта служба остановлена или отключена, дисковыми пространствами невозможно управлять. Запуск вручную

119. SmsRouter — Microsoft Windows SMS Router Service: Routes messages based on rules to appropriate clients. Запуск вручную

120. SNMPTRAP — Ловушка SNMP: Принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP и пересылает их программам управления SNMP, запущенными на этом компьютере. Если эта служба остановлена, программы на основе SNMP на данном компьютере перестанут получать сообщения перехвата. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Запуск вручную

121. Spooler — Диспетчер печати: Эта служба позволяет ставить задания печати в очередь и обеспечивает взаимодействие с принтером. Если ее отключить, вы не сможете выполнять печать и видеть свои принтеры. Запуск автоматически

122. sppsvc — Защита программного обеспечения: Разрешает скачивание, установку и принудительное применение цифровых лицензий для Windows и приложений Windows. Если служба отключена, возможно, операционная система и лицензированные приложения будут работать в режиме уведомления. Настоятельно рекомендуется не отключать службу защиты программного обеспечения. Запуск автоматически (отложенный запуск)

123. SSDPSRV — Обнаружение SSDP: Обнаруживает сетевые устройства и службы, использующие протокол обнаружения SSDP, такие как устройства UPnP. Также объявляет устройства и службы SSDP, работающие на локальном компьютере. Если эта служба остановлена, обнаружение устройств, использующих SSDP, не будет выполняться. Если данная служба отключена, все явно зависящие от нее службы запустить не удастся. Запуск вручную

124. SstpSvc — Служба SSTP: Обеспечивает поддержку протокола SSTP (Secure Socket Tunneling Protocol) для подключения к удаленным компьютерам с помощью VPN. Если эта служба отключена, пользователи не смогут использовать SSTP для доступа к удаленным серверам. Запуск вручную

125. stisvc — Служба загрузки изображений Windows (WIA): Обеспечивает службы получения изображений со сканеров и цифровых камер. Запуск вручную

126. StorSvc — Служба хранилища: Предоставление служб, обеспечивающих контроль памяти и расширение внешнего хранилища. Запуск вручную

127. svsvc — Быстрая проверка: Проверяет потенциальные повреждения файловой системы. Запуск вручную

128. swprv — Программный поставщик теневого копирования (Microsoft): Управляет программным созданием теневых копий службой теневого копирования тома. Если эта служба остановлена, то управление программным созданием теневых копий невозможно. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Запуск вручную

129. SysMain — Superfetch: Поддерживает и улучшает производительность системы. Запуск автоматически

130. SystemEventsBroker — Брокер системных событий: Координирует выполнение фоновой работы для приложения WinRT. Если эта служба остановлена или отключена, фоновую работу невозможно инициировать. Запуск автоматическим

131. TabletInputService — Служба сенсорной клавиатуры и панели рукописного ввода: Обеспечивает функционирование пера и рукописного ввода для сенсорной клавиатуры и панели рукописного ввода. Запуск вручную

132. TapiSrv — Телефония: Обеспечивает поддержку Telephony API (TAPI) для программ, управляющих телефонным оборудованием на этом компьютере, а также через ЛВС — на серверах, где запущена соответствующая служба. Запуск вручную

133. TermService — Службы удаленных рабочих столов: Разрешает пользователям интерактивное подключение к удаленному компьютеру. Удаленный рабочий стол и сервер, обслуживающий сеансы подключения к удаленному рабочему столу, зависят от данной службы. Чтобы запретить удаленное использование данного компьютера, необходимо открыть панель управления, дважды щелкнуть компонент «Свойства системы» и затем на вкладке «Удаленный доступ» снять соответствующие флажки. Запуск вручную

134. Themes — Темы: Управление темами оформления. Запуск автоматически

135. THREADORDER — THREADORDER: <Не удается прочитать описание. Код ошибки: 15100 >. Запуск вручную

136. tiledatamodelsvc — tiledatamodelsvc: <Не удается прочитать описание. Код ошибки: 1813 >. Запуск вручную

137. TimeBroker — Брокер времени: Координирует выполнение фоновой работы для приложения WinRT. Если эта служба остановлена или отключена, фоновую работу невозможно инициировать. Запуск вручную

138. TrkWks — Клиент отслеживания изменившихся связей: Поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в сети. Запуск автоматически

139. TrustedInstaller — Установщик модулей Windows: Позволяет выполнять установку, изменение и удаление обновлений Windows и дополнительных компонентов. Если эта служба отключена, установка или удаление обновлений Windows могут не работать на этом компьютере. Запуск вручную

140. UI0Detect — Обнаружение интерактивных служб: Включает уведомление пользователя о необходимости пользовательского ввода для интерактивных служб, которое предоставляет доступ к диалоговым окнам, созданным интерактивными службами, по мере их появления. Если данная служба будет остановлена, уведомления новых диалоговых окон интерактивных служб не будут работать, и доступ к диалоговым окнам интерактивных служб станет невозможен. Если данная служба отключена, ни уведомления новых диалоговых окон интерактивных служб, ни доступ к этим окнам не будут работать. Запуск вручную

