手工添加系統服務

2020-04-18 13:06:55

字體：大中小

來源：轉載

供稿：網友

現在很多的木馬、后門、蠕蟲病毒都是通過修改注冊表中的RUN鍵值來實現自啟動。

但是這種自啟動模式不是很隱蔽的，稍微懂點安全的人，一般發現電腦被黑，都會查看RUN鍵值的。

于是系統服務便成為了一種相對隱蔽的自啟動模式。比如沖擊波殺手就采用系統服務來自啟動病毒程序。

現在添加系統服務的工具很多，最典型的就是netservice。但是我們這里講的是手工添加系統服務，所以工具的使用不在本文的討論范圍之內。

現在很多的木馬、后門、蠕蟲病毒都是通過修改注冊表中的RUN鍵值來實現自啟動。

但是這種自啟動模式不是很隱蔽的，稍微懂點安全的人，一般發現電腦被黑，都會查看RUN鍵值的。

于是系統服務便成為了一種相對隱蔽的自啟動模式。比如沖擊波殺手就采用系統服務來自啟動病毒程序。

現在添加系統服務的工具很多，最典型的就是netservice。但是我們這里講的是手工添加系統服務，所以工具的使用不在本文的討論范圍之內。

WINDOWS里的很多東西都是跟注冊表息息相關的，系統服務也不例外。

系統服務跟以下的注冊表幾個項目相關：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services
我們完全可以找到在系統服務中已注冊的服務的鍵值來依樣畫葫蘆。

在以上任何注冊表列中添加一個新項：

名字是你想要添加系統服務的名字，比如Backdoor。

在BACKDOOR項下新建一個字符串,數值名稱Displayname 數值數據為要添加服務的

名稱Backdoor。
下面列出一個表，會直觀一些：

名稱類型數據備注

Displayname REG_SZ 想要添加服務的名稱想要添加服務的名稱
Description REG_SZ 服務的描述服務的描述
ImagePath REG EXPAND SZ 程序的路徑
Start REG_DWORD 0,2,3,4 2代表自動啟動,3代表手動啟動服務.4代表禁用服務,0代表系統對底層設備驅動(一般不需要這個)
ErrorControl REG_DWORD 1
Type REG_DWORD 10 or 20 一般應用程序都是10,其他的對應20
ObjectName REG_SZ LocalSystem 顯示本地登陸

注意：在XP/2003下可以完全手工來添加REG EXPAND SZ類型。在XP/2003下直接修改ImagePath 鍵值就可以了。但是在WIN2000下卻不可以。原因我也不清楚：（。但是在WIN2000下我們寫一個REG來直接注冊系統服務，這樣WIN2000下添加系統也能很輕松了。這里同樣需要注意的是注冊表文件里的ImagePath的數值類型必須是HEX（16進制）。可以拿WINHEX來把程序的絕對路徑轉換成16進制的。每一個數值用逗號擱開。比如我的ImagePath鍵值是C:/winnt/nukegroup.exe那就應該轉換成：
63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65（無空格）

打開記事本，敲入以下內容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SRVTEST]

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65

"DisplayName"="SRVTEST"

"ObjectName"="LocalSystem"

"Description"="系統服務測試"

把以上信息保存為addsrv.reg，我們就可以依靠命令來導入注冊表，從而達到添加系統服務的目的。

我們在命令控制臺輸入regedit /s addsrv.reg，等機器重新啟動，這個服務就被成功添加了。