手工添加系统服务完全版-脚本技巧-福州电脑维修|上门维修维护|包年电脑维修|IT外包

手工添加系统服务完全版

作者：Darkness http://boy.804.cn/
现在许多的木马、后门、蠕虫病毒都是通过修改注册表中的RUN键值来完成自启动。
但是这种自启动形式不是很潜伏的，稍微懂点安全的人，一般发现电脑被黑，都会查看RUN键值的。
于是体系办事便成为了一种绝对潜伏的自启动形式。比如冲击波杀手就采用体系办事来自启动病毒步伐。
现在添加体系办事的东西许多，最典型的便是netservice。但是我们这里讲的是手工添加体系办事，以是东西的使用不在本文的讨论范围之内。
WINDOWS里的许多东西都是跟注册表息息相干的，体系办事也不例外。
体系办事跟以下的注册表几个项目相干：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
HKEY_LOCAL_MACHINESYSTEMControlSet001Services
HKEY_LOCAL_MACHINESYSTEMControlSet002Services
我们完全可以找到在体系办事中已注册的办事的键值来依样画葫芦。
在以上任何注册表列中添加一个新项：
名字是你想要添加体系办事的名字，比如Backdoor。
在BACKDOOR项下新建一个字符串,数值名称Displayname 数值数据为要添加办事的
名称Backdoor。
上面列出一个表，会直观一些：
名称范例数据备注
Displayname REG_SZ 想要添加办事的名称想要添加办事的名称
Description REG_SZ 办事的形貌办事的形貌
ImagePath REG EXPAND SZ 步伐的路径
Start REG_DWORD 0,2,3,4 2代表主动启动,3代表手动启动办事.4代表禁用办事,0代表体系对底层设置装备摆设驱动(一般不必要这个)
ErrorControl REG_DWORD 1
Type REG_DWORD 10 or 20 一般应用步伐都是10,其他的对应20
ObjectName REG_SZ LocalSystem 显示当地登岸
注意：在XP/2003下可以完全手工来添加REG EXPAND SZ范例。在XP/2003下直接修改ImagePath 键值就可以了。但是在WIN2000下却不行以。缘故原由我也不清楚：（。但是在WIN2000下我们写一个REG来直接注册体系办事，如许WIN2000下添加体系也能很轻松了。这里异样必要注意的是注册表文件里的ImagePath的数值范例必需是HEX（16进制）。可以拿WINHEX来把步伐的绝对路径转换成16进制的。每一个数值用逗号搁开。比如我的ImagePath键值是C:winntnukegroup.exe那就应该转换成：
63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65（无空格）
打开记事本，敲入以下内容：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSRVTEST]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65
"DisplayName"="SRVTEST"
"ObjectName"="LocalSystem"
"Description"="体系办事测试"
把以上信息保存为addsrv.reg，我们就可以依靠下令来导入注册表，从而达到添加体系办事的目标。
我们在下令控制台输出regedit /s addsrv.reg，等呆板重新启动，这个办事就被成功添加了。
但是我在真正实行的时间就遇到困难了。ImagePath的数值是乱码（图1）（图2），
怎样想也不明白。但是这时可以把乱码修改成绝对路径了。要是直接把REG信息写成如许
"ImagePath"=hex(2):C:WINNTNUKEGROUP.EXE
其他的键值都可以添加，这个键值就不行以了？总之我们可以先添加乱码的ImagePath，然后再修改成C:winntnukegroup.exe 如许也不是不行能的。便是在下令行下来添加就很贫苦了。(图3)
以上是Windows 2000手工添加体系办事的要领，对付Windows 98 注册表结构是纷歧样的，但是Windows 98仍旧可以通过注册表来完成添加体系办事，而且还要更简略一些。
--------------------------------------------------------------------------------
在项目“HKLM/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServices”下添加一个新字符串数值。
比如，要是步伐的名字叫做“BACKDOOR”，就创建一个名为“BACKDOOR”的字符串数值，然后在数据域中输出实行步伐的完备路径。
手工添加一个体系办事就这么简略，手工删除体系也是一个道理。通过注册表来完成，这里就未几说了。
-----------------
Windows办事简介
办事控制办理器拥有一个在注册表中记录的数据库，包罗了所有已安装的办事步伐和设置装备摆设驱动办事步伐的相干信息。它允许体系办理员为每个办事自定义安全要求和控制访问权限。Windows办事包罗四大部分：办事控制办理器(Service Control Manager)，办事控制步伐(Service Control Program)，办事步伐(Service Program)和办事配置步伐(Service Configuration Program)。
1.办事控制办理器(SCM)