141. UmRdpService — Перенаправитель портов пользовательского режима служб удаленных рабочих столов: Позволяет выполнить перенаправление принтеров, драйверов или портов для подключений к удаленному рабочему столу. Запуск вручную

142. UnistoreService — Служба хранения данных пользователя: Обеспечивает хранение структурированных данных пользователя, в том числе контактной информации, календарей, сообщений и другого содержимого. Остановка или отключение службы может стать причиной неправильной работы приложений, использующих эти данные. Запуск вручную

143. upnphost — Узел универсальных PNP-устройств: Позволяет размещать устройства UPnP на этом компьютере. Если эта служба остановлена, все UPnP-устройства прекратят работу, и добавить дополнительные устройства будет невозможно. Если данная служба отключена, все явно зависящие от нее службы запустить не удастся. Запуск вручную

144. UserDataService — Служба доступа к данным пользователя: Обеспечивает доступ приложений к структурированным данным пользователя, в том числе контактной информации, календарям, сообщениям и другому содержимому. Остановка или отключение службы может стать причиной неправильной работы приложений, использующих эти данные. Запуск вручную

145. UserManager — Диспетчер пользователей: Диспетчер пользователей предоставляет компоненты среды выполнения, необходимые для взаимодействия нескольких пользователей. Если эта служба остановлена, некоторые приложения могут работать неправильно. Запуск автоматически

146. UserTrustedSignals — Доверенные сигналы пользователя: Пользователи могут регистрировать определенные сигналы, не требующие ввода учетных данных при закрытии экрана блокировки. Запуск вручную

147. UsoSvc — Обновление службы оркестратора: UsoSvc. Запуск вручную

148. VaultSvc — Диспетчер учетных данных: Обеспечивает защищенное хранение и извлечение учетных данных пользователей, приложений и служебных пакетов. Запуск вручную

149. vds — Виртуальный диск: Предоставление служб управления дисками, томами, файловыми системами и массивами запоминающих устройств. Запуск вручную

150. vmicguestinterface — Интерфейс гостевой службы Hyper-V: Интерфейс для взаимодействия узла Hyper-V с определенными службами, которые выполняются на виртуальной машине. Запуск вручную

151. vmicheartbeat — Служба пульса (Hyper-V): Эта служба следит за состоянием виртуальной машины и регулярно генерирует пульс. Она помогает выявлять выполняющиеся виртуальные машины, которые перестали отвечать. Запуск вручную

152. vmickvpexchange — Служба обмена данными (Hyper-V): Служба предоставляет механизм обмена данными между виртуальной машиной и операционной системой физического компьютера. Запуск вручную

153. vmicrdv — Служба виртуализации удаленных рабочих столов Hyper-V: Эта служба предоставляет платформу для обмена данными между виртуальной машиной и операционной системой физического компьютера. Запуск вручную

154. vmicshutdown — Служба завершения работы в качестве гостя (Hyper-V): Она также предоставляет механизм завершения работы операционной системы этой виртуальной машины с помощью интерфейса управления физического компьютера. Запуск вручную

155. vmictimesync — Служба синхронизации времени Hyper-V: Служба синхронизует таймеры этой виртуальной машины и физического компьютера. Запуск вручную

156. vmicvss — Служба запросов на теневое копирование томов Hyper-V: Запуск вручную

157. VSS — Теневое копирование тома: Управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления или для иных целей. Если эта служба остановлена, теневые копии томов для восстановления не будут доступны и архивация и восстановление могут не работать. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Запуск вручную

158. W32Time — Служба времени Windows: Управляет синхронизацией даты и времени на всех клиентах и серверах в сети. Если эта служба остановлена, синхронизация даты и времени не будет доступна. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Запуск вручную

159. wbengine — Служба модуля архивации на уровне блоков: Служба WBENGINE используется архивацией данных для выполнения операций архивации и восстановления. Если пользователь остановит эту службу, это может привести к ошибке текущей операции архивации или восстановления. Отключение этой службы может привести к отключению операций архивации и восстановления, использующих архивацию данных на этом компьютере. Запуск вручную

160. WbioSrvc — Биометрическая служба Windows: Биометрическая служба Windows предназначена для сбора, сравнения, обработки и хранения биометрических данных в клиентских приложениях без получения непосредственного доступа к биометрическим образцам или оборудованию. Эта служба размещается в привилегированном процессе SVCHOST. Запуск вручную

161. Wcmsvc — Диспетчер подключений Windows: Принимает решения об автоматическом подключении или отключении, исходя из доступных для ПК параметров подключения к сети, и позволяет управлять подключениями к сети с помощью параметров групповой политики. Запуск автоматически

162. wcncsvc — Немедленные подключения Windows — регистратор настройки: Служба WCNCSVC содержит конфигурацию Windows Connect Now (реализация протокола WPS от Майкрософт). Она используется для настройки параметров беспроводных сетей для точки доступа или Wi-Fi-устройства. Служба запускается программно при необходимости. Запуск вручную

