Control y Monitoreo de Servicios en Windows (CMD)
Controlar y monitorear servicios en un host es clave tanto para administradores como para atacantes.
Conocer qué servicios corren, cómo detenerlos o modificarlos puede ser vital para persistencia, escalación de privilegios o evasión.
🔹 Service Controller (SC)
sc es la herramienta principal de Windows para consultar, modificar y manejar servicios local y remotamente.
Uso básico:
sc <server> [command] [service name] <option1> <option2>...
Comandos principales:
-
query→ Consulta estado de servicios o drivers. -
queryex→ Estado extendido. -
start→ Inicia un servicio. -
stop→ Detiene un servicio. -
config→ Modifica configuración del servicio. -
pause/continue→ Pausa o reanuda un servicio.
🔹 Consultar Servicios
Todos los servicios activos:
sc query type= service
Ejemplo de Windows Defender:
sc query windefend
-
STATE: 4 RUNNING→ Servicio activo. -
STOPPABLE, NOT_PAUSABLE→ Limitaciones de permisos.
⚠️ Algunos servicios (ej. Windows Defender) solo pueden ser detenidos por SYSTEM, no por Administrador local.
🔹 Detener y arrancar servicios
Detener un servicio:
sc stop Spooler
Verificar estado:
sc query Spooler
Arrancar un servicio:
sc query Spooler
Servicios iniciarán en
START_PENDINGy luego cambiarán aRUNNING.
🔹 Modificar servicios
Modificar servicios en Windows con sc config permite ajustar cómo y cuándo un servicio se ejecuta, así como cambiar su ubicación binaria. Esto es útil tanto para administración como para escenarios de prueba o auditoría.
Qué se puede modificar
-
Start type: determina cómo se inicia el servicio.
-
auto: el servicio se inicia automáticamente con Windows. -
manual: el servicio requiere un inicio manual. -
disabled: el servicio queda deshabilitado y no puede iniciarse hasta cambiar su estado.
-
-
Path: se puede cambiar la ruta del ejecutable que corre el servicio.
Ejemplo: Deshabilitar Windows Update
sc stop wuauserv
sc stop bits
sc config wuauserv start= disabled
sc config bits start= disabled
Verificar:
sc start wuauserv
sc start bits
⚠️ Si está deshabilitado → StartService FAILED 1058.
Cambios persisten tras reinicio y se registran en el registro de Windows.
🔹 Otras herramientas para consultar servicios
1️⃣ Tasklist
Lista procesos con servicios asociados:
tasklist /svc
- Muestra
Image Name,PIDyServices.
2️⃣ Net Start / Net Stop
-
net start→ Lista servicios activos. -
net stop <service>→ Detiene un servicio. -
net pause / net continue→ Pausa / reanuda servicios.
3️⃣ WMIC
Lista servicios con información clave:
wmic service list brief
- Muestra:
Name,ProcessId,StartMode,State,Status.
⚠️ WMIC está deprecated en versiones recientes de Windows.