木馬高招:灰鴿子註冊成系統服務的方法

前幾天下了個鴿子來研究下註冊成系統服務的方法(我不用鴿子),發現它是用rundl

l32導入一個inf來實現的,這個應該是加了註冊表鎖(禁用reg腳本,禁用regedit)都有效的吧? 例子如下: 增加一個服務: [Version] Signature=$WINDOWS NT$ [DefaultInstall.Services] AddService=inetsvr,,My_AddService_Name [My_AddService_Name] DisplayName=Windows Internet Service Description=提供對 Internet 信息服務管理的支持。 ServiceType=0x10 StartType=2 ErrorControl=0 ServiceBinary=%11%inetsvr.exe 保存為inetsvr.inf,然後: rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:pathinetsvr.inf 這個例子增加一個名為inetsvr的服務(是不是很像系統自帶的服務,呵呵)。

幾點說明:

1,最後四項分別是 服務類型:0x10為獨立進程服務,0x20為共享進程服務(比如svchost); 啟動類型:0 系統引導時加載,1 OS初始化時加載。

2 由SCM(服務控制管理器)自動啟動。

3 手動啟動。

4 禁用。 (注意,0和1隻能用於驅動程序)

錯誤控制:0 忽略,1 繼續並警告,2 切換到LastKnownGood的設置,3 藍屏。 服務程序位置:%11%表示system32目錄,%10%表示系統目錄(WINNT或Windows),%12%為驅動目錄system32drivers。其他取值參見DDK。你也可以不用變量,直接使用全路徑。 這四項是必須要有的。 2,除例子中的六個項目,還有LoadOrderGroup、Dependencies等。不常用所以不介紹了。 3,inetsvr後面有兩個逗號,因為中間省略了一個不常用的參數flags。 刪除一個服務: [Version] Signature=$WINDOWS NT$ [DefaultInstall.Services] DelService=inetsvr 很簡單,不是嗎? 當然,你也可以通過導入註冊表達到目的。

但inf自有其優勢。 1,導出一個系統自帶服務的註冊表項,你會發現其執行路徑是這樣的: ImagePath=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00, 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,74, 00,6c,00,6e,00,74,00,73,00,76,00,72,00,2e,00,65,00,78,00,65,00,00,00 可讀性太差。其實它就是%SystemRoot%system32 lntsvr.exe,但數據類型是REG_EXPAND_SZ。當手動導入註冊表以增加服務時,這樣定義ImagePath顯然很不方便。而使用inf文件就完全沒有這個問題,ServiceBinary(即ImagePath)自動成為REG_EXPAND_SZ。 2,最關鍵的是,和用SC等工具一樣,inf文件的效果是即時起效的,而導入reg後必須重啟才有效。 3,inf文件會自動為服務的註冊表項添加一個Security子鍵,使它看起來更像系統自帶的服務。

另外,AddService和DelService以及AddReg、DelReg可以同時且重複使用。即可以同時增加和刪除多個服務和註冊表項。 我就是這樣手工把黑洞註冊成服務了,呵呵。 安靜的補充: 不錯... 我是用把黑洞感染進別的服務文件以達到以服務方式啟動的.... 特點是隱蔽性好!~..還有點自我保護功能呵呵..就算他刪了.重新啟動又會再生成 由於是感染進去的所以不會影響原文件:)

相關文章

  1. 怎麼將exe程序註冊成系統服務

    有時候我們在使用電腦的時候,想把exe程序註冊成系統服務,怎麼註冊呢,下面來分享一下方法 工具/原料 srvany.exe,instsrv.exe 將exe程序註冊成系統服務 方法/步驟 第一步我們需 ...
  2. 上興遠控 服務端配置教程(類似灰鴿子)

    上興遠控 服務端配置教程(類似灰鴿子) 工具/原料 上興遠控 有一個自己的 直鏈空間(推薦FTP  or 阿里雲儲存) 方法/步驟 關閉殺毒軟體(會誤報),解壓壓縮文件(在同一目錄) 安裝包說明: r ...
  3. 如何防止電腦感染灰鴿子木馬成為肉雞

    如何防止電腦感染灰鴿子成為肉雞?正如我們所知,灰鴿子木馬可以偽裝成圖片.文檔等,利用多種方式誘使人們點擊,而後又可以完全全自動後台隱蔽運行,讓人防不勝防.然而不管灰鴿子木馬如何偽裝,它的本質都是一樣需 ...
  4. 如何刪除taskmer.exe進程灰鴿子木馬

    taskmgr.exe是什麼進程?taskmgr.exe進程,很多朋友可能都不知道taskmgr.exe是什麼進程.但是談到taskmer.exe進程(灰鴿子木馬),大家估計會有一些了解.taskmg ...
  5. 灰鴿子木馬過360安全衛士免提示教程

    我們很多時候用灰鴿子軟體做的木馬容易被360殺毒軟體刪除或者提示,現在我教大家如何做一個免殺的木馬,免殺關鍵是修改特徵碼. 工具/原料 C32asm軟體工具 Ollydbg.exe軟體工具 灰鴿子軟體 ...
  6. 灰鴿子遠程控制軟體教程全攻略