163. WcsPlugInService — Цветовая система Windows (WCS): Служба WcsPlugInService размещает подключаемые модули модели устройства цветов цветовой системы Windows и модели сопоставления палитры сторонних поставщиков. Эти подключаемые модули представляют собой предоставленные сторонними поставщиками расширения модели устройства основных цветов цветовой системы Windows и модели сопоставления палитры. Остановка или отключение службы WcsPlugInService приведет к отключению этой возможности расширения. Система цветов Windows будет выполнять обработку в соответствии со своей основной моделью, а не обработку, предложенную поставщиком. Это может привести к неточному отображению цветов. Запуск вручную

164. WdiServiceHost — Узел службы диагностики: Узел службы диагностики используется службой политики диагностики для размещения средств диагностики, запускаемых в контексте локальной службы. Если остановить эту службу, некоторые средства диагностики, зависящие от нее, не смогут работать. Запуск вручную

165. WdiSystemHost — Узел системы диагностики: Узел системы диагностики используется службой политики диагностики для размещения средств диагностики, запускаемых в контексте локальной системы. Если остановить эту службу, некоторые средства диагностики, зависящие от нее, не смогут работать. Запуск вручную

166. WdNisSvc — Служба проверки сети Защитника Windows: Позволяет защититься от попыток вторжения, нацеленных на известные и вновь обнаруженные уязвимости в сетевых протоколах. Запуск вручную

167. WebClient — Веб-клиент: Позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете. Если эта служба остановлена, эти функции не доступны. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Запуск вручную

168. Wecsvc — Сборщик событий Windows: Эта служба управляет постоянными подписками на события от удаленных источников, поддерживающих протокол WS-Management. Сюда входят журналы событий Windows Vista, оборудование, а также источники с интерфейсом IPMI. Эта служба хранит пересылаемые события в локальном журнале событий. Если эта служба остановлена или отключена, подписки на события не могут быть созданы и отправленные события не могут быть приняты. Запуск вручную

169. WEPHOSTSVC — Служба узла поставщика шифрования Windows: Служба узла поставщика шифрования Windows является брокером между функциями шифрования, предоставляемыми сторонними поставщиками, и процессами, которым требуется оценивать и применять политики EAS. При остановке этой службы станут недействительными проверки соответствия EAS, которые были установлены подключенными учетными записями почты. Запуск вручную

170. wercplsupport — Поддержка элемента панели управления «Отчеты о проблемах и их решениях»: Эта служба обеспечивает просмотр, отправку и удаление отчетов о проблемах системного уровня для элемента панели управления «Отчеты о проблемах и их решениях». Запуск вручную

171. WerSvc — Служба регистрации ошибок Windows: Разрешает отправку отчетов об ошибках в случае прекращения работы или зависания программы, а также разрешает доставку имеющихся решений проблем. Также разрешает создание журналов для служб диагностики и восстановления. Если эта служба остановлена, то могут не работать отчеты об ошибках и не отображаться результаты служб диагностики и восстановления. Запуск вручную

172. WiaRpc — События получения неподвижных изображений: Запуск приложений, связанных с событиями загрузки неподвижных изображений. Запуск вручную

173. WinDefend — Служба Защитника Windows: Позволяет пользователям защититься от вредоносных и иных потенциально нежелательных программ. Запуск автоматически

174. WinHttpAutoProxySvc — Служба автоматического обнаружения веб-прокси WinHTTP: WinHTTP реализует стек клиента HTTP и обеспечивает разработчикам Win32 API и компонент автоматизации COM для отправки запросов HTTP и получения ответов. Кроме того, WinHTTP обеспечивает поддержку автоматического обнаружения конфигурации прокси через реализацию протокола WPAD (Web Proxy Auto-Discovery). Запуск вручную

175. Winmgmt — Инструментарий управления Windows: Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами. После остановки данной службы многие Windows-приложения могут работать некорректно. При отключении данной службы зависимые от нее службы не смогут быть запущены. Запуск автоматически

176. WinRM — Служба удаленного управления Windows (WS-Management): Служба удаленного управления Windows (WinRM) применяет протокол WS-Management для удаленного управления. WS-Management — стандартный протокол веб-служб для удаленного управления программным обеспечением и оборудованием. Служба WinRM прослушивает сеть на наличие запросов WS-Management и обрабатывает их. Для принятия сетевых запросов необходимо настроить службу WinRM с помощью средства командной строки «winrm.cmd» или через групповую политику. Служба WinRM предоставляет доступ к данным WMI и включает поддержку сбора событий. Работа службы необходима для сбора событий и подписки на события. Для передачи сообщений WinRM используются протоколы HTTP и HTTPS. Служба WinRM не зависит от служб IIS, однако по умолчанию использует тот же порт, что и IIS.  Служба WinRM резервирует префикс URL-адреса /wsman. Для предотвращения конфликтов со службами IIS размещенные на IIS веб-сайты не должны использовать префикс URL-адреса /wsman. Запуск вручную

