后系统总结 第1篇

在本文的很多例子中，其实都会或多或少与一个东西有关，那就是注册表。关于注册表，我觉得值得花时间去仔细研究一番，一定会有很大的收获。

关于系统后门技术其实还有许许多多，本文只是将常见的一些技术拿出来进行了分享，希望可以对大家的学习有帮助。如有不对，欢迎指正。

来自： xxx > 《应急响应》

0条评论

发表

请遵守用户 评论公约

手工清除方法(针对病毒变种补充完整)

注册表实战,解开多个Svchost服务之谜

注册表实战,解开多个Svchost服务之谜。首先，先简单说说svchost这个进程，是NT内核操作系统(Windows 2000/XP/200...

手动添加系统服务

手动添加系统服务系统服务跟以下的注册表几个项目相关：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesHKEY_LOCAL_MACHINESYSTEMControlSet002Serv...

后系统总结 第2篇

打印后台处理服务（Print Spooler）负责管理 Windows 系统的打印作业。与该服务的交互是通过 Print Spooler API 执行的，其中包含 AddMonitor 函数，用于安装 Port Monitors（本地端口监听器），并连接配置、数据和监视器文件。AddMonitor 函数能够将 DLL 注入 进程，以实现相应功能，并且通过创建注册表键，hacker 可以在目标系统上进行权限持久化。

注意：利用该技术需要拥有管理员级别的权限。

① 通过 msf 生成一个 64 位的恶意 DLL

当系统重启时，Print Spooler 服务在启动过程中会读取 Monitors 注册表项的所有子健，并以 SYSTEM 权限加载 Driver 键值所指定的 DLL 文件。

后系统总结 第3篇

对于启动类型为 “自动” 的系统服务，hacker 可以将服务运行的二进制文件路径设置为后门程序或其他攻击载荷，当系统或服务重启时，可以重新获取对目标主机的控制权。但是，前提条件是已经获取了目标主机的管理员权限。

执行以下命令，在目标主机上创建一个名为 Backdoor 的系统服务，启动类型为 “自动”，启动权限为SYSTEM：

系统或服务重启时，将以 SYSTEM 权限运行后门程序 ，目标主机就会上线。

通过修改现有服务的配置信息，使服务启动时运行指定的后门程序。

hacker 可以通过 “sc config” 命令修改服务的 binpath 选项，也可以尝试修改服务注册表的 ImagePath 键，二者都直接指定了相应服务的启动时运行的二进制文件。

① 执行以下命令，将该服务注册表中的 ImagePath 键指向预先上传的攻击载荷。

② 系统或服务重启时，将以 SYSTEM 权限运行后门程序 ，目标主机就会上线。

是 Windows 的系统文件， 是从动态链接库（DLL）中运行的服务的通用主机进程名称。该程序本身只是作为服务的宿主，许多系统服务通过注入该程序进程中启动，所以系统中会存在多个该程序的进程。

在 Windows 系统中，需要由 进程启动的服务将以 DLL 形式实现。在安装这些服务时，需要将服务的可执行文件路径指向 。在启动这些服务时，由 调用相应服务的 DLL 文件，而具体调用哪个 DLL 是由该服务在注册表的信息所决定的。

下面以 wuauserv 服务（Windows Update）为例进行讲解：

在注册表中定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv。从 imagepath 键值可以得知，该服务启动的可执行文件的路径为 C:\Windows\system32\ -k netsvcs，说明该服务是依靠 加载 DLL 文件来实现的。

wuauserv 服务的注册表下还有一个 Parameters 子项，其中的 ServiceDll 键值表明该服务由哪个 DLL 文件负责。当服务启动时， 就会加载 文件，并执行其提供的具体服务。

注意：系统会根据服务可执行文件路径中的参数对服务进行分组，如 C:\Windows\system32\ -k netsvcs 表明该服务属于 netsvcs 这个服务组。通常，每个 svchost 进程负责运行一组服务。因此，并不是每启动一个服务就会增加一个 进程。

的所有服务分组位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 中。通过 加载启动的服务都要在该表项中注册。

实战中，hacker 可以通过 加载恶意服务，以此来建立持久化后门。由于恶意服务的 DLL 将加载到 进程，恶意进程不是独立运行的，因此具有很高的隐蔽性。

接下来进行实操：

① 使用 msf 生成一个负责提供恶意服务的 DLL 文件，然后将生成的 DLL 上传到目标主机的 System32 目录。

② 创建名为 Backdoor 的服务，并以 svchost 加载的方式启动，服务分组为 netsvc

③ 将 Backdoor 服务启动时加载的 DLL 设为

④ 配置服务描述

⑤ 配置服务显示名称

⑥ 创建服务新分组 netsvc，并将 Backdoor 服务添加进去

⑦ 当系统重启时，Svchost 以 SYSTEM 权限加载恶意服务，目标主机就会上线。