办事控制办理器在体系启动的晚期由Winlogon进程启动，可实行文件名是“Admin$\System32\Services.exe”，它是体系中的一个RPC办事器，因而办事配置步伐和办事控制步伐可以在长途利用办事。它包罗以下几方面的信息：
已安装办事数据库：办事控制办理器在注册表中拥有一个已安装办事的数据库，它在办事控制办理器和步伐添加，删除，配置办事步伐时使用，在注册表中数据库的地位为：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。它包罗许多子键，每个子键的名字就代表一个对应的办事。数据库中包罗：办事范例(私有进程，共享进程)，启动范例(主动运行，由办事控制办理器启动，无效)，错误范例(忽略，通例错误，办事错误，关键错误)，实行文件路径，依赖信息选项，可选用户名与密码。
主动启动办事：体系启动时，办事控制办理器启动所有“自启”办事和相干依赖办事。办事的加载顺序：顺序装载组列表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder；指定组列表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\GroupOrderList；每个办事所依赖的办事步伐。在体系成功引导后会保存一份LKG(Last-Know-Good)的配相信息位于：HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX\Services。
因要求而启动办事：用户可以使用办事控制面板步伐来启动一项办事。办事控制步伐也可以使用StartService来启动办事。办事控制办理器会举行上面的操纵：获取帐户信息，登录办事项目，创建办事为悬挂形态，分派登录令牌给进程，允许进程实行。
办事记录列表：每项办事在数据库中都包罗了上面的内容：办事名称，开端范例，办事形态(范例，以后形态，接受控制代码，退出代码，等待提示)，依赖办事列表指针。
办事控制办理器句柄：办事控制办理器支持句柄范例访问以下对象：已安装办事数据库，办事步伐，数据库的锁开形态。
2.办事控制步伐(SCP)
办事控制步伐可以实行对办事步伐的开启，控制和形态查询功效：
开启办事：要是办事的开启范例为SERVICE_DEMAND_START，就可以用办事控制步伐来开端一项办事。在开端办事的初始化阶段办事确以后形态为：SERVICE_START_PENDING，而在初始化完成后的形态便是：SERVICE_RUNNING。
向正在运行的办事发送控制恳求：控制恳求可以是体系默许的，也可以是用户自定义的。标准控制代码如下：停止办事(SERVICE_CONTROL_STOP)，停息办事(SERVICE_CONTROL_PAUSE)，恢复已停息办事(SERVICE_CONTROL_CONTINUE),获得更新信息(SERVICE_CONTROL_INTERROGATE)。
3.办事步伐
一个办事步伐可能拥有一个或多个办事的实行代码。我们可以创建范例为SERVICE_WIN32_OWN_PROCESS的只拥有一个办事的办事步伐。而范例为SERVICE_WIN32_SHARE_PROCESS的办事步伐却可以包罗多个办事的实行代码。详情参见后面的Windows办事与编程。
4.办事配置步伐
编程职员和体系办理员可以使用办事配置步伐来更改，查询已安装办事的信息。当然也可以通过注册表函数来访问相干资源。
办事的安装，删除和列举：我们可以使用相干的体系函数来创建，删除办事和查询所有办事确以后形态。
办事配置：体系办理员通过办事配置步伐来控制办事的启动范例，显示名称和相干形貌信息。
------------------
ObjectName REG_SZ LocalSystem
改这里可以完成指定用户
由于LOCALSYSTEM是最高级的权限,以是没有提到其他权限选项.
上面是关于体系办事的简略形貌
办事仅在登录到某一帐户的环境下才气访问操纵体系中的资源和对象。大多数的办事都不更改默许的登录帐户。更改默许帐户可能招致办事失败。要是选定帐户没有登录办事的权限，Microsoft 办理控制台 (MMC) 的办事办理单元将主动为该帐户授予登录所办理计算机中办事的用户权限。但这并不保证启动办事。Windows 包罗三个内置确当地帐户，辨别用作各体系办事的登录帐户：
当地体系帐户：当地体系帐户功效壮大，它可对体系举行完全访问，并作为网络中的计算机工作。要是某办事登录到域控制器的“当地体系”帐户，则该办事可访问整个域。有些办事的默许配置是登录到“当地体系”帐户。不要更改默许办事设置。帐户名称是 LocalSystem。该帐户没有密码。
当地办事帐户：当地办事帐户是一种特殊的内置帐户，类似于经身份验证的用户帐户。就访问的资源的对象而言，“当地办事”帐户与“Users”（用户）组成员权限同等。这种限定性访问有助于在个体办事或进程受损时保证体系安全。以“当地办事”帐户运行的办事使用有匿名根据的空会话来访问网络资源。帐户名称是 NT AUTHORITY\LocalService。该帐户没有密码。
网络办事帐户：网络办事帐户也是一种特殊的内置帐户，类似于经身份验证的用户帐户。就访问的资源的对象而言，“网络办事”帐户与“Users”（用户）组成员权限同等。这种限定性访问有助于在个体办事或进程受损时保证体系安全。以“网络办事”帐户运行的办事可使用计算机帐户的根据来访问网络资源。帐户名称是 NT AUTHORITY\NetworkService。该帐户没有密码。
要是更改默许办事设置，紧张的办事可能无法正常运行。最紧张的是，更改启动范例肯定要谨慎，要使用配置了主动启动办事的设置来登录。