177. WlanSvc — Служба автонастройки WLAN: Служба WLANSVC предоставляет логику, необходимую для настройки, обнаружения, подключения и отключения локальных беспроводных сетей согласно стандартам IEEE 802.11. Также она содержит логику для превращения компьютера в программную точку доступа, в результате чего другие устройства или компьютеры смогут подключаться к вашему компьютеру с помощью адаптера беспроводной сети, который поддерживает подобную функцию. Остановка или отключение службы WLANSVC приведет к тому, что все адаптеры беспроводных сетей на этом компьютеры станут недоступными из раздела пользовательского интерфейса Windows, отвечающего за управление сетью. Настоятельно рекомендуется запустить и не останавливать службу WLANSVC, если к компьютеру подключен адаптер беспроводной сети. Запуск вручную

178. wlidsvc — Помощник по входу в учетную запись Майкрософт: Включение входа в систему на основе служб удостоверений учетных записей Майкрософт. Если эта служба остановлена, пользователи не смогут входить на компьютер с помощью своих учетных записей Майкрософт. Запуск вручную

179. wmiApSrv — Адаптер производительности WMI: Предоставляет сведения библиотеки производительности от поставщиков инструментария управления Windows (WMI) клиентам сети. Эта служба доступна только при активации модуля поддержки данных производительности. Запуск вручную

180. WMPNetworkSvc — Служба общих сетевых ресурсов проигрывателя Windows Media: Общий доступ к библиотекам проигрывателя Windows Media к другим сетевым проигрывателям и самонастраиваемым устройствам. Запуск вручную

181. workfolderssvc — Рабочие папки: Эта служба синхронизирует файлы с сервером рабочих папок, благодаря чему их можно использовать на любом компьютере или устройстве, на котором вы настроили рабочие папки. Запуск вручную

182. WPCSvc — Семейная безопасность: Эта служба — заглушка для функциональных возможностей службы родительского контроля Windows Vista. Она предоставляется только в целях обратной совместимости. Запуск вручную

183. WPDBusEnum — Служба перечислителя переносных устройств: Применяет групповую политику к съемным запоминающим устройствам. Разрешает приложениям, таким как проигрыватель Windows Media и мастер импорта рисунков, передавать и синхронизировать содержание при использовании съемных запоминающих устройств. Запуск вручную

184. WpnService — WpnService: <Не удается прочитать описание. Код ошибки: 1813 >. Запуск вручную

185. wscsvc — Центр обеспечения безопасности: Служба WSCSVC (центр безопасности Windows) отслеживает параметры работоспособности системы безопасности и протоколирует их. В эти параметры входит состояние брандмауэра (включен или выключен), антивирусной программы (включена/выключена/устарела), антишпионской программы (включена/выключена/устарела), обновления Windows (автоматическая или ручная загрузка и установка обновлений), контроля учетных записей пользователей (включен или выключен) и параметры Интернета (рекомендованные или отличающиеся от рекомендованных). Служба предоставляет интерфейсы API COM для независимых поставщиков программных продуктов, позволяющие им налаживать взаимодействие своих продуктов со службой центра безопасности (регистрация и запись состояний продуктов). Пользовательский интерфейс центра безопасности и обслуживания использует эту службу для отображения предупреждений в панели задач и предоставления графического отображения состояний работоспособности системы безопасности в панели управления центра безопасности и обслуживания. Защита доступа к сети (NAP) использует данную службу для протоколирования состояний работоспособности систем безопасности клиентов и передачи их на сервер политики сети NAP с целью принятия решений о помещении в карантин. У данной службы также есть публичный API, позволяющий внешним потребителям программно получать сводные данные о состоянии работоспособности системы безопасности. Запуск автоматически (отложенный запуск)

186. WSearch — Windows Search: Индексирование контента, кэширование свойств и результатов поиска для файлов, электронной почты и другого контента. Запуск автоматически (отложенный запуск)

187. WSService — Служба Магазина Windows (WSService): Обеспечивает поддержку инфраструктуры для Магазина Windows. Эта служба запускается по требованию, и при ее отключении приложения, приобретенные с помощью Магазина Windows, не будут работать правильно. Запуск вручную

188. wuauserv — Центр обновления Windows: Включает обнаружение, скачивание и установку обновлений для Windows и других программ. Если эта служба отключена, пользователи данного компьютера не смогут использовать службу Центра обновления Windows либо возможности автоматического обновления и программы не смогут использовать API агента Центра обновления Windows (WUA). Запуск вручную

189. wudfsvc — Windows Driver Foundation — User-mode Driver Framework: Создает процессы драйверов пользовательского режима и управляет ими. Эту службу невозможно остановить. Запуск вручную

190. WwanSvc — Автонастройка WWAN: Эта служба управляет мобильными широкополосными (GSM и CDMA) карточками данных и встроенными модульными адаптерами, а также подключениями и автоматической настройкой сетей. Настоятельно рекомендуется не отключать и не останавливать эту службу для обеспечения наилучшей работы мобильных широкополосных устройств. Запуск вручную

Author: k0shl of 360 Vulcan Team

Overview

DsSvc is a data sharing service that provides data sharing between processes. I have not conducted an in-depth analysis of the specific functions of this service. It is known that it provides some methods of file sharing between processes. As shown in the following figure, the process specifies a shared file through DsSvc, and calls CoCreateGuid to create a GUID as a file token, and stores information such as its token and file path into DbTable. Other processes can obtain file objects through this token and perform other files operating.

