手工添加系统服务
我要评论现在很多的木马、后门、蠕虫病毒都是通过修改注册表中的RUN键值来实现自启动。
但是这种自启动模式不是很隐蔽的,稍微懂点安全的人,一般发现电脑被黑,都会查看RUN键值的。
于是系统服务便成为了一种相对隐蔽的自启动模式。比如冲击波杀手就采用系统服务来自启动病毒程序。
现在添加系统服务的工具很多,最典型的就是netservice。但是我们这里讲的是手工添加系统服务,所以工具的使用不在本文的讨论范围之内。
现在很多的木马、后门、蠕虫病毒都是通过修改注册表中的RUN键值来实现自启动。
但是这种自启动模式不是很隐蔽的,稍微懂点安全的人,一般发现电脑被黑,都会查看RUN键值的。
于是系统服务便成为了一种相对隐蔽的自启动模式。比如冲击波杀手就采用系统服务来自启动病毒程序。
现在添加系统服务的工具很多,最典型的就是netservice。但是我们这里讲的是手工添加系统服务,所以工具的使用不在本文的讨论范围之内。
WINDOWS里的很多东西都是跟注册表息息相关的,系统服务也不例外。
系统服务跟以下的注册表几个项目相关:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
我们完全可以找到在系统服务中已注册的服务的键值来依样画葫芦。
在以上任何注册表列中添加一个新项:
名字是你想要添加系统服务的名字,比如Backdoor。
在BACKDOOR项下新建一个字符串,数值名称Displayname 数值数据为要添加服务的
名称Backdoor。
下面列出一个表,会直观一些:
名称 类型 数据 备注
Displayname REG_SZ 想要添加服务的名称 想要添加服务的名称
Description REG_SZ 服务的描述 服务的描述
ImagePath REG EXPAND SZ 程序的路径
Start REG_DWORD 0,2,3,4 2代表自动启动,3代表手动启动服务.4代表禁用服务,0代表系统对底层设备驱动(一般不需要这个)
ErrorControl REG_DWORD 1
Type REG_DWORD 10 or 20 一般应用程序都是10,其他的对应20
ObjectName REG_SZ LocalSystem 显示本地登陆
注意:在XP/2003下可以完全手工来添加REG EXPAND SZ类型。在XP/2003下直接修改ImagePath 键值就可以了。但是在WIN2000下却不可以。原因我也不清楚:(。但是在WIN2000下我们写一个REG来直接注册系统服务,这样WIN2000下添加系统也能很轻松了。这里同样需要注意的是注册表文件里的ImagePath的数值类型必须是HEX(16进制)。可以拿WINHEX来把程序的绝对路径转换成16进制的。每一个数值用逗号搁开。比如我的ImagePath键值是C:\winnt\nukegroup.exe那就应该转换成:
63,3A,5C,77,69,6E,6E,74,5C,6E,75,6B,65,2E,65,78,65(无空格)
打开记事本,敲入以下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SRVTEST]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):63,3A,5C,77,69,6E,6E,74,5C,6E,75,6B,65,2E,65,78,65
"DisplayName"="SRVTEST"
"ObjectName"="LocalSystem"
"Description"="系统服务测试"
把以上信息保存为addsrv.reg,我们就可以依靠命令来导入注册表,从而达到添加系统服务的目的。
我们在命令控制台输入regedit /s addsrv.reg,等机器重新启动,这个服务就被成功添加了。
但是我在真正实验的时候就遇到困难了。ImagePath的数值是乱码(图1)(图2),
<IMG alt="user posted image" border=0 src="
http://darkne2s.nease.net/images/1.jpg">
<IMG alt="user posted image" border=0 src="http://darkne2s.nease.net/images/2.jpg">
怎么想也不明白。但是这时可以把乱码修改成绝对路径了。如果直接把REG信息写成这样
"ImagePath"=hex(2):C:\WINNT\NUKEGROUP.EXE
其他的键值都可以添加,这个键值就不可以了?总之我们可以先添加乱码的ImagePath,然后再修改成C:\winnt\nukegroup.exe 这样也不是不可能的。就是在命令行下来添加就很麻烦了。(图3)
以上是Windows 2000手工添加系统服务的方法,对于Windows 98 注册表结构是不一样的,但是Windows 98仍然可以通过注册表来实现添加系统服务,而且还要更简单一些。
在项目“HKLM/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServices”下添加一个新字符串数值。
比如,如果程序的名字叫做“BACKDOOR”,就建立一个名为“BACKDOOR”的字符串数值,然后在数据域中输入执行程序的完整路径。
手工添加一个系统服务就这么简单,手工删除系统也是一个道理。通过注册表来实现,这里就不多说了。
相关文章
重启可暂时解决!微软承认Win10/Win11经典版Outlook存在3个BUG
微软承认Win10/Win11经典版Outlook存在多个bug,官方现已呼吁受影响用户提交诊断日志以协助分析,在为正式解决之前提供了临时解决办法2026-03-16加密邮件终于能打开了! 微软紧急修复Win10/Win11经典版Outlook故障
微软紧急修复 Win10/Win11 经典版 Outlook 故障,加密邮件终于能打开了,针对无法等待正式补丁的用户,微软提供了两种临时解决方案,详细如下文2026-02-02Win10/Win11新版Outlook无法打开Excel 附件的两种临时解决办法
微软承认部分 Win10/Win11 新版 Outlook 无法打开 Excel 附件,遇到这个问题的朋友可以参考本文的两种临时解决办法2025-12-03Win10/Win11版Outlook存在加密邮件问题:附临时解决方案
微软官方近日已承认经典版Outlook桌面客户端存在程序漏洞,该漏洞导致用户在尝试打开来自外部组织(其他租户)的OMEv2加密邮件时操作失败,同时会弹出“正在为信息权限管理2025-09-28- 微软补丁更新引发的软件故障屡见不鲜,最近win10/win11系统更新最新版本的Outlook后,发现无法正常启动,下面分享临时解决办法2025-08-21
- 遇到Outlook无法启动跳 4usqa 错误怎么办?别担心,跟着以下步骤,让你的Outlook重新焕发活力2025-05-14
微软新版Outlook将推出邮件分类快捷键及多项优化:5月开始部署
微软计划在新版Outlook for Windows中引入邮件分类快捷功能,用户可通过预设快捷键快速对邮件进行分类,从而大幅提升工作效率并优化管理流程2025-04-21rsync The --password-file option may only be used when accessing a
客户端上传文件执行命令出错,提醒The --password-file option may only be used when accessing an rsync daemon.查找资料也很少这样的说法,最后发现是冒号的问题2025-02-26
邮箱在使用的时候,由于各种原因,有时候我们可能会遇到忘记密码、账号被盗等问题,这时候就需要进行163邮箱找回操作,本文将为大家介绍如何进行163邮箱找回操作2025-02-01- 电子邮件成为了我们日常生活和工作中不可或缺的一部分,无论是注册社交媒体、购物平台,还是与他人沟通,一个稳定的邮箱账号都变得至关重要,本文将为您提供详细的电子邮件2025-02-01
最新评论