浅析Win2K/XP服务与后门技术
浅析Win2K/XP服务与后门技术(转) |
一、序言
Windows下的服务程序都遵循服务控制管理器(SCM)的接口标准,它们会在登 录系统时自动运行,甚至在没有用户登录系统的情况下也会正常执行,类似与UN IX系统中的守护进程(daemon)。它们大多是控制台程序,不过也有少数的GUI程 序。本文所涉及到的服务程序仅限于Windows2000/XP系统中的一般服务程序,不 包含Windows9X。 二、Windows服务简介 服务控制管理器拥有一个在注册表中记录的数据库,包含了所有已安装的服 务程序和设备驱动服务程序的相关信息。它允许系统管理员为每个服务自定义安 全要求和控制访问权限。Windows服务包括四大部分:服务控制管理器(Service Control Manager),服务控制程序(Service Control Program),服务程序(Service Program)和服务配置程序(Service Configuration Program)。 1.服务控制管理器(SCM) 服务控制管理器在系统启动的早期由Winlogon进程启动,可执行文件名是“ Admin$/System32/Services.exe”,它是系统中的一个RPC服务器,因此服务配 置程序和服务控制程序可以在远程操纵服务。它包括以下几方面的信息: 已安装服务数据库:服务控制管理器在注册表中拥有一个已安装服务的数据 库,它在服务控制管理器和程序添加,删除,配置服务程序时使用,在注册表中 数据库的位置为:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services。 它包括很多子键,每个子键的名字就代表一个对应的服务。数据库中包括:服务 类型(私有进程,共享进程),启动类型(自动运行,由服务控制管理器启动,无 效),错误类型(忽略,常规错误,服务错误,关键错误),执行文件路径,依赖 信息选项,可选用户名与密码。 自动启动服务:系统启动时,服务控制管理器启动所有“自启”服务和相关 依赖服务。服务的加载顺序:顺序装载组列表: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/ServiceGroupOr der;指定组列表: ;每个服务所依赖的服务程序。 在系统成功引导后会保留一份LKG(Last-Know-Good)的配置信息位于: HKEY_LOCAL_MACHINE/SYSTEM/ControlSetXXX/Services。 因要求而启动服务:用户可以使用服务控制面板程序来启动一项服务。服务 控制程序也可以使用StartService来启动服务。服务控制管理器会进行下面的操 作:获取帐户信息,登录服务项目,创建服务为悬挂状态,分配登录令牌给进程 ,允许进程执行。 服务记录列表:每项服务在数据库中都包含了下面的内容:服务名称,开始 类型,服务状态(类型,当前状态,接受控制代码,退出代码,等待提示),依赖 服务列表指针。 服务控制管理器句柄:服务控制管理器支持句柄类型访问以下对象:已安装 服务数据库,服务程序,数据库的锁开状态。 2.服务控制程序(SCP) 服务控制程序可以执行对服务程序的开启,控制和状态查询功能: 开启服务:如果服务的开启类型为SERVICE_DEMAND_START,就可以用服务控 制程序来开始一项服务。在开始服务的初始化阶段服务的当前状态为:SERVICE_ START_PENDING,而在初始化完成后的状态就是:SERVICE_RUNNING。 向正在运行的服务发送控制请求:控制请求可以是系统默认的,也可以是用 户自定义的。标准控制代码如下:停止服务(SERVICE_CONTROL_STOP),暂停服务 (SERVICE_CONTROL_PAUSE),恢复已暂停服务(SERVICE_CONTROL_CONTINUE),获得 更新信息(SERVICE_CONTROL_INTERROGATE)。 3.服务程序 一个服务程序可能拥有一个或多个服务的执行代码。我们可以创建类型为SE RVICE_WIN32_OWN_PROCESS的只拥有一个服务的服务程序。而类型为SERVICE_WIN 32_SHARE_PROCESS的服务程序却可以包含多个服务的执行代码。