Картинка с сайта: whereisk0shl.top

Data sharing services contain many file operations, which also bring a lot of security issues. Microsoft spent nearly a year to fix the logical issue in this service. The security issue caused by file operations is one of the types of logical vulnerability. Important partitions, it’s necessary to be careful when dealing with files’ operation, especially for file security attributes. I will analyze the logical vulnerabilities in DsSvc, as well as Microsoft’s patch, and bypass. Let’s start our story.

The Beginning of story…

In November 2018, Microsoft patched a data sharing service vulnerability discovered by SandboxEscaper (PolarBear). SandboxEscaper shared details about this vulnerability on the blog. Since this article on the SandboxEscaper’s blog is inaccessible, it is not possible to reference the SandboxEscaper blog address. A description of vulnerability is as follows:

Bug description:
RpcDSSMoveFromSharedFile(handle,L"token",L"c:\\blah1\\pci.sys");
This function exposed over alpc, has a arbitrary delete vuln. 
Hitting the timing was pretty annoying. But my PoC will keep rerunning until c:\windows\system32\drivers\pci.sys is deleted.
I believe it’s impossible to hit the timing on a single core VM. I was able to trigger it using 4 cores on my VM. (Sadly I wasn’t able to use OPLOCKS with this particular bug)
Root cause is basically just a delete without impersonation because of an early revert to self. Should be straight forward to fix it… 
Exploitation wise.. you either try to trigger dll hijacking issues in  3rd party software.. or delete temp files used by a system service in c:\windows\temp and hijack them and hopefully do some evil stuff.

This is an arbitrary file deletion vulnerability. The vulnerability occurs in the RPC interface RpcDSSMoveFromSharedFile. The issue existed in function PolicyChecker::CheckFilePermission. The code is as follows:

__int64 __fastcall PolicyChecker::CheckFilePermission(const WCHAR *FileName, unsigned int a2, unsigned int a3, int a4, __int64 a5)
{
  [...CreateFile flag check...]
  [...Impersonate...]
  v12 = CreateFileW(v5, dwDesiredAccess, dwShareMode, 0i64, 4u, 0x80u, 0i64);
  [...RevertToSelf...]
  if ( v12 == (void *)-1i64 )
  {
    [...]
  }
  else
  {
    v17 = v14;
    if ( !a5 || (v8 = DSUtils::GetFinalPathFromHandle(v12, a5), (v8 & 0x80000000) == 0) )
    {
      CloseHandle(v12);//Close
      v12 = (void *)-1i64;
      if ( v17 )
        return v8;
      DeleteFileW(v5);//arbitrary file deletion
    }
    if ( v13 != (void *)-1i64 )
      CloseHandle(v13);
  }
  return v8;
}

In this function, FileName is defined by the user. First, the parameters DesiredAccess and ShareMode will be checked. Then RpcImpersonateClient will be called to impersonate client and call CreateFile to open the file. DsSvc will delete the file after RevertToSelf.

Although DsSvc calls ImpersonateClient to open the file, which means that when I try to open a limit file, it will fail and return, but there is still have TOCTOU issue. Before calling CeateFile, you can create a junction to the user-controllable path, so CreateFile will succeed. After that, you can change the junction to a limit directory. It will invoke DeleteFile to delete limit file finally.

In the patch, Microsoft no longer uses DeleteFile but uses the FileDispositionInfo class of SetFileInformationByHandle to delete file. Thus, calling SetFileInformationByHandle refers to the file handle created by CreateFile instead of the file path. The final deletion is a normal file opened after ImpersonateClient.

else
  {
    v17 = v14;
    if ( !a5 || (v8 = DSUtils::GetFinalPathFromHandle(v13, a5), v8 >= 0) )
    {
      if ( !v17 )
      {
        FileInformation = 1;
        if ( !SetFileInformationByHandle(v13, FileDispositionInfo, &FileInformation, 1u) )
        {
          [...]
        }
      }
    }
    CloseHandle(v13);

My research has started…

After this vulnerability was exposed, I started my study on the logic vulnerability. One day, when I was chatting with my friend 0x9k, he talked about the complete full chain of 11 Android logical vulnerabilities used by MWRLab in Pwn2Own. Then I read MWRLab’s slide about this full chain exploitation which they talked on CanSecWest.

There is a show in this slide about the tool jandroid that they use when finding android logic vulnerabilities.

Картинка с сайта: whereisk0shl.top

After read about jandroid in slide, I came up with the idea that such this method can be used to finding logical vulnerabilities on Windows? The answer is yes.

I think I can assist the subsequent reverse engineering by parsing the path travesal of the sensitive operation on the RPC-related dll. I took some time to implement my idea. (Later in August 2019 Adam Chester published a blog post about his RPC parsing implementation idea)

I used James Forshaw’s project NtApiDotNet when writing the parsing code. It can complete pre-working in my parsing framework, there is a class called NdrProcedureDefinition in NtApiDotNet, which plays a key role in RPC interface parsing, it can parse out of the RPC interface of the DCE syntax, I made a few modifications to the NdrProcedureDefinition part of the method, so that it can parse the RPC interface of the Ndr64 syntax, which may resolve more potential attack surfaces in the x64 system. (The figure below shows the analysis result of Chakra.dll which use Ndr64 syntax)

Картинка с сайта: whereisk0shl.top

Here are two points to mention.