    灰鴿子是一款運用D語言編寫的軟體,當初因漏洞被黑客利用,因而名聲大噪.其實灰鴿子與網絡人一樣是正規的遠程控制軟體,但功能並沒有網絡人豐富全面.下面來介紹一下. 工具/原料 PC 網絡人 方法/步驟 在 ...
  7. 教你如何在linux上查看已註冊的服務埠列表

    很多時候,我們要修改服務埠號或者或者部署新的程序,這時候就要看機器上有哪些埠號被占用了,或者我們需要看服務的埠號時也可以在這裡看. 工具/原料 一台linux 方法/步驟 這裡要提到的是一個AN ...
  8. 應用灰鴿子進行遠程監控

    灰鴿子作為一款國產優秀的遠程控制軟體,它有著很強的遠程控制功能."灰鴿子"分為"客戶端"和"服務端"兩個部分,它與"冰河" ...
  9. 揭示灰鴿子七宗罪 不可不知的病毒解決方案

    幾乎所有人都知道熊貓燒香,就是因為這個病毒有個明顯的圖標.而灰鴿子木馬病毒入侵系統後,只有非常有經驗的電腦用戶才可能發現異常,普通用戶根本毫不知情,就好比有個會隱形術的賊在你家中長駐. 灰鴿子病毒的文 ...
  10. 灰鴿子使用方法

    灰鴿子使用配置方法教程 工具/原料 灰鴿子 域名一個,或者伺服器也可以 方法/步驟 打開一個灰鴿子啟動界面和顯示界面 配置方法,大家如果是內網參考這個資料https://jingyan.baidu.c ...
  11. 花生殼灰鴿子怎樣用

    關於遠程工具灰鴿子,及動態域名解析應用如花生殼.nat123.dnspod等的相關使用問題.動態域名解析應用是解決本地動態公網IP的問題. 方法/步驟 用突破內網路由器的灰鴿子版本. 路由器的映射及相 ...
  12. 灰鴿子軟體使用

    灰鴿子( Huigezi)又叫灰鴿子遠程控制軟體,原本該軟體適用於公司和家庭管理,但因早年軟體設計缺陷,被黑客惡意使用,曾經被誤認為是一款集多種控制方式於一體的木馬程序. 工具/原料 灰鴿子 方法/步 ...
  13. 關閉遠程註冊表服務

    註冊表(Registry,繁體中文版Windows稱之為登錄)是Microsoft Windows中的一個重要的資料庫,用於存儲系統和應用程式的設置信息.早在Windows 3.0推出OLE技術的時候 ...
  14. 用友通系統管理註冊檢查服務狀態

    使用用友通時,有時可能會出現無法進入帳套的情況,這時就應該啟動用友通系統管理註冊檢查服務的狀態. 方法/步驟 雙擊桌面的系統管理圖標,啟動系統管理. 點擊系統菜單的註冊. 輸入用戶名"adm ...
  15. 灰鴿子使用教程

    灰鴿子使用教程 工具/原料 黑防灰鴿子 方法/步驟 先下載灰鴿子軟體,大家沒有的可以下載灰鴿子軟體的 打開後灰鴿子,我們先點擊ftp更新我們的動態域名 更新成功在打開配置服務端,寫上更新好的域名 這裡 ...
  16. 灰鴿子黑防專版遠程控制軟體使用

    黑防灰鴿子是灰鴿子推出的第一個版本,下面來教大家使用一下吧 工具/原料 灰鴿子黑防專版是2005最先出來的,準備一個這樣的軟體 大家注意一下,要沒用後門的黑防專版鴿子,不然也使用不了 方法/步驟 點擊 ...
  17. 怎樣開啟和連接遠程註冊表服務

    在Windows中,遠程註冊表服務是一項標準的.被win8系統所支持的服務.這一點可以從兩個方法看得出來. 方法/步驟 一是在註冊表編輯器的"文件"→"連接網 絡註冊表& ...
  18. apache2.2服務無法啟動,服務註冊和刪除的方法

    查錯過程: 1.查看apache錯誤日誌:目錄下的apache/logs/error.log 2.查看window系統日誌: 路徑:我的電腦-->右鍵管理-->系統工具-->事件查看 ...
  19. 灰鴿子病毒的防治

    灰鴿子病毒最可怕的就是它的變種,儘管瑞星公司一直沒有停止對灰鴿子的研究,但新的病毒變種仍然還在繼續危害人們信息安全   不少網友問我如何處理灰鴿子病毒,現在我就來分享我的經驗吧 工具/原料 灰鴿子的運 ...
  20. 花生殼灰鴿子如何遠程

    這裡應用到遠程工具灰鴿子,及動態域名解析應用如花生殼.nat123.dnspod等都可以.動態域名解析應用是解決本地動態公網IP的問題,如本地無公網IP,亦可通過nat123映射實現. 動態公網IP遠 ...