[psac]

木馬高招：灰鴿子註冊成系統服務的方法
前幾天下了個鴿子來研究下註冊成系統服務的方法（我不用鴿子），發現它是用rundll32匯入一個inf來實現的，這個應該是加了註冊表鎖（禁用reg腳本，禁用regedit）都有效的吧？ 例子如下： 增加一個服務： [Version] Signature=$WINDOWS NT$ [DefaultInstall.Services] AddService=inetsvr,,My_AddService_Name [My_AddService_Name] DisplayName=Windows Internet Service Description=提供對 Internet 訊息服務管理的支持。 ServiceType=0x10 StartType=2 ErrorControl=0 ServiceBinary=%11%\inetsvr.exe 儲存為inetsvr.inf，然後： rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\path\inetsvr.inf 這個例子增加一個名為inetsvr的服務（是不是很像系統自帶的服務，呵呵）。


· 行動點亮財富　　商搜

· 投入1萬　 自己做老闆


· 18歲她一夜暴富靠什麼

· 做別人沒想到的好生意


· 國際品牌女鞋一折供貨

· 全棉新概念輕鬆賺大錢




幾點說明：

1.最後四項分別是 服務類型：0x10為獨立工作行程服務，0x20為共享工作行程服務（比如svchost）； 啟動類型：0 系統啟始時載入，1 OS初始化時載入，2 由SCM（服務控制管理器）自動啟動，3 手動啟動，4 禁用。 （注意，0和1只能用於驅動程式）


錯誤控制：0 忽略，1 繼續並警告，2 切換到LastKnownGood的設置，3 藍底白字畫面。 服務程式位置：%11%表示system32目錄，%10%表示系統目錄(WINNT或Windows)，%12%為驅動目錄system32\drivers。其他取值參見DDK。你也可以不用變數，直接使用全路徑。 這四項是必須要有的。

2.除例子中的六個專案，還有LoadOrderGroup、Dependencies等。不常用所以不介紹了。

3.inetsvr後面有兩個逗號，因為中間省略了一個不常用的參數flags。 刪除一個服務： [Version] Signature=$WINDOWS NT$ [DefaultInstall.Services] DelService=inetsvr 很簡單，不是嗎？ 當然，你也可以通過匯入註冊表達到目的。


但inf自有其優勢。

1.匯出一個系統自帶服務的註冊表項，你會發現其執行路徑是這樣的： ImagePath=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,74,\ 00,6c,00,6e,00,74,00,73,00,76,00,72,00,2e,00,65,00,78,00,65,00,00,00 可讀性太差。其實它就是%SystemRoot%\system32\tlntsvr.exe，但資料類型是REG_EXPAND_SZ。當手動匯入註冊表以增加服務時，這樣定義ImagePath顯然很不方便。而使用inf文件就完全沒有這個問題，ServiceBinary（即ImagePath）自動成為REG_EXPAND_SZ。

2.最關鍵的是，和用SC等工具一樣，inf文件的效果是即時起效的，而匯入reg後必須重啟才有效。

3.inf文件會自動為服務的註冊表項新增一個Security子鍵，使它看起來更像系統自帶的服務。


另外，AddService和DelService以及AddReg、DelReg可以同時且重複使用。即可以同時增加和刪除多個服務和註冊表項。 我就是這樣手工把黑洞註冊成服務了，呵呵。 安靜的補充： 不錯... 我是用把黑洞感染進別的服務文件以達到以服務方式啟動的.... 特點是隱蔽性好!~..還有點自我保護功能呵呵..就算他刪了.重新啟動又會再產生 由於是感染進去的所以不會影響原文件。