[+] The first is that almost all RPC dlls in Windows x64 systems use DCE syntax, but also contain a very small number of RPC dlls for Ndr64 syntax, such as Chakra.dll.

[+] And the second is that I am not find the way to parsing incoming parameter of RPC interface of Ndr64 syntax, so I can only parse the RPC interface function without parameters, but this does not affect sensitive operation path travesal parsing.

The following picture shows the logs of some of the path travesals after I run my parsing code. Actually, I found out some interesting path travesals in DsSvc after that time, but James Forshaw report most of them :).

Картинка с сайта: whereisk0shl.top

Get down to business

In January 2019, Microsoft patched 5 DsSvc EoP Vulnerabilities reported by James Forshaw , there is a interesting patch in these 5 vulnerabilities which about the MoveFileInheritSecurity function, the vulnerability code is as follows:

__int64 __fastcall PolicyChecker::MoveFileInheritSecurity(const WCHAR *lpNewFileName, const WCHAR *lpExistingFileName)
{
  [...]
  if ( MoveFileExW(lpNewFileName, lpExistingFileName, 3u) )
  {
    if ( !InitializeAcl(&pAcl, 8u, 2u) )
    {
LABEL_4:
      v6 = GetLastError();
      goto LABEL_10;
    }
    v6 = SetNamedSecurityInfoW(lpExistingFileName, SE_FILE_OBJECT, 0x20000004u, 0i64, 0i64, &pAcl, 0i64);
    if ( v6 )
      MoveFileExW(lpExistingFileName, lpNewFileName, 3u);
  }
  [...]
}

As the code show, DsSvc will set the DACL of the new file through SetNamedSecurityInfoW after the MoveFile. James forshaw create a hardlink to a limit file, and call RpcDSSMoveFromSharedFile interface, the DsSvc get the file path directly, but not check if the file is accessible, it will finally set the limit file’s DACL.

Before patch:

__int64 __fastcall DSUtils::VerifyPathRoundTrip(wchar_t *Str2, wchar_t *a2)
{
  [...]
    v3 = CreateFileW(Str2, 0x80000000, 7u, 0i64, 4u, 0x80u, 0i64);
  if ( v3 != (HANDLE)-1i64 )
  {
    v2 = v3;
LABEL_6:
    v5 = DSUtils::VerifyPathFromHandle(v1, v2);
    goto LABEL_7;
  }
  [...]
}

After patch：

__int64 __fastcall DSUtils::VerifyPathRoundTrip(wchar_t *Str2, wchar_t *a2)
{
  [...]
  v5 = CreateFileW(Str2, 0x80000000, 7u, 0i64, 4u, 0x80u, 0i64);
  if ( v5 != (HANDLE)-1i64 )
  {
    v4 = v5;
LABEL_6:
    v7 = DSUtils::VerifyPathFromHandle(v3, v4);
    if ( v7 >= 0 )
      v7 = DSUtils::VerifyFileIdFromHandle(v2, v4);
    goto LABEL_8;
  }
  [...]
}

After patch, function DSUtils::VerifyFileIdFromHandle is added. The function contains a check for the hardlink. The BY_HANDLE_FILE_INFORMATION structure returned by calling the GetFileInformationByHandle function contains the member variable nNumberOfLinks. If it is greater than 1, it indicates that there is a symbolic link, and function will fail and return.

__int64 __fastcall DSUtils::GetFileIdFromHandle(HANDLE hFile, __int64 a2)
{
  [...]
  if ( GetFileInformationByHandle(v3, &FileInformation) )
    goto LABEL_19;
  [...]
LABEL_19:
  if ( FileInformation.nNumberOfLinks <= 1 )
  {
    v11 = (_WORD *)*v2;
    v2[1] = *v2;
    *v11 = 0;
  }
  [...]
}

The story is far from ending…

Obviously, Microsoft’s patch still have problem. I found that there is still a time window between the end of the check of the symbolic link and the call to the MoveFileInheritSecurity function, which means that there is a TOCTOU vulnerability, I can make a hardlink to limit file after the symbolink check, so that when DsSvc calls the MoveFileInheritSecurity function, it will set the limit file’s DACL finally. I later reported this vulnerability to Microsoft.

Microsoft’s patch is very simple, they canceled RpcDSSMoveFromSharedFile and RpcDSSMoveToSharedFile two RPC interfaces of DsSvc in Windows 10 rs6 and later.

