您的位置:首页网络冲浪防范措施 → 木马的常用手法 手工添加系统服务

木马的常用手法 手工添加系统服务

时间:2004/10/8 16:37:00来源:本站整理作者:蓝点我要评论(0)

    现在很多的木马、后门、蠕虫病毒都是通过修改注册表中的RUN键值来实现自启动。

  但是这种自启动模式不是很隐蔽的,
RUN键值的。

 稍微懂点安全的人,一般发现电脑被黑,都会查看


 

  于是系统服务便成为了一种相对隐蔽
启动病毒程序。
 的自启动模式。比如冲击波杀手就采用系统服务来自

 

  现在添加系统服务的工
系统服务,所以工具的使用
 具很多,最典型的就是netservi
不在本文的讨论范围之内。
 ce。但是我们这里讲的是手工添加

 

  WINDOWS里的很多东西都是跟注册表息息相关的,系统服务也不例外。

  系统服务跟以下的注册表几个项目相关:

  HKEY_LOCAL_MACHINE\SYSTEM\Curren
 tControlSet\Services
 

  HKEY_LOCAL_MACHINE\S
 YSTEM\ControlSet001\Services
 
 

  HKEY_LOCAL_MACHINE\S
 YSTEM\ControlSet002\Services
 
 
  我们完全可以找到在系统服务中已注册的服务的键值来依样画葫芦。

  在以上任何注册表列中添加一个新项:

  名字是你想要添加系统服务的名字,比如Backdoor。

  在BACKDOOR项下新建一
 个字符串,数值名称Displayname
 数值数据为要添加服务的
 

  名称Backdoor。
  下面列出一个表,会直观一些:

  名称 类型 数据 备注

  Displayname REG_SZ 想要添加服务的名称 想要添加服务的名称
  Description REG_SZ 服务的描述 服务的描述
  ImagePath REG EXPAND SZ 程序的路径
  Start REG_DWORD 0,2,3,4 2代表自
统对底层设备驱动(一般不需要这个)
 动启动,3代表手动启动服务.4代表禁用服务,0代表系

 
  ErrorControl REG_DWORD 1
  Type REG_DWORD 10 or 20 一般应用
 程序都是10,其他的对应20
 
  ObjectName REG_SZ LocalSystem 显示本地登陆

  注意:在XP/2003下可
ImagePath 键值就可以了。
WIN2000下我们写一个REG来
同样需要注意的是注册表文
WINHEX来把程序的绝对路径
值是C:\winnt\nukegroup.e
 以完全手工来添加REG EXPAND S
但是在WIN2000下却不可以。原
直接注册系统服务,这样WIN200
件里的ImagePath的数值类型必
转换成16进制的。每一个数值用
xe那就应该转换成:
 Z类型。在XP/2003下直接修改
因我也不清楚:(。但是在
0下添加系统也能很轻松了。这里
须是HEX(16进制)。可以拿
逗号搁开。比如我的ImagePath键

 
  63,3A,5C,77,69,
 6E,6E,74,5C,6E,75,6B,
 65,2E,65,78,65(无空格)
 

  打开记事本,敲入以下内容:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SYSTEM\Curre
 ntControlSet\Services\SRVTEST]
 

  "Type"=dword:00000010

  "Start"=dword:00000002

  "ErrorControl"=dword:00000001

  "ImagePath"=hex(2):6
,78,65
 3,3A,5C,77,69,6E,6E,7

 4,5C,6E,75,6B,65,2E,65

 

  "DisplayName"="SRVTEST"

  "ObjectName"="LocalSystem"

  "Description"="系统服务测试"

  把以上信息保存为adds
务的目的。
 rv.reg,我们就可以依靠命令来

 导入注册表,从而达到添加系统服

 

  我们在命令控制台输入regedit /s a
加了。
 ddsrv.reg,等机器重新启动,这个服务就被成功添

 

  但是我在真正实验的时候就遇到困难了。ImagePath的数值是乱码

  user posted image

  user posted image


  怎么想也不明白。但是
 这时可以把乱码修改成绝对路径
 了。如果直接把REG信息写成这样
 
  "ImagePath"=hex(2):C:\WINNT\NUKE
 GROUP.EXE
 

  其他的键值都可以添加
然后再修改成C:\winnt\nuk
烦了。(图3)
 ,这个键值就不可以了?总之我
egroup.exe 这样也不是不可能

 们可以先添加乱码的ImagePath,
的。就是在命令行下来添加就很麻

 

  以上是Windows 2000手
,但是Windows 98仍然可以
 工添加系统服务的方法,对于Wi
通过注册表来实现添加系统服务
 ndows 98 注册表结构是不一样的
,而且还要更简单一些。
 

  在项目“HKLM/SOFTWARE/Microsoft/
新字符串数值。
 WindowsCurrentVersion/RunServices”下添加一个

 

  比如,如果程序的名字
然后在数据域中输入执行程
 叫做“BACKDOOR”,就建立一个
序的完整路径。
 名为“BACKDOOR”的字符串数值,

 

  手工添加一个系统服务就这么简单,
里就不多说了。
 手工删除系统也是一个道理。通过注册表来实现,这


相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 没有查询到任何记录。

最新文章 防止DdoS攻击:通过路解析卡巴斯基特色之漏 网站被sql注入的修复方法Ubuntu破解Windows和防护的三种方法防黑客qq改密码技巧如何保证Foxmail泄露邮箱密码安全

人气排行 路由器被劫持怎么办?路由器DNS被黑客篡改怎防止DdoS攻击:通过路由器绕过DDoS防御攻击如何彻底清除电脑病毒?如何使用无忧隐藏无线路由防蹭网办法车模兽兽激情视频下载暗藏木马使用四款防黑客软件的体会怎么防止木马入侵