 |
让马儿注册为系统服务
一般木马启动的办法不外乎以下几种:
1.启动组
2.autoexe.bat
3.注册表
4.win.ini
5.sysytem.ini
6.winstat.bat
7.*.inf
8.*.autorun
那么我们如何把自己的马儿注册为系统服务,从而增强其隐蔽性呢?下面是实现办法:
我们所需的工具已经由微软提供在win2000 resouce kit工具包里,名为instsrv.exe srvany.exe reg.exe sc.exe当然还需要配置好的马儿,
就叫trojan.exe吧。我们先telnet上肉鸡,将上述工具copy到system32目录下,下面就开始行动啦,命令为instsrv.exe myservice srvany.exe。
这样就已经注册了一项系统服务,名为myservice,下面就要操作注册表,我们要在heky_local_machine\system\currentcontrolset\services找到我们刚才添加的myservice,新建一个键,名为parameters,在parameters下新建键名为application,类型为reg_sz,数据值就是c:\winnt\system32\trojan.exe.
那么我们如何实现以上操作呢?偶提供两种办法,一现在自己机机上操作,将heky_local_machine\system\currencontrolset\services-parameters导出为srv.reg一并传到肉鸡,然后运行reg.exe /import srv.reg .这样就将KO了。另外一种就是用reg.exe手动添加。reg.exe的用法如下:
F:\tools\nettools>reg
REG QUERY /?
REG ADD /?
REG DELETE /?
REG COPY /?
REG SAVE /?
REG RESTORE /?
REG LOAD /?
REG UNLOAD /?
REG COMPARE /?
REG EXPORT /?
REG IMPORT /?
ROOTKEY [ HKLM | HKCU | HKCR | HKU | HKCC ]
SubKey The full name of a registry key under the selected ROOTKEY
valueName The value name, under the selected Key, to add
/ve add the empty value name <no name>
Type [ REG_SZ | REG_MULTI_SZ | REG_DWORD_BIG_ENDIAN
|REG_DWORD | REG_BINARY | REG_DWORD_LITTLE_ENDIAN
|REG_NONE | REG_EXPAND_SZ ]
If omitted, REG_SZ is assumed
Separator Specify one charactor that you use as the separator in your data
string for REG_MULTI_SZ. If omitted, use "\0" as the separator
Data The data to assign to the registry valueName being added
/f Force overwriting the existing registry entry without prompt
每次都会返回代码0,1 0表示成功,1表示失败:(。
下面就是一个例子:REG ADD HKLM\Software\MyCo /v Path /t REG_EXPAND_SZ /d %"systemroot"%
Adds a value (name: Path, type: REG_EXPAND_SZ, data: %systemroot%)
Notice: Put the double quote ( " ) inside the expand string
根据这个例子不难看出,我们要添加的服务的命令应该是:REG ADD HKCC\system\currentcontrolset\parameters /v myservice /t reg_sz /d c:\winnt\system32 嘿嘿!好了马儿就变成服务了呀,下面就运行trojan.exe吧,另外你需要用sc.exe来congfig一下,将myservice配置为auto,sc.exe 大家用的多了,偶就不多废话了。
^_^加上马儿的自我保护,你的马会不会变成“不死神马”呀!注意尽量不要让木马以开头提到的8种方法启动,以免被查出trojan.exe的路径而被删除掉。
|
版权申明:
本站属于54stu个人网站,大部分文章来自网络搜集,大家可以自由转载本站的文章,但原作者和来自我站的链接必须保留。文章版权归原作者所有。
五四电脑技术资讯网(54stu.com)依法保护知识产权,如果我们的文章有涉及或侵犯您的有关权益,请即时与我们联系,注明网址及文章,我们会即时处理或删除,感谢您的合作!
|
|
|
上一篇:
下一篇:
