日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
手工添加后門(mén)中的系統(tǒng)服務(wù)精簡(jiǎn)版

手工添加后門(mén)中的系統(tǒng)服務(wù),現(xiàn)在很多的木馬、后門(mén)、蠕蟲(chóng)病毒都是“肆意”通過(guò)修改注冊(cè)表中的RUN鍵值來(lái)實(shí)現(xiàn)自啟動(dòng)。但是這種自啟動(dòng)模式有點(diǎn)“此地?zé)o銀三百兩”之意,稍微懂點(diǎn)安全的人,一般發(fā)現(xiàn)電腦被黑,都會(huì)查看RUN鍵值的。

創(chuàng)新互聯(lián)建站-專(zhuān)業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性?xún)r(jià)比松陽(yáng)網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式松陽(yáng)網(wǎng)站制作公司更省心,省錢(qián),快速模板網(wǎng)站建設(shè)找我們,業(yè)務(wù)覆蓋松陽(yáng)地區(qū)。費(fèi)用合理售后完善,10多年實(shí)體公司更值得信賴(lài)。

現(xiàn)在很多的木馬、后門(mén)、蠕蟲(chóng)病毒都是通過(guò)修改注冊(cè)表中的RUN鍵值來(lái)實(shí)現(xiàn)自啟動(dòng)。但是這種自啟動(dòng)模式不是很隱蔽的,稍微懂點(diǎn)安全的人,一般發(fā)現(xiàn)電腦被黑,都會(huì)查看RUN鍵值的。于是系統(tǒng)服務(wù)便成為了一種相對(duì)隱蔽的自啟動(dòng)模式。比如沖擊波殺手就采用系統(tǒng)服務(wù)來(lái)自啟動(dòng)病毒程序。

現(xiàn)在添加系統(tǒng)服務(wù)的工具很多,最典型的就是netservice。但是我們這里講的是手工添加系統(tǒng)服務(wù),所以工具的使用不在本文的討論范圍之內(nèi)。WINDOWS里的很多東西都是跟注冊(cè)表息息相關(guān)的,系統(tǒng)服務(wù)也不例外。

系統(tǒng)服務(wù)跟以下的注冊(cè)表幾個(gè)項(xiàng)目相關(guān):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

我們完全可以找到在系統(tǒng)服務(wù)中已注冊(cè)的服務(wù)的鍵值來(lái)依樣畫(huà)葫蘆。在以上任何注冊(cè)表列中添加一個(gè)新項(xiàng):

名字是你想要添加系統(tǒng)服務(wù)的名字,比如Backdoor。

在BACKDOOR項(xiàng)下新建一個(gè)字符串,數(shù)值名稱(chēng)Displayname 數(shù)值數(shù)據(jù)為要添加服務(wù)的

名稱(chēng)Backdoor。

下面列出一個(gè)表,會(huì)直觀一些:

名稱(chēng) 類(lèi)型 數(shù)據(jù) 備注

Displayname REG_SZ 想要添加服務(wù)的名稱(chēng) 想要添加服務(wù)的名稱(chēng)

Description REG_SZ 服務(wù)的描述 服務(wù)的描述

ImagePath REG EXPAND SZ 程序的路徑

Start REG_DWORD 0,2,3,4 2代表自動(dòng)啟動(dòng),3代表手動(dòng)啟動(dòng)服務(wù).4代表禁用服務(wù),0代表系統(tǒng)對(duì)底層設(shè)備驅(qū)動(dòng)(一般不需要這個(gè))

ErrorControl REG_DWORD 1

Type REG_DWORD 10 or 20 一般應(yīng)用程序都是10,其他的對(duì)應(yīng)20

ObjectName REG_SZ LocalSystem 顯示本地登陸

注意:在XP/2003下可以完全手工來(lái)添加REG EXPAND SZ類(lèi)型。在XP/2003下直接修改ImagePath 鍵值就可以了。但是在WIN2000下卻不可以。原因我也不清楚:(。但是在WIN2000下我們寫(xiě)一個(gè)REG來(lái)直接注冊(cè)系統(tǒng)服務(wù),這樣WIN2000下添加系統(tǒng)也能很輕松了。這里同樣需要注意的是注冊(cè)表文件里的ImagePath的數(shù)值類(lèi)型必須是HEX(16進(jìn)制)??梢阅肳INHEX來(lái)把程序的絕對(duì)路徑轉(zhuǎn)換成16進(jìn)制的。每一個(gè)數(shù)值用逗號(hào)擱開(kāi)。比如我的ImagePath鍵值是C:\winnt\nukegroup.exe那就應(yīng)該轉(zhuǎn)換成:

63,3A,5C,77,69,6E,6E,74,5C,6E,75,6B,65,2E,65,78,65(無(wú)空格)

打開(kāi)記事本,敲入以下內(nèi)容:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SRVTEST]

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):63,3A,5C,77,69,6E,6E,74,5C,6E,75,6B,65,2E,65,78,65

"DisplayName"="SRVTEST"

"ObjectName"="LocalSystem"

"Description"="系統(tǒng)服務(wù)測(cè)試"

把以上信息保存為addsrv.reg,

我們就可以依靠命令來(lái)導(dǎo)入注冊(cè)表,從而達(dá)到添加系統(tǒng)服務(wù)的目的。我們?cè)诿羁刂婆_(tái)輸入regedit /s addsrv.reg,等機(jī)器重新啟動(dòng),這個(gè)服務(wù)就被成功添加了。但是我在真正實(shí)驗(yàn)的時(shí)候就遇到困難了。ImagePath的數(shù)值是亂碼,

怎么想也不明白。但是這時(shí)可以把亂碼修改成絕對(duì)路徑了。如果直接把REG信息寫(xiě)成這樣 "ImagePath"=hex(2):C:\WINNT\NUKEGROUP.EXE ,其他的鍵值都可以添加,這個(gè)鍵值就不可以了?總之我們可以先添加亂碼的ImagePath,然后再修改成C:\winnt\nukegroup.exe 這樣也不是不可能的。就是在命令行下來(lái)添加就很麻煩了。

以上是Windows 2000手工添加系統(tǒng)服務(wù)的方法,對(duì)于Windows 98 注冊(cè)表結(jié)構(gòu)是不一樣的,但是Windows 98仍然可以通過(guò)注冊(cè)表來(lái)實(shí)現(xiàn)添加系統(tǒng)服務(wù),而且還要更簡(jiǎn)單一些。

在項(xiàng)目“HKLM/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServices”下添加一個(gè)新字符串?dāng)?shù)值。比如,如果程序的名字叫做“BACKDOOR”,就建立一個(gè)名為“BACKDOOR”的字符串?dāng)?shù)值,然后在數(shù)據(jù)域中輸入執(zhí)行程序的完整路徑。手工添加一個(gè)系統(tǒng)服務(wù)就這么簡(jiǎn)單,手工刪除系統(tǒng)也是一個(gè)道理。通過(guò)注冊(cè)表來(lái)實(shí)現(xiàn),這里就不多說(shuō)了。


網(wǎng)頁(yè)標(biāo)題:手工添加后門(mén)中的系統(tǒng)服務(wù)精簡(jiǎn)版
標(biāo)題來(lái)源:http://www.5511xx.com/article/djjhppc.html