現(xiàn)在很多的木馬、后門、蠕蟲病毒都是通過修改注冊表中的RUN鍵值來實現(xiàn)自啟動。

但是這種自啟動模式不是很隱蔽的，稍微懂點安全的人，一般發(fā)現(xiàn)電腦被黑，都會查看RUN鍵值的。

于是系統(tǒng)服務(wù)便成為了一種相對隱蔽的自啟動模式。比如沖擊波殺手就采用系統(tǒng)服務(wù)來自啟動病毒程序。

現(xiàn)在添加系統(tǒng)服務(wù)的工具很多，最典型的就是netservice。但是我們這里講的是手工添加系統(tǒng)服務(wù)，所以工具的使用不在本文的討論范圍之內(nèi)。

現(xiàn)在很多的木馬、后門、蠕蟲病毒都是通過修改注冊表中的RUN鍵值來實現(xiàn)自啟動。

但是這種自啟動模式不是很隱蔽的，稍微懂點安全的人，一般發(fā)現(xiàn)電腦被黑，都會查看RUN鍵值的。

于是系統(tǒng)服務(wù)便成為了一種相對隱蔽的自啟動模式。比如沖擊波殺手就采用系統(tǒng)服務(wù)來自啟動病毒程序。

現(xiàn)在添加系統(tǒng)服務(wù)的工具很多，最典型的就是netservice。但是我們這里講的是手工添加系統(tǒng)服務(wù)，所以工具的使用不在本文的討論范圍之內(nèi)。

WINDOWS里的很多東西都是跟注冊表息息相關(guān)的，系統(tǒng)服務(wù)也不例外。

系統(tǒng)服務(wù)跟以下的注冊表幾個項目相關(guān)：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
我們完全可以找到在系統(tǒng)服務(wù)中已注冊的服務(wù)的鍵值來依樣畫葫蘆。

在以上任何注冊表列中添加一個新項：

名字是你想要添加系統(tǒng)服務(wù)的名字，比如Backdoor。

在BACKDOOR項下新建一個字符串,數(shù)值名稱Displayname 數(shù)值數(shù)據(jù)為要添加服務(wù)的

名稱Backdoor。
下面列出一個表，會直觀一些：

名稱 類型 數(shù)據(jù) 備注

Displayname REG_SZ 想要添加服務(wù)的名稱 想要添加服務(wù)的名稱
Description REG_SZ 服務(wù)的描述 服務(wù)的描述
ImagePath REG EXPAND SZ 程序的路徑
Start REG_DWORD 0,2,3,4 2代表自動啟動,3代表手動啟動服務(wù).4代表禁用服務(wù),0代表系統(tǒng)對底層設(shè)備驅(qū)動(一般不需要這個)
ErrorControl REG_DWORD 1
Type REG_DWORD 10 or 20 一般應(yīng)用程序都是10,其他的對應(yīng)20
ObjectName REG_SZ LocalSystem 顯示本地登陸

注意：在XP/2003下可以完全手工來添加REG EXPAND SZ類型。在XP/2003下直接修改ImagePath 鍵值就可以了。但是在WIN2000下卻不可以。原因我也不清楚：（。但是在WIN2000下我們寫一個REG來直接注冊系統(tǒng)服務(wù)，這樣WIN2000下添加系統(tǒng)也能很輕松了。這里同樣需要注意的是注冊表文件里的ImagePath的數(shù)值類型必須是HEX（16進制）。可以拿WINHEX來把程序的絕對路徑轉(zhuǎn)換成16進制的。每一個數(shù)值用逗號擱開。比如我的ImagePath鍵值是C:\winnt\nukegroup.exe那就應(yīng)該轉(zhuǎn)換成：
63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65（無空格）

打開記事本，敲入以下內(nèi)容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SRVTEST]

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65

"DisplayName"="SRVTEST"

"ObjectName"="LocalSystem"

"Description"="系統(tǒng)服務(wù)測試"

把以上信息保存為addsrv.reg，我們就可以依靠命令來導(dǎo)入注冊表，從而達到添加系統(tǒng)服務(wù)的目的。

我們在命令控制臺輸入regedit /s addsrv.reg，等機器重新啟動，這個服務(wù)就被成功添加了。

但是我在真正實驗的時候就遇到困難了。ImagePath的數(shù)值是亂碼（圖1）（圖2），

<IMG alt="user posted image" border=0 src="http://darkne2s.nease.net/images/1.jpg">
<IMG alt="user posted image" border=0 src="http://darkne2s.nease.net/images/2.jpg">

怎么想也不明白。但是這時可以把亂碼修改成絕對路徑了。如果直接把REG信息寫成這樣
"ImagePath"=hex(2):C:\WINNT\NUKEGROUP.EXE

其他的鍵值都可以添加，這個鍵值就不可以了？總之我們可以先添加亂碼的ImagePath，然后再修改成C:\winnt\nukegroup.exe 這樣也不是不可能的。就是在命令行下來添加就很麻煩了。(圖3)

以上是Windows 2000手工添加系統(tǒng)服務(wù)的方法，對于Windows 98 注冊表結(jié)構(gòu)是不一樣的，但是Windows 98仍然可以通過注冊表來實現(xiàn)添加系統(tǒng)服務(wù)，而且還要更簡單一些。

在項目“HKLM/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServices”下添加一個新字符串?dāng)?shù)值。

比如，如果程序的名字叫做“BACKDOOR”，就建立一個名為“BACKDOOR”的字符串?dāng)?shù)值，然后在數(shù)據(jù)域中輸入執(zhí)行程序的完整路徑。

手工添加一個系統(tǒng)服務(wù)就這么簡單，手工刪除系統(tǒng)也是一個道理。通過注冊表來實現(xiàn)，這里就不多說了。

最新評論