2.3　服務(wù)排查

服務(wù)可以理解為運行在后臺的進程。這些服務(wù)可以在計算機啟動時自動啟動，也可以暫停和重新啟動，而且不顯示任何用戶界面。服務(wù)非常適合在服務(wù)器上使用，通常在為了不影響在同一臺計算機上工作的其他用戶，且需要長時間運行功能時使用。在應急響應排查過程中，服務(wù)作為一種運行在后臺的進程，是惡意軟件常用的駐留方法。

1.Windows系統(tǒng)

打開【運行】對話框，輸入【services.msc】命令，可打開【服務(wù)】窗口，查看所有的服務(wù)項，包括服務(wù)的名稱、描述、狀態(tài)等，如圖2.3.1所示。

2.Linux系統(tǒng)

在命令行中輸入【chkconfig--list】命令，可以查看系統(tǒng)運行的服務(wù)，如圖2.3.2所示。

其中，0、1、2、3、4、5、6表示等級，具體含義如下：

1表示單用戶模式；

2表示無網(wǎng)絡(luò)連接的多用戶命令行模式；

3表示有網(wǎng)絡(luò)連接的多用戶命令行模式；

4表示不可用；

5表示帶圖形界面的多用戶模式；

6表示重新啟動。

使用【service--status-all】命令，可查看所有服務(wù)的狀態(tài)，如圖2.3.3所示。