///After parse DsSvc RPC interface you can find out that 
///RpcDSSMoveFromSharedFile and RpcDSSMoveToSharedFile are canceled

[uuid("bf4dc912-e52f-4904-8ebe-9317c1bdd497"), version(1.0)]
interface intf_bf4dc912_e52f_4904_8ebe_9317c1bdd497 {
    HRESULT RpcDSSCreateSharedFileToken( handle_t p0,  [In] wchar_t[1]* p1,  [In] struct Struct_0* p2,  [In] /* ENUM16 */ int p3,  [In] /* ENUM16 */ int p4,  [Out] wchar_t** p5);
    HRESULT RpcDSSGetSharedFileName( handle_t p0,  [In] wchar_t[1]* p1,  [Out] wchar_t** p2);
    HRESULT RpcDSSGetSharingTokenInformation( handle_t p0,  [In] wchar_t[1]* p1,  [Out] wchar_t** p2,  [Out] wchar_t** p3,  [Out] /* ENUM16 */ int* p4);
    HRESULT RpcDSSDelegateSharingToken( handle_t p0,  [In] wchar_t[1]* p1,  [In] struct Struct_1* p2);
    HRESULT RpcDSSRemoveSharingToken( handle_t p0,  [In] wchar_t[1]* p1);
    HRESULT RpcDSSOpenSharedFile( handle_t p0,  [In] wchar_t[1]* p1,  [In] int p2,  [Out] long* p3);
    HRESULT RpcDSSCopyFromSharedFile( handle_t p0,  [In] wchar_t[1]* p1,  [In] wchar_t[1]* p2);
    HRESULT RpcDSSRemoveExpiredTokens();
}

The old version still exists these two interfaces. In the old version, Microsoft’s patch is also very simple. The PolicyChecker::MoveFileInheritSecurity function is directly deleted, and DsSvc use another method for file copy. I will share this method later.

Other attack surfaces

In my RPC parsing log, I noticed another RPC interface, DSSCopyFromSharedFile, which calls the CopyFile function to copy file to a controllable path.

__int64 __fastcall DSSCopyFromSharedFile(const unsigned __int16 *a1, wchar_t *a2)
{
  [...Check File...]
  if ( !CopyFileW(*(LPCWSTR *)(v10 + 184), v4, 0) )
  {
    [...]
  }
  [...]
}

This vulnerability is very obvious, although DsSvc checked the permissions of the copied target file before CopyFile, I can still use race condition to link the file to the limit file after checking the target file permissions, and finally copy the shared file to limit file. In this function, the shared file can be specified by the user, so it is easy to write the payload into the file under system32.

When I reported this vulnerability, Microsoft did not award bounty for the vulnerability because Microsoft introduced a mitigation for hardlink. Whether normal user have control permission for the target file, if not, the hard link cannot be created, that is, the hardlink cannot be used by normal user in rs6 and WIP.

DsSvc security feature bypass

After receiving the reply from Microsoft, I made a quick review on the DsSvc service code again and found a very interesting place. In DsSvc, it will protect the folder where the target file is to be operated. Create a lock file to prevent this folder from being mounted to another directory. The function that implements this security feature is DSUtils::DirectoryLock::Lock. The function code is as follows:

__int64 __fastcall DSUtils::DirectoryLock::Lock(signed __int64 this, const unsigned __int16 *a2)
{
  [...]
  v20 = CreateFileW(v19, 0x80000000, 7u, 0i64, 4u, 0x4000100u, 0i64);
  [...]
}

The function calls CreateFile to create the lock file. I found that the lock file inherits the security descriptor of the parent directory, so actually, I have full control on lock file. It means I can delete the lock file after the lock file is created and after that I mount the directory to limit directory(the directory will be empty after I delete file). This way, even if I don’t use hardlink, I can finally call CopyFile to copy the payload to a limit file in the limit directory.

The story is still going on

Microsoft finally patched vulnerability I report. In CopyFromSharedFile, Microsoft use a new function DSUtils::CopyFileWithProgress with the following code:

__int64 __fastcall DSUtils::CopyFileWithProgress(BOOL *this, DSUtils *a2, DSUtils *a3, const unsigned __int16 *a4)
{
   DSUtils::OpenFile((const WCHAR *)a2, (const unsigned __int16 *)0x80000000i64, 7u, 0, &hObject);
   v7 = DSUtils::OpenFile((const WCHAR *)a3, (const unsigned __int16 *)0x80000000i64, 3u, 0, &pbCancel);
   [...]
   DSUtils::IsHardLinkFile(pbCancel, &vars0);
   [...]
   v8 = DSUtils::GetFinalPathFromHandle(v7, (__int64)&lpData);
   if ( v8 >= 0
        && !CopyFileExW(
           (LPCWSTR)a2,
           (LPCWSTR)a3,
           (LPPROGRESS_ROUTINE)CopyFileProgressRoutine,
           lpData,
           (LPBOOL)dwCopyFlags,
           0) )
   [...]     
}

In the patch, Microsoft not only checks whether the file is hardlink, but also uses CopyFileExW function. This function calls a callback function CopyFileProgressRoutine when copying the file. The callback function will check if the target file path is the same as before the IsHardLinkFile check.

signed __int64 __fastcall CopyFileProgressRoutine(LARGE_INTEGER TotalFileSize, LARGE_INTEGER TotalBytesTransferred, LARGE_INTEGER StreamSize, LARGE_INTEGER StreamBytesTransferred, DWORD dwStreamNumber, DWORD dwCallbackReason, HANDLE hSourceFile, HANDLE hDestinationFile, LPVOID lpData)
{
  [...]
  v9 = DSUtils::GetFinalPathFromHandle(hDestinationFile, (__int64)&Str2);
    if ( v9 >= 0 && _wcsicmp((const wchar_t *)lpData, Str2) )
  [...]
}

Is it really over?

