手工添加系统服务 完全版

韩冰

作者：Darkness http://boy.804.cn/

现在很多的木马、后门、蠕虫病毒都是通过修改注册表中的RUN键值来实现自启动。 但是这种自启动模式不是很隐蔽的，稍微懂点安全的人，一般发现电脑被黑，都会查看RUN键值的。 于是系统服务便成为了一种相对隐蔽的自启动模式。比如冲击波杀手就采用系统服务来自启动病毒程序。 现在添加系统服务的工具很多，最典型的就是netservice。但是我们这里讲的是手工添加系统服务，所以工具的使用不在本文的讨论范围之内。 - q* o- p% O7 d/ K. _5 EWINDOWS里的很多东西都是跟注册表息息相关的，系统服务也不例外。 系统服务跟以下的注册表几个项目相关： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices $ R4 E3 E& ~$ G - H1 _/ S& P6 N& }& zHKEY_LOCAL_MACHINESYSTEMControlSet001Services # d: @8 Y7 m9 t8 K: b/ W9 Z2 J. y: PHKEY_LOCAL_MACHINESYSTEMControlSet002Services - r4 ]* n/ G* Z3 ^我们完全可以找到在系统服务中已注册的服务的键值来依样画葫芦。 在以上任何注册表列中添加一个新项： . I2 O, v, Q5 e" E" _; }名字是你想要添加系统服务的名字，比如Backdoor。 在BACKDOOR项下新建一个字符串,数值名称Displayname 数值数据为要添加服务的 * m; Z }) ?3 D+ F) t 0 F) l0 \* a* r7 ?) }名称Backdoor。 下面列出一个表，会直观一些： 9 ]5 k W; h7 D' ~ - w6 [# `/ t7 c: w' k) A- a- P名称 类型 数据 备注 # |5 A8 s* f9 Q n9 yDisplayname REG_SZ 想要添加服务的名称 想要添加服务的名称 % c6 ]. @1 X' Q; E" k% f/ RDescription REG_SZ 服务的描述 服务的描述 ImagePath REG EXPAND SZ 程序的路径 Start REG_DWORD 0,2,3,4 2代表自动启动,3代表手动启动服务.4代表禁用服务,0代表系统对底层设备驱动(一般不需要这个) ErrorControl REG_DWORD 1 Type REG_DWORD 10 or 20 一般应用程序都是10,其他的对应20 ObjectName REG_SZ LocalSystem 显示本地登陆 " j1 G! O! i! Y9 f 4 u$ K, J) N& h0 g% j: e& G' n注意：在XP/2003下可以完全手工来添加REG EXPAND SZ类型。在XP/2003下直接修改ImagePath 键值就可以了。但是在WIN2000下却不可以。原因我也不清楚：（。但是在WIN2000下我们写一个REG来直接注册系统服务，这样WIN2000下添加系统也能很轻松了。这里同样需要注意的是注册表文件里的ImagePath的数值类型必须是HEX（16进制）。可以拿WINHEX来把程序的绝对路径转换成16进制的。每一个数值用逗号搁开。比如我的ImagePath键值是C:winntnukegroup.exe那就应该转换成： 63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65（无空格） 8 E* R- f& K+ Y# p4 @$ g f7 ?7 ^ & U( A; d% W1 F5 k" k! c0 i8 @; Y打开记事本，敲入以下内容： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSRVTEST] 3 s" ^# A `! E4 i) E6 H J. p "Type"=dword:00000010 "Start"=dword:00000002 ! p ]$ `( O$ t/ u j "ErrorControl"=dword:00000001 * p7 N7 N6 [! `! C1 {# s"ImagePath"=hex(2):63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65 # I3 W7 d; S1 L: @! X" L% E; c "DisplayName"="SRVTEST" "ObjectName"="LocalSystem" 5 b+ j$ S* _6 N- u! x "Description"="系统服务测试" - @+ }, l/ J. h- t ! H- M. y5 B4 b( w2 ~% E: m* j把以上信息保存为addsrv.reg，我们就可以依靠命令来导入注册表，从而达到添加系统服务的目的。 ) Y2 ?/ S! r* K2 m 7 B- f% R0 H: Q- ?6 A e9 T我们在命令控制台输入regedit /s addsrv.reg，等机器重新启动，这个服务就被成功添加了。 " E! X; @" C) C2 U* ~' ? q ! p: Z- p7 P9 X但是我在真正实验的时候就遇到困难了。ImagePath的数值是乱码（图1）（图2）， 7 c/ O, i$ T& ~# N , C T( G1 D( h1 z) q& u/ r3 z1 M . y3 v& K% W1 T7 Z' {: G 0 a7 M" b3 A% J& O, y8 F怎么想也不明白。但是这时可以把乱码修改成绝对路径了。如果直接把REG信息写成这样 "ImagePath"=hex(2):C:WINNTNUKEGROUP.EXE 其他的键值都可以添加，这个键值就不可以了？总之我们可以先添加乱码的ImagePath，然后再修改成C:winntnukegroup.exe 这样也不是不可能的。就是在命令行下来添加就很麻烦了。(图3) & W' O2 v) H. @+ G1 H- e9 x & H, V* n+ m1 L. a. P以上是Windows 2000手工添加系统服务的方法，对于Windows 98 注册表结构是不一样的，但是Windows 98仍然可以通过注册表来实现添加系统服务，而且还要更简单一些。

