如何注冊(cè)一個(gè)新的系統(tǒng)服務(wù)

迎風(fēng)初開(kāi) 2010-12-21

展開(kāi)全文

現(xiàn)在添加系統(tǒng)服務(wù)的工具很多,，最典型的就是netservice。但是我們這里講的是手工添加系統(tǒng)服務(wù),，所以工具的使用不在本文的討論范圍之內(nèi)?，F(xiàn)在很多的木馬、后門,、蠕蟲(chóng)病毒都是通過(guò)修改注冊(cè)表中的RUN鍵值來(lái)實(shí)現(xiàn)自啟動(dòng),。但是這種自啟動(dòng)模式不是很隱蔽的，稍微懂點(diǎn)安全的人,，一般發(fā)現(xiàn)電腦被黑,，都會(huì)查看RUN鍵值的。于是系統(tǒng)服務(wù)便成為了一種相對(duì)隱蔽的自啟動(dòng)模式,。比如沖擊波殺手就采用系統(tǒng)服務(wù)來(lái)自啟動(dòng)病毒程序,。
現(xiàn)在添加系統(tǒng)服務(wù)的工具很多，最典型的就是netservice,。但是我們這里講的是手工添加系統(tǒng)服務(wù),，所以工具的使用不在本文的討論范圍之內(nèi)。

WINDOWS里的很多東西都是跟注冊(cè)表息息相關(guān)的,，系統(tǒng)服務(wù)也不例外,。系統(tǒng)服務(wù)跟以下的注冊(cè)表幾個(gè)項(xiàng)目相關(guān)：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
我們完全可以找到在系統(tǒng)服務(wù)中已注冊(cè)的服務(wù)的鍵值來(lái)依樣畫葫蘆。

在以上任何注冊(cè)表列中添加一個(gè)新項(xiàng)：

名字是你想要添加系統(tǒng)服務(wù)的名字,，比如Backdoor,。

在BACKDOOR項(xiàng)下新建一個(gè)字符串,，數(shù)值名稱Displayname 數(shù)值數(shù)據(jù)為要添加服務(wù)的

名稱Backdoor。
下面列出一個(gè)表,，會(huì)直觀一些：

名稱類型數(shù)據(jù) 備注

Displayname REG_SZ 想要添加服務(wù)的名稱想要添加服務(wù)的名稱
Description REG_SZ 服務(wù)的描述服務(wù)的描述
ImagePath REG EXPAND SZ 程序的路徑
Start REG_DWORD 0,，2，3,，4 2代表自動(dòng)啟動(dòng),，3代表手動(dòng)啟動(dòng)服務(wù).4代表禁用服務(wù)，0代表系統(tǒng)對(duì)底層設(shè)備驅(qū)動(dòng)(一般不需要這個(gè))
ErrorControl REG_DWORD 1
Type REG_DWORD 10 or 20 一般應(yīng)用程序都是10,，其他的對(duì)應(yīng)20
ObjectName REG_SZ LocalSystem 顯示本地登陸

注意：在XP/2003下可以完全手工來(lái)添加REG EXPAND SZ類型,。在XP/2003下直接修改ImagePath 鍵值就可以了。但是在WIN2000下卻不可以,。原因我也不清楚：（,。但是在WIN2000下我們寫一個(gè)REG來(lái)直接注冊(cè)系統(tǒng)服務(wù),，這樣WIN2000下添加系統(tǒng)也能很輕松了,。這里同樣需要注意的是注冊(cè)表文件里的ImagePath的數(shù)值類型必須是HEX（16進(jìn)制）?？梢阅肳INHEX來(lái)把程序的絕對(duì)路徑轉(zhuǎn)換成16進(jìn)制的,。每一個(gè)數(shù)值用逗號(hào)擱開(kāi)。比如我的ImagePath鍵值是C:\winnt\nukegroup.exe那就應(yīng)該轉(zhuǎn)換成：
63,，3A,，5C，77,，69,，6E，6E,，74,，5C，6E,，75,，6B，65,，2E,，65，78,，65（無(wú)空格）

打開(kāi)記事本,，敲入以下內(nèi)容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SRVTEST]

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):63，3A,，5C,，77,，69，6E,，6E,，74，5C,，6E,，75，6B,，65,，2E，65,，78,，65

"DisplayName"="SRVTEST"

"ObjectName"="LocalSystem"

"Description"="系統(tǒng)服務(wù)測(cè)試"

把以上信息保存為addsrv.reg，我們就可以依靠命令來(lái)導(dǎo)入注冊(cè)表,，從而達(dá)到添加系統(tǒng)服務(wù)的目的,。

我們?cè)诿羁刂婆_(tái)輸入regedit /s addsrv.reg，等機(jī)器重新啟動(dòng),，這個(gè)服務(wù)就被成功添加了,。

但是我在真正實(shí)驗(yàn)的時(shí)候就遇到困難了。ImagePath的數(shù)值是亂碼

怎么想也不明白,。但是這時(shí)可以把亂碼修改成絕對(duì)路徑了,。如果直接把REG信息寫成這樣
"ImagePath"=hex(2):C:\WINNT\NUKEGROUP.EXE

其他的鍵值都可以添加，這個(gè)鍵值就不可以了,？總之我們可以先添加亂碼的ImagePath,，然后再修改成C:\winnt\nukegroup.exe 這樣也不是不可能的。就是在命令行下來(lái)添加就很麻煩了,。(圖3)

以上是Windows 2000手工添加系統(tǒng)服務(wù)的方法,，對(duì)于Windows 98 注冊(cè)表結(jié)構(gòu)是不一樣的，但是Windows 98仍然可以通過(guò)注冊(cè)表來(lái)實(shí)現(xiàn)添加系統(tǒng)服務(wù),，而且還要更簡(jiǎn)單一些,。

在項(xiàng)目“HKLM/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServices”下添加一個(gè)新字符串?dāng)?shù)值。

比如,，如果程序的名字叫做“BACKDOOR”,，就建立一個(gè)名為“BACKDOOR”的字符串?dāng)?shù)值，然后在數(shù)據(jù)域中輸入執(zhí)行程序的完整路徑,。手工添加一個(gè)系統(tǒng)服務(wù)就這么簡(jiǎn)單,，手工刪除系統(tǒng)也是一個(gè)道理。通過(guò)注冊(cè)表來(lái)實(shí)現(xiàn),，這里就不多說(shuō)了,。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間,，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn),。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式,、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙,。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自：迎風(fēng)初開(kāi) > 《Service》

舉報(bào)/認(rèn)領(lǐng)