现在很多
木马、后门、蠕虫病毒都是通过修改注册表中RUN键值来实现自启动
但是这种自启动模式不是很隐蔽
稍微懂点安全人
般发现电脑被黑都会查看RUN键值于是系统服务便成为了种相对隐蔽自启动模式比如冲击波杀手就采用系统服务来自启动病毒
现在添加系统服务
工具很多最典型就是netservice但是我们这里讲是手工添加系统服务所以工具使用不在本文讨论范围的内WINDOWS里很多东西都是跟注册表息息相关系统服务也不例外 系统服务跟以下
注册表几个项目相关: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
我们完全可以找到在系统服务中已注册
服务键值来依样画葫芦在以上任何注册表列中添加个新项: 名字是你想要添加系统服务
名字比如Backdoor 在BACKDOOR项下新建
个
串,数值名称Displayname 数值数据为要添加服务 名称Backdoor
下面列出
个表会直观些: 名称 类型 数据 备注
Displayname REG_SZ 想要添加服务
名称 想要添加服务名称 Description REG_SZ 服务
描述 服务描述 ImagePath REG EXPAND SZ
路径 Start REG_DWORD 0,2,3,4 2代表自动启动,3代表手动启动服务.4代表禁用服务,0代表系统对底层设备驱动(
般不需要这个) Error
最新评论