韩冰

在项目“HKLM/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServices”下添加一个新字符串数值。 1 U$ ~! G! D" x j$ A2 `: P0 \比如，如果程序的名字叫做“BACKDOOR”，就建立一个名为“BACKDOOR”的字符串数值，然后在数据域中输入执行程序的完整路径。 手工添加一个系统服务就这么简单，手工删除系统也是一个道理。通过注册表来实现，这里就不多说了。 6 k( F0 x; x. C2 Y . r2 Y) G: R+ @1 l' ^% d - @1 }8 J. \" s: N----------------- ; h. C/ _3 e% x' xWindows服务简介 服务控制管理器拥有一个在注册表中记录的数据库，包含了所有已安装的服务程序和设备驱动服务程序的相关信息。它允许系统管理员为每个服务自定义安全要求和控制访问权限。Windows服务包括四大部分：服务控制管理器(Service Control Manager)，服务控制程序(Service Control Program)，服务程序(Service Program)和服务配置程序(Service Configuration Program)。 ) ~/ i3 [1 v9 n* U8 x' E3 x! v4 G 1.服务控制管理器(SCM) $ Q! m5 Q( j# d& P服务控制管理器在系统启动的早期由Winlogon进程启动，可执行文件名是“Admin$\System32\Services.exe”，它是系统中的一个RPC服务器，因此服务配置程序和服务控制程序可以在远程操纵服务。它包括以下几方面的信息： 已安装服务数据库：服务控制管理器在注册表中拥有一个已安装服务的数据库，它在服务控制管理器和程序添加，删除，配置服务程序时使用，在注册表中数据库的位置为：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。它包括很多子键，每个子键的名字就代表一个对应的服务。数据库中包括：服务类型(私有进程，共享进程)，启动类型(自动运行，由服务控制管理器启动，无效)，错误类型(忽略，常规错误，服务错误，关键错误)，执行文件路径，依赖信息选项，可选用户名与密码。 自动启动服务：系统启动时，服务控制管理器启动所有“自启”服务和相关依赖服务。服务的加载顺序：顺序装载组列表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder；指定组列表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\GroupOrderList；每个服务所依赖的服务程序。在系统成功引导后会保留一份LKG(Last-Know-Good)的配置信息位于：HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX\Services。 # Y" H5 A8 d+ q; n8 g& e. \* h因要求而启动服务：用户可以使用服务控制面板程序来启动一项服务。服务控制程序也可以使用StartService来启动服务。服务控制管理器会进行下面的操作：获取帐户信息，登录服务项目，创建服务为悬挂状态，分配登录令牌给进程，允许进程执行。 服务记录列表：每项服务在数据库中都包含了下面的内容：服务名称，开始类型，服务状态(类型，当前状态，接受控制代码，退出代码，等待提示)，依赖服务列表指针。 服务控制管理器句柄：服务控制管理器支持句柄类型访问以下对象：已安装服务数据库，服务程序，数据库的锁开状态。 6 r% h7 j) u. l; {, X 2.服务控制程序(SCP) 服务控制程序可以执行对服务程序的开启，控制和状态查询功能： , C+ D6 o y: z% k* D开启服务：如果服务的开启类型为SERVICE_DEMAND_START，就可以用服务控制程序来开始一项服务。在开始服务的初始化阶段服务的当前状态为：SERVICE_START_PENDING，而在初始化完成后的状态就是：SERVICE_RUNNING。 ' O Y% r) L9 {7 Q向正在运行的服务发送控制请求：控制请求可以是系统默认的，也可以是用户自定义的。标准控制代码如下：停止服务(SERVICE_CONTROL_STOP)，暂停服务(SERVICE_CONTROL_PAUSE)，恢复已暂停服务(SERVICE_CONTROL_CONTINUE),获得更新信息(SERVICE_CONTROL_INTERROGATE)。 : j7 x! Y r$ s8 A f/ T% Z! t 5 q7 ^% S8 ^; G9 g+ Z i4 t7 e3.服务程序 1 W& @; A8 \. V: m+ T$ e7 M3 U一个服务程序可能拥有一个或多个服务的执行代码。我们可以创建类型为SERVICE_WIN32_OWN_PROCESS的只拥有一个服务的服务程序。而类型为SERVICE_WIN32_SHARE_PROCESS的服务程序却可以包含多个服务的执行代码。详情参见后面的Windows服务与编程。 + V2 {9 v) e: Q- ~4.服务配置程序 3 z+ d: x5 g* f& ^; ?7 M7 q7 F3 ~8 }2 \编程人员和系统管理员可以使用服务配置程序来更改，查询已安装服务的信息。当然也可以通过注册表函数来访问相关资源。 服务的安装，删除和列举：我们可以使用相关的系统函数来创建，删除服务和查询所有服务的当前状态。 服务配置：系统管理员通过服务配置程序来控制服务的启动类型，显示名称和相关描述信息。 / l8 `4 N/ O* D" W2 c------------------ ObjectName REG_SZ LocalSystem 改这里可以实现指定用户 1 D9 l T8 s( ~0 }因为LOCALSYSTEM是最高级的权限,所以没有提到其他权限选项. " b7 y/ Q) b: ~3 K) t8 D& k . U! A4 \& L! T3 { l下面是关于系统服务的简单描述 5 j7 n5 p( r- e) l: O9 P1 p. }3 T服务仅在登录到某一帐户的情况下才能访问操作系统中的资源和对象。大多数的服务都不更改默认的登录帐户。更改默认帐户可能导致服务失败。如果选定帐户没有登录服务的权限，Microsoft 管理控制台 (MMC) 的服务管理单元将自动为该帐户授予登录所管理计算机中服务的用户权限。但这并不保证启动服务。Windows 包括三个内置的本地帐户，分别用作各系统服务的登录帐户： * m U1 I# x: Q4 ?) F c3 L( \) e3 B" m( a: ] Y本地系统帐户：本地系统帐户功能强大，它可对系统进行完全访问，并作为网络中的计算机工作。如果某服务登录到域控制器的“本地系统”帐户，则该服务可访问整个域。有些服务的默认配置是登录到“本地系统”帐户。不要更改默认服务设置。帐户名称是 LocalSystem。该帐户没有密码。 本地服务帐户：本地服务帐户是一种特殊的内置帐户，类似于经身份验证的用户帐户。就访问的资源的对象而言，“本地服务”帐户与“Users”（用户）组成员权限等同。这种限制性访问有助于在个别服务或进程受损时保障系统安全。以“本地服务”帐户运行的服务使用有匿名凭据的空会话来访问网络资源。帐户名称是 NT AUTHORITY\LocalService。该帐户没有密码。 / {: N$ f* }( M2 f c- u- I ; p: a; Z2 o: \- x, Y网络服务帐户：网络服务帐户也是一种特殊的内置帐户，类似于经身份验证的用户帐户。就访问的资源的对象而言，“网络服务”帐户与“Users”（用户）组成员权限等同。这种限制性访问有助于在个别服务或进程受损时保障系统安全。以“网络服务”帐户运行的服务可使用计算机帐户的凭据来访问网络资源。帐户名称是 NT AUTHORITY\NetworkService。该帐户没有密码。 / ^. F3 J. {0 o$ Q; {4 y 如果更改默认服务设置，重要的服务可能无法正常运行。最重要的是，更改启动类型一定要谨慎，要使用配置了自动启动服务的设置来登录。