详情参见后面的 Windows服务与编程。 4.服务配置程序 编程人员和系统管理员可以使用服务配置程序来更改,查询已安装服务的信 息。当然也可以通过注册表函数来访问相关资源。 服务的安装,删除和列举:我们可以使用相关的系统函数来创建,删除服务 和查询所有服务的当前状态。 服务配置:系统管理员通过服务配置程序来控制服务的启动类型,显示名称 和相关描述信息。 Windows服务编程包括几方面的内容,下面我们将从服务控制程序,服务程 序和服务配置程序的角度介绍服务编程相关的内容。 1.服务控制程序 执行服务控制程序的相关函数前,我们需要获得一个服务对象的句柄,方式 有两种:由OpenSCManager来获得一台特定主机的服务控制管理器数据库的句柄 ;使用OpenService或CreateService函数来获得某个服务对象的句柄。 启动服务:要启动一个服务,服务控制程序可以使用StartService来实现。 如果服务控制管理器数据库被锁定,那需要等待一定的时间然后再次测试StartS ervice函数。当然也可以使用QueryServiceLockStatus函数来确认数据库的当前 状态。在启动成功完成时,那么dwCurrentState参数将会返回SERVICE_RUNNING 值。 服务控制请求:服务控制程序使用ControlService函数来发送控制请求到正 在运行的服务程序。它会向控制句柄函数发送一个特定的控制命令,可以是系统 默认的,也可以是用户自定义的。而且每个服务都会确定自己将会接收的控制命 令列表。使用QueryServiceStatus函数时,在返回的dwControlsAccepted参数中 表明服务程序将会接收的控制命令。所有的服务都会接受SERVICE_CONTROL_INTE RROGATE命令。 2.服务程序 一个服务程序内可以包含一个服务或多个服务的执行代码,但是它们都拥有 固定的三个部分:服务main函数,服务ServiceMain函数和服务Control Handler 函数。 服务main函数:服务程序通常是以控制台的方式存在的,所以它们的入口点 都是main函数。在服务控制管理器开始一个服务程序时,会等待StartServiceCt rlDispatcher函数的执行。如果服务类型是SERVICE_WIN32_OWN_PROCESS就会立 即调用StartServiceCtrlDispatcher函数的执行;如果服务类型是SERVICE_WIN3 2_SHARE_PROCESS,通常在初始化所有服务之后再调用它。StartServiceCtrlDis patcher函数的参数就是一个SERVICE_TABLE_ENTRY结构,它包含了进程内所有服 务的名称和服务入口点。 服务ServiceMain函数:函数ServiceMain是服务的入口点。在服务控制程序 请求一个新的服务启动时,服务控制管理器启动一个服务,并发送一个开始请求 到控制调度程序,而后控制调度程序创建一个新线程来执行ServiceMain函数。S erviceMain须执行以下的任务:调用RegisterServiceCtrlHandler函数注册一个 HandlerEx函数来向服务发送控制请求信息,返回值是服务状态句柄用来向服务 控制管理器传送服务状态。初始化后调用SetServiceStatus函数设置服务状态为 SERVICE_RUNNING。最后,就是执行服务所要完成的任务。 服务Control Handler函数:每个服务都有一个控制句柄HandlerEx函数。它 会在服务进程从服务控制程序接收到一个控制请求时被控制调度程序所调用。无 论何时在HandlerEx函数被调用时,都要调用SetServiceStatus函数向服务控制 管理器报告它当前的状态。在用户关闭系统时,所有的控制句柄都会调用带有SE RVICE_ACCEPT_SHUTDOW控制代码的SetServiceStatus函数来接收NSERVICE_CONTR OL_SHUTDOWN控制代码。 3.服务配置程序 服务配置程序可以更改或查询服务的当前配置信息。在调用服务配置函数之 前,必须获得一个服务对象的句柄,当然我们可以通过调用OpenSCManager,Open Service或CreateService函数来获得。 