现在很多木马、后门、蠕虫病毒都是通过修改注册表中RUN键值来实现自启动但是这种自启动模式不是很隐蔽稍微懂点安全人般发现电脑被黑都会查看RUN键值于是系统服务便成为了种相对隐蔽自启动模式比如冲击波杀手就采用系统服务来自启动病毒
现在添加系统服务工具很多最典型就是netservice但是我们这里讲是手工添加系统服务所以工具使用不在本文讨论范围的内WINDOWS里很多东西都是跟注册表息息相关系统服务也不例外
系统服务跟以下注册表几个项目相关:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
我们完全可以找到在系统服务中已注册服务键值来依样画葫芦在以上任何注册表列中添加个新项:
名字是你想要添加系统服务名字比如Backdoor
在BACKDOOR项下新建个串,数值名称Displayname 数值数据为要添加服务
名称Backdoor
下面列出个表会直观些:
名称 类型 数据 备注
Displayname REG_SZ 想要添加服务名称 想要添加服务名称
Description REG_SZ 服务描述 服务描述
ImagePath REG EXPAND SZ 路径
Start REG_DWORD 0,2,3,4 2代表自动启动,3代表手动启动服务.4代表禁用服务,0代表系统对底层设备驱动(般不需要这个)
Error
最新评论