映像劫持，windows服务启动的两种形式

1 服务控制管理器(services.exe)

1.1 dll类型的服务

该类型的服务，可以通过svchost.exe通过命令行的方式启动。ZwCreateThreadEx函数是比CreateRemoteThread更底层的函数，可以注入dll到服务程序中。ZwCreateThreadEx函数没有在ntdll.dll中声明，所以需要使用GetProcAddress从ntdll.dll中获取该函数的导出地址。

以上几个服务启动的命令行如下：

C:\Windows\System32\svchost.exe -k PeerDist

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\System32\svchost.exe -k wsappx –p

参考这个文档：https://blog.csdn.net/liujiayu2/article/details/76955903

服务启动命令-k netsvcs参数，并不是在告诉svchost.exe启动哪个服务。netsvcs代表的是组，表示这个服务是属于哪个组的。组具体有啥用，大概就是节省资源。正是由于采用了分组机制，系统中才会有多个svchost.exe进程，每个进程代表一个组。svchost.exe进程名字相同，主要是根据服务名字区分具体是哪个服务。

Browser服务来说，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services路径下有一个Browser项，名字和服务名字一样（也就是说，有多少个服务，这个路径下就有多少个项，和服务名称相对应），这个项里里边又有一个Parameters子项，Parameters子项里有一个名字叫ServiceDll的键，它的值就是dll的路径。如图：

1.2 exe类型的服务

可以通过SC命令或是windows API实现。在服务控制管理器中类似于下面这样。

"C:\Program Files (x86)\Uniontech P2V tool\uos-p2v-service.exe" "-d"

在注册表里面的表现形式是：

2 映像劫持(IFEO Hijack)

启动一个程序A时，其实启动的是另一个程序B。而且会把打开的程序A的路径，通过命令行参数，传给另一个程序B。如果B不接收命令行参数，则没有任何动作。

2.1 映像劫持notepad.exe例子

参考：https://www.cnblogs.com/predator-wang/p/4117725.html；

2.1.1 程序内容

#include "stdio.h"

int main(int argc, char** argv)

{

int count;

printf("Number of arguments: %d\n", argc);

count = 0;

while (count < argc)

{

printf("Argument %d: %s\n", count, argv[count]);

count++;

}

getchar();

return 0;

}

编译后的exe路径是："D:\Download\imageReplace\debug\imageReplace.exe"；

2.1.2 修改的注册表项

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\里面新建项notepad.exe，并增加字符串键值debugger。

2.1.3 打开记事本

在imageReplace.cpp文件上面，鼠标右键打开了记事本。先运行imageReplace.exe程序，然后打印出了第一个参数是notepad.exe;第二个参数是打开的文件名称。