手工添加系統(tǒng)服務(wù)

現(xiàn)在很多的木馬、后門、蠕蟲(chóng)病毒都是通過(guò)修改注冊(cè)表中的RUN鍵值來(lái)實(shí)現(xiàn)自啟動(dòng)。
但是這種自啟動(dòng)模式不是很隱蔽的,稍微懂點(diǎn)安全的人,一般發(fā)現(xiàn)電腦被黑,都會(huì)查看RUN鍵值的。
于是系統(tǒng)服務(wù)便成為了一種相對(duì)隱蔽的自啟動(dòng)模式。比如沖擊波殺手就采用系統(tǒng)服務(wù)來(lái)自啟動(dòng)病毒程序。
現(xiàn)在添加系統(tǒng)服務(wù)的工具很多,最典型的就是netservice。但是我們這里講的是手工添加系統(tǒng)服務(wù),所以工具的使用不在本文的討論范圍之內(nèi)。
現(xiàn)在很多的木馬、后門、蠕蟲(chóng)病毒都是通過(guò)修改注冊(cè)表中的RUN鍵值來(lái)實(shí)現(xiàn)自啟動(dòng)。
但是這種自啟動(dòng)模式不是很隱蔽的,稍微懂點(diǎn)安全的人,一般發(fā)現(xiàn)電腦被黑,都會(huì)查看RUN鍵值的。
于是系統(tǒng)服務(wù)便成為了一種相對(duì)隱蔽的自啟動(dòng)模式。比如沖擊波殺手就采用系統(tǒng)服務(wù)來(lái)自啟動(dòng)病毒程序。
現(xiàn)在添加系統(tǒng)服務(wù)的工具很多,最典型的就是netservice。但是我們這里講的是手工添加系統(tǒng)服務(wù),所以工具的使用不在本文的討論范圍之內(nèi)。
WINDOWS里的很多東西都是跟注冊(cè)表息息相關(guān)的,系統(tǒng)服務(wù)也不例外。
系統(tǒng)服務(wù)跟以下的注冊(cè)表幾個(gè)項(xiàng)目相關(guān):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
我們完全可以找到在系統(tǒng)服務(wù)中已注冊(cè)的服務(wù)的鍵值來(lái)依樣畫葫蘆。
在以上任何注冊(cè)表列中添加一個(gè)新項(xiàng):
名字是你想要添加系統(tǒng)服務(wù)的名字,比如Backdoor。
在BACKDOOR項(xiàng)下新建一個(gè)字符串,數(shù)值名稱Displayname 數(shù)值數(shù)據(jù)為要添加服務(wù)的
名稱Backdoor。
下面列出一個(gè)表,會(huì)直觀一些:
名稱 類型 數(shù)據(jù) 備注
Displayname REG_SZ 想要添加服務(wù)的名稱 想要添加服務(wù)的名稱
Description REG_SZ 服務(wù)的描述 服務(wù)的描述
ImagePath REG EXPAND SZ 程序的路徑
Start REG_DWORD 0,2,3,4 2代表自動(dòng)啟動(dòng),3代表手動(dòng)啟動(dòng)服務(wù).4代表禁用服務(wù),0代表系統(tǒng)對(duì)底層設(shè)備驅(qū)動(dòng)(一般不需要這個(gè))
ErrorControl REG_DWORD 1
Type REG_DWORD 10 or 20 一般應(yīng)用程序都是10,其他的對(duì)應(yīng)20
ObjectName REG_SZ LocalSystem 顯示本地登陸
注意:在XP/2003下可以完全手工來(lái)添加REG EXPAND SZ類型。在XP/2003下直接修改ImagePath 鍵值就可以了。但是在WIN2000下卻不可以。原因我也不清楚:(。但是在WIN2000下我們寫一個(gè)REG來(lái)直接注冊(cè)系統(tǒng)服務(wù),這樣WIN2000下添加系統(tǒng)也能很輕松了。這里同樣需要注意的是注冊(cè)表文件里的ImagePath的數(shù)值類型必須是HEX(16進(jìn)制)??梢阅肳INHEX來(lái)把程序的絕對(duì)路徑轉(zhuǎn)換成16進(jìn)制的。每一個(gè)數(shù)值用逗號(hào)擱開(kāi)。比如我的ImagePath鍵值是C:\winnt\nukegroup.exe那就應(yīng)該轉(zhuǎn)換成:
63,3A,5C,77,69,6E,6E,74,5C,6E,75,6B,65,2E,65,78,65(無(wú)空格)
打開(kāi)記事本,敲入以下內(nèi)容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SRVTEST]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):63,3A,5C,77,69,6E,6E,74,5C,6E,75,6B,65,2E,65,78,65
"DisplayName"="SRVTEST"
"ObjectName"="LocalSystem"
"Description"="系統(tǒng)服務(wù)測(cè)試"
把以上信息保存為addsrv.reg,我們就可以依靠命令來(lái)導(dǎo)入注冊(cè)表,從而達(dá)到添加系統(tǒng)服務(wù)的目的。
我們?cè)诿羁刂婆_(tái)輸入regedit /s addsrv.reg,等機(jī)器重新啟動(dòng),這個(gè)服務(wù)就被成功添加了。
但是我在真正實(shí)驗(yàn)的時(shí)候就遇到困難了。ImagePath的數(shù)值是亂碼(圖1)(圖2),
<IMG alt="user posted image" border=0 src="http://darkne2s.nease.net/images/1.jpg">
<IMG alt="user posted image" border=0 src="http://darkne2s.nease.net/images/2.jpg">
怎么想也不明白。但是這時(shí)可以把亂碼修改成絕對(duì)路徑了。如果直接把REG信息寫成這樣
"ImagePath"=hex(2):C:\WINNT\NUKEGROUP.EXE
其他的鍵值都可以添加,這個(gè)鍵值就不可以了?總之我們可以先添加亂碼的ImagePath,然后再修改成C:\winnt\nukegroup.exe 這樣也不是不可能的。就是在命令行下來(lái)添加就很麻煩了。(圖3)
以上是Windows 2000手工添加系統(tǒng)服務(wù)的方法,對(duì)于Windows 98 注冊(cè)表結(jié)構(gòu)是不一樣的,但是Windows 98仍然可以通過(guò)注冊(cè)表來(lái)實(shí)現(xiàn)添加系統(tǒng)服務(wù),而且還要更簡(jiǎn)單一些。
在項(xiàng)目“HKLM/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServices”下添加一個(gè)新字符串?dāng)?shù)值。
比如,如果程序的名字叫做“BACKDOOR”,就建立一個(gè)名為“BACKDOOR”的字符串?dāng)?shù)值,然后在數(shù)據(jù)域中輸入執(zhí)行程序的完整路徑。
手工添加一個(gè)系統(tǒng)服務(wù)就這么簡(jiǎn)單,手工刪除系統(tǒng)也是一個(gè)道理。通過(guò)注冊(cè)表來(lái)實(shí)現(xiàn),這里就不多說(shuō)了。
相關(guān)文章
微軟新版Outlook將推出郵件分類快捷鍵及多項(xiàng)優(yōu)化:5月開(kāi)始部署
微軟計(jì)劃在新版Outlook for Windows中引入郵件分類快捷功能,用戶可通過(guò)預(yù)設(shè)快捷鍵快速對(duì)郵件進(jìn)行分類,從而大幅提升工作效率并優(yōu)化管理流程2025-04-21rsync The --password-file option may only be used when accessing a
客戶端上傳文件執(zhí)行命令出錯(cuò),提醒The --password-file option may only be used when accessing an rsync daemon.查找資料也很少這樣的說(shuō)法,最后發(fā)現(xiàn)是冒號(hào)的問(wèn)題2025-02-26郵箱密碼忘記了怎么找回來(lái)? 網(wǎng)易郵箱密碼找回流程
郵箱在使用的時(shí)候,由于各種原因,有時(shí)候我們可能會(huì)遇到忘記密碼、賬號(hào)被盜等問(wèn)題,這時(shí)候就需要進(jìn)行163郵箱找回操作,本文將為大家介紹如何進(jìn)行163郵箱找回操作2025-02-01電子郵件注冊(cè)教程! 郵箱號(hào)怎么注冊(cè)看這篇就夠了
電子郵件成為了我們?nèi)粘I詈凸ぷ髦胁豢苫蛉钡囊徊糠?,無(wú)論是注冊(cè)社交媒體、購(gòu)物平臺(tái),還是與他人溝通,一個(gè)穩(wěn)定的郵箱賬號(hào)都變得至關(guān)重要,本文將為您提供詳細(xì)的電子郵件2025-02-01wps調(diào)用Outlook 批量發(fā)送電子郵件時(shí)持續(xù)彈出警告框怎么辦?
如何解決程序調(diào)用outlook時(shí)一直警告,wps調(diào)用outlook發(fā)送郵件時(shí),發(fā)送的時(shí)候,會(huì)一直出現(xiàn)警告,需要你一個(gè)個(gè)點(diǎn)確定或拒絕,本文介紹如何解決這個(gè)警告2025-02-01QQ郵箱文件怎么發(fā)送微信? 電腦qq郵箱中轉(zhuǎn)站中文件分享到微信的方法
在使用郵箱軟件的時(shí)候,有的用戶想要通過(guò)QQ郵箱文件,QQ郵箱中存在這種功能,但是很多小伙伴不知道到底要如何操作,下面小編就給大家?guī)?lái)QQ郵箱文件發(fā)送微信教程,感興趣的2024-09-29微信電腦版怎么獨(dú)立窗口中打開(kāi)訂閱號(hào)? 訂閱號(hào)獨(dú)立窗口顯示的教程
微信電腦版看訂閱號(hào)的時(shí)候,想要獨(dú)立窗口顯示訂閱號(hào),該怎么操作呢?下面我們就來(lái)看看詳細(xì)的教程2024-09-29Outlook在windows系統(tǒng)中有哪些快捷鍵? Outlook的鍵盤快捷方式大全
Outlook可以用它來(lái)收發(fā)電子郵件、管理聯(lián)系人信息、記日記、安排日程、分配任務(wù),新版Outlook for Windows帶來(lái)了許多新功能,今天我們就來(lái)看看Outlook快捷鍵匯總2024-09-13微信怎么調(diào)默認(rèn)瀏覽器? 微信設(shè)置默認(rèn)瀏覽器打開(kāi)網(wǎng)頁(yè)鏈接的教程
微信怎么調(diào)默認(rèn)瀏覽器?只需簡(jiǎn)單設(shè)置,在微信就可以使用默認(rèn)瀏覽器打開(kāi)網(wǎng)站,該怎么設(shè)置呢?詳細(xì)請(qǐng)看下文介紹2024-08-14GameViewer怎么刪除設(shè)備 GameViewer刪除設(shè)備的步驟
GameViewer怎么刪除設(shè)備?GameViewer 是一款專為游戲玩家設(shè)計(jì)的遠(yuǎn)程控制助手,下文中為大家?guī)?lái)了GameViewer刪除設(shè)備步驟,需要的朋友快來(lái)看看吧2024-06-17