创建,删除服务:服务配置程序使用CreateService函数在服务控制管理器 的数据库中安装一个新服务,它会提供服务的名称和相关的配置信息并存储在数 据库中。服务配置程序则使用DeleteService函数从数据库中删除一个已经安装 的服务。 四、服务级后门技术 在你进入某个系统后,往往会为自己留下一个或多个后门,以便今后的访问 。在上传一个后门程序到远程系统上后系统重启之时,总是希望后门仍然存在。 那么,将后门程序创建成服务程序应该是个不错的想法,这就是利用了服务程序 自动运行的机制,当然在Windows2000的任务管理器里也很难结束一个服务程序 的进程。 创建一个后门,它常常会在一个端口监听,以方便我们使用TCP/UDP协议与 远程主机建立连接,所以我们首先需要在后门程序里创建一个监听的端口,为了 数据传输的稳定与安全,我们可以使用TCP协议。 那么,我们如何才能模拟一个Telnet服务似的后门呢?我想大家都清楚,如 果在远程主机上有一个Cmd是我们可以控制的,也就是我们可以在这个Cmd里执行 命令,那么就可以实现对远程主机的控制了,至少可以执行各种常规的系统命令 。启动一个Cmd程序的方法很多,有WinExec,ShellExecute,CreateProcess等, 但只能使用CreateProcess,因为WinExec和ShellExecute它们实在太简单了。在 使用CreateProcess时,要用到它的重定向标准输入/输出的选项功能,把在本地 主机的输入重定向输入到远程主机的Cmd进程,并且把远程主机Cmd进程的标准输 出重定向到本地主机的标准输出。这就需要在后门程序里使用CreatePipe创建两 个管道来实现进程间的数据通信(Inter-Process Communication,IPC)。当然, 还必须将远程主机上Cmd的标准输入和输出在本地主机之间进行传送,我们选择T CP协议的send和recv函数。在客户结束访问后,还要调用TerminateProcess来结 束创建的Cmd进程。 五、关键函数分析 本文相关程序T-Cmd v1.0是一个服务级的后门程序,适用平台为Windows2000/XP。它可自动为远程/ 本地主机创建服务级后门,无须使用任何额外的命令,支持本地/远程模式。重 启后,程序仍然自动运行,监听端口20540/tcp。 1.自定义数据结构与函数 typedef struct typedef struct PROCESSDATA void WINAPI CmdStart(DWORD,LPTSTR *); ; 入/输出线程; 与密码,密码为空时用"NULL"代替; 2.服务程序相关函数 SERVICE_TABLE_ENTRY DispatchTable[] = ICE_ERROR_IGNORE, 3.后门程序相关函数 hMutex=CreateMutex(NULL,FALSE,NULL); fo,&lpProcessInfo); eadId); *)&sdWrite,0,&dwReavThreadId); L); ,NULL); ECT_INTERACTIVE); 1.SC简介 SC是一个与NT服务控制器,服务进程进行通信的控制台程序,它可以查询和 修改已安装服务的数据库。 语法:sc <server> [command] [service name] <option1> <option2>... ,选项<server>为“//ServerName”的形式。 主要的命令包括:query,config,qc,delete,create,GetDisplayName,GetKe yName,EnumDepend等。 |
浅析Win2K/XP服务与后门技术相关推荐
- 浅析Windows2000/XP服务与后门技术(经典后门T-cmd的源码)
一.序言Windows下的服务程序都遵循服务控制管理器(SCM)的接口标准,它们会在登录系统时自动运行,甚至在没有用户登录系统的情况下也会正常执行,类似与UNIX系统中的守护进程(daemon).它们 ...
- Win2000/XP服务与后门技术(zz)
一.序言 Windows下的服务程序都遵循服务控制管理器(SCM)的接口标准,它们会在登录系统时自动运行,甚至在没有用户登录系统的情况下也会正常执行,类似与UNIX系统中的守护进程(daemon). ...
- 浅析Windows2000服务与后门技术
浅析Windows2000服务与后门技术 一> 序言 Windows下的服务程序都遵循服务控制管理器(SCM)的接口标准,它们会在登录系统时自动运行,甚至在没有用户登录系统的情况下也会正常执行, ...
- XP中服务与后门技术
来自:hackabse.com 一.序言 Windows下的服务程序都遵循服务控制管理器(SCM)的接口标准,它们会在登录系统时自动运行,甚至在没有用户登录系统的情况下也会正常执行,类似与UNIX系统 ...
- Win2000XP服务与后门技术
Win2000XP服务与后门技术 一.序言 Windows下的服务程序都遵循服务控制管理器(SCM)的接口标准,它们会在登录系统时自动运行,甚至在没有用户登录系统的情况下也会正常执行,类似与Unix系 ...
- 浅析移动云计算服务端技术
浅析移动云计算服务端技术 虚拟化资源管理作为云计算中的一个重要课题,在移动云计算中依然成为了研究热点.它以虚拟机技术以及资源虚拟化技术为基础,在整个云计算平台起核心支撑作用,研究如何优化虚拟化资源管理 ...
- 服务级后门自己做——创建服务
以往大多数的木马/后门都是通过修改系统ini文件(比如Win.ini,System.ini)或修改注册表的RUN值来实现自启动的,还有更简单的是修改Autobat.exe(老大,地球不适合你,你还是回 ...
- WIN2K/XP/2003 + APACHE + ASP + PHP + MYSQL 的简易实现
至目前总算完成了WIN2K/XP/2003 + APACHE + ASP + PHP + MYSQL这样一个建站项目,回过头来仔细想想也并不复杂.只是经过了反复的安装.卸载.研究.测试带找资料.真正的 ...
- 浅析图片XSS中的哪些技术问题
本文讲的是浅析图片XSS中的哪些技术问题,跨站请求漏洞是web漏洞中最普遍的漏洞,在特定的场景下可以造成很严重的破坏.可以让攻击者在受害者浏览器上执行一个恶意脚本,网络上关于这方面的文章已经很多了. ...
最新文章
- mysql数据库建表失败_mysql数据库文件太大导致建表失败,如何避免
- java获取ajax上传的文件,Java使用Ajax异步上传文件
- 空气球+操作系统,海尔智能家居雄心何在?
- 十九、Android Activity初探
- Linux LNMP环境的搭建 详细步骤
- js 判断变量是否有值返回bool_基础 |判断 JS 中的变量类型竟然可以如此简单
- Android shape
- JDBC连接数据库经验集萃
- POJ - 2594 Treasure Exploration(最小路径覆盖-二分图最大匹配+传递闭包)
- File,FileInfo,Directory,DirectoryInfo
- P5305-[GXOI/GZOI2019]旧词【树链剖分,线段树】
- python package安装包_安装Python包(第三方库)
- python 历遍子弹_python之子弹移动
- android开机启动shell脚本
- 锐捷linux网卡,CentOS 7安装MentoHUSTt锐捷认证程序
- PLSQL Developer使用
- 极验滑动验证码的识别
- 【论文解读】Sort、Deep-Sort多目标跟踪算法
- 技校自我鉴定范文计算机600字,技校自我鉴定100字范文18篇
- 让人心静的七十五条经典修心格言
热门文章
- html5动态画图,HTML5使用Canvas动态绘制心型线和玫瑰线的教程
- VR直播面临的五大技术挑战和实现难点
- 树莓派桌面多出个计算机,树莓派|计算机实验室之树莓派:课程 9 屏幕04
- python+gurobi
- 微信小程序API的Promise化及全局状态管理MobX
- 单片机的组成、工作原理、分类、特点以及发展趋势
- 第3章-21 判断回文字符串 (15分) PTA-python 题解 浙大版《Python 程序设计》题目集
- 关于HTML图片如何设置热区
- 解决-Dmaven.multiModuleProjectDirectory system property is not set
- Spring Cloud---服务熔断Hystrix