After I analyze Microsoft’s patch, I sent an email to Microsoft to confirm whether they fixed the problem I reported later, that is, the problem about lock file created. At that time, my suggestion was to create a lock file that can not be controlled by normal users. This way the user cannot delete the lock file and mount the current directory to another directory. Microsoft confirmed that it had fixed the previous problem, but they may did not understand my suggestion.

Although Microsoft added multiple checks, it can be found that Microsoft has finished checking the target file when it calls DSUtils::OpenFile to open the file and the callback function CopyFileProgressRoutine compares the file path before and after, so there is a very obvious issue:

If I still have full control over the lock file, I can still bypass the check in another way, James Forshaw’s symboliclink-testing-tools introduce a method, this way it mounts the directory to the root directory of the namespace, and then links the named object to other files. This method will cause the file path to be resolved to other file when NT parsing the file path. Instead of setting the symbolic link through the SetFileInformation method, the advantage of this method is that the target file parsed when calling GetFileInformationByHandle is the target file, so the member variable nNumberOfLinks is still 1, you can easily bypass the IsHardlinkFile check.

Therefore, you can link file to other file in this way before OpenFile. After OpenFile, including the GetFinalPathNameByHandle in the callback function, they all will be parsed to the same path. Therefore, the patch is finally bypassed, and the payload file can still be copied to the limit file by CopyFile.

last of the last…

Microsoft released a new patch in November 2019. Finally, Microsoft deleted the DirectoryLock function and the MoveFileInheritSecurity function I mentioned earlier, and used a new method DSUtils::OpenFileAlways to open the file and return the file handle which will be used in DSUtils::CopyFileWithProgress, it will opened until the function return. So, when the file is opened, the file no longer can be deleted and the mount point can not be created to other directory. Before CopyFile, the file directory to be copied is parsed by the GetFileInformationByHandle function.

///Instead of file path, DsSvc use file handle as incoming parameter

DSUtils::CopyFileWithProgress(v5, (const unsigned __int16 *)hObject, hFile, (void *)v19);
{
  [...]
  DSUtils::GetFinalPathFromHandle(hObject, (__int64)lpExistingFileName);
  [...]
  DSUtils::GetFinalPathFromHandle(hFile, (__int64)lpNewFileName);
  [...]
  DSUtils::IsHardLinkFile(hFile, dwCopyFlags, v8);
  [...]
  else if ( !CopyFileExW(
                     lpExistingFileName[0],
                     lpNewFileName[0],
                     CopyFileProgressRoutine,
                     v4,
                     (LPBOOL)&dwCopyFlags[1],
                     0) )
  [...]
}

And also, DsSvc uses ImpersonateClient to make sure the target file is an accessible file.

 v6 = AutoImpersonate<1>::ImpersonateClient(&v39);
 [...]
 v6 = DSUtils::OpenFileAlways(lpFileName, Str, (unsigned __int64)&hFile);
 [...]
 if ( (_DWORD)v39 )
   RpcRevertToSelf();

Similarly, Microsoft has rewritten the CopyFileProgressRoutine callback function. In the function, DsSvc will compare the source file and target file with the FilePath and the FileID.

signed __int64 __fastcall CopyFileProgressRoutine(LARGE_INTEGER TotalFileSize, LARGE_INTEGER TotalBytesTransferred, LARGE_INTEGER StreamSize, LARGE_INTEGER StreamBytesTransferred, __int64 dwStreamNumber, __int64 dwCallbackReason)
{
 [...]
 v7 = DSUtils::GetFileIdFromHandle(hFile);
 [...]
 v7 = DSUtils::GetFileIdFromHandle((HANDLE)dwStreamNumber);
 [...]
 v7 = DSUtils::GetFinalPathFromHandle(hFile, (__int64)&v33);
 [...]
 v7 = DSUtils::GetFinalPathFromHandle((HANDLE)dwStreamNumber, (__int64)&v36);
 [...]
 if ( (unsigned int)utl::basic_string<unsigned short,utl::char_traits<unsigned short>,utl::allocator<unsigned short>>::compare(
                             dwCallbackReason,
                             &v27) )
 [...]
 if ( (unsigned int)utl::basic_string<unsigned short,utl::char_traits<unsigned short>,utl::allocator<unsigned short>>::compare(
                             dwCallbackReason + 64,
                             &v30) )
 [...]
 if ( (unsigned int)utl::basic_string<unsigned short,utl::char_traits<unsigned short>,utl::allocator<unsigned short>>::compare(
                             dwCallbackReason + 32,
                             &v33) )
 [...]
 if ( (unsigned int)utl::basic_string<unsigned short,utl::char_traits<unsigned short>,utl::allocator<unsigned short>>::compare(
                             dwCallbackReason + 96,
                             &v36) )
 [...]
}

In the old version, MoveFromSharedFile and MoveToSharedFile also use CopyFileWithProgress to move files. The story about DsSvc ends here.