您现在的位置是:首页 > 科技 > 正文
木马高招:灰鸽子注册成系统服务的方法
发布时间:2022-06-20 21:00:14来源:
大家好,我是云百科的客服小柏,我来为大家解答以上问题。木马高招:灰鸽子注册成系统服务的方法的很多人还不知道,那么木马高招:灰鸽子注册成系统服务的方法的问题,我们一起来看看吧!
解答:
1、 前几天掉了一只鸽子研究注册为系统服务的方法(我不用鸽子),发现它用的是rundl。
2、 L32导入一个inf来实现这个。这应该是有效的增加注册表锁(禁用注册表脚本和注册表编辑),对不对?下面的例子3360添加一个服务:[version]signature=$Windowsnt$[defaultinstall.services]addservice=inetsvr,My_addservice_name[My_addservice_name]displayname=WindowsInternetservicedescription=提供对Internet信息服务管理的支持。servicetype=0x10starttype=2errorcontrol=0servicebinary=%inetsvr。exe保存为inetsvr。inf,然后:rundll32.exesetupapi,installhinfsection默认安装128c3360pathinetsvrINF这个例子增加了一个叫inetsvr的服务(是不是很像系统自带的服务,呵呵)。
3、 几点说明:3360
4、 1.后四项为服务类型:0x10为独立流程服务,0x20为共享流程服务(如svchost);系统启动时会加载类型:0,操作系统初始化时会加载1个操作系统。
5、 2由SCM(服务控制管理器)自动启动。
6、 3手动启动。
7、 4名残疾人。(注意0和1只能用于驱动程序)
8、 忽略错误:0,1继续并警告,2切换到LastKnownGood的设置,3蓝屏。服务程序位置:%代表system32目录,%代表系统目录(WINNT或windows),%代表驱动程序目录system32drivers。其他数值见DDK。也可以不加变量直接使用完整路径。这四项是必须的。2.除了示例中的六项,还有LoadOrderGroup、Dependencies等。不常用,就不介绍了。3、inetsvr后面是两个逗号,因为中间省略了一个不常见的参数flags。删除一个服务:[version]signature=$windowsnt$[defaultinstall.services]delservice=inetsvr很简单吧?当然,也可以通过导入注册表来达到目的。
9、 但是inf有自己的优势。1,导出系统自带服务的一个注册表项,你会发现它的执行路径是这样的:3360imagepath=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00。3,00,74,00,65,00,6d,00,33,00,32,00,5c,00,74,00,6c,00,6e,00,74,00,73,00,76,00,实际上,它是%systemroot%system32ntsvrexe,但数据类型是REG_EXPAND_SZ。手动导入注册表添加服务时,这样定义ImagePath显然不方便。使用inf文件就没有这个问题了。ServiceBinary(即ImagePath)自动变成REG_EXPAND_SZ。2.最重要的是,和使用SC等工具一样,inf文件的效果是立竿见影的,但只有导入reg后才有效。3.inf文件将自动在服务的注册表项中添加一个安全子项,使其看起来更像系统附带的服务。
10、 此外,AddService和DelService、AddReg和DelReg可以同时使用,也可以重复使用。也就是说,可以同时添加和删除多个服务和注册表项。我就是这么手动把黑洞注册成服务的,呵呵。静补:不错.我通过将黑洞感染到其他服务文件中来启动它.它的特点是隐蔽性好!~.还有一些自我保护功能呵呵.即使他删除了,重启后也会重新生成。因为感染了,不会影响原文件3360)
本文到此讲解完毕了,希望对大家有帮助。
标签: