标题: 在bat中查看系统中有没有隐藏的服务程序! [打印本页]
作者: anqing 时间: 2007-2-4 06:42 标题: 在bat中查看系统中有没有隐藏的服务程序!
在bat中查看系统中有没有隐藏的服务程序!
Kernel SC v1.3 By zzzEVAzzz
Usage : knlsc13.exe -f | -l[swamd] | -c[a|m|d] ServiceName
-f : Find hidden services.
-l : List specified services.
-c : Config service start type.
s w : Select System or Win32 service type. Default is all.
a m d : Select Automatic, Manual or Disabled start type. Default is all.
Example:
>knlsc13.exe -f : Find hidden services.
>knlsc13.exe -law : List Automatic Win32 services.
>knlsc13.exe -cd BITS : Config BITS service start type to Disabled.
一、介绍:
一个查找隐藏服务的小程序。可以显示被hxdef100和ntrootkit122等rootkit隐藏的服务。发现隐藏的服务后,可以使用本程序禁用它。
二、用法:
1,查找隐藏的服务
C:\path>knlsc13.exe -f
2,列出指定类型的服务的属性
C:\path>knlsc13.exe -l[swamd]
s和w参数分别代表"System"和"Win32"服务类型。
a、m和d参数分别代表"自动"、"手动"和"禁用"启动方式。
各个参数可以组合使用。
3,配置指定服务的启动方式
C:\path>knlsc13.exe -c[a|m|d] ServiceName
a、m和d参数的意义同上。
三个参数单独使用,不使用参数则显示ServiceName当前的属性。
三、显示格式:
每个服务的属性按照以下格式显示。
>服务名
服务显示名
[类型] [启动方式] [时间戳]
服务程序全路径
服务Dll全路径(共享进程的服务才有此项)
注:时间戳表示服务属性最后一次被改变的时间。用本程序改的除外。
四、举例:
C:\path>knlsc13.exe -law (显示自启动的Win32服务)
Dumping Services Info...OK!
>AudioSrv
Windows Audio
[Win32] [Auto] [2004-10-31 01:29:55]
%SystemRoot%\System32\svchost.exe -k netsvcs
%SystemRoot%\System32\audiosrv.dll
>Eventlog
Event Log
[Win32] [Auto] [2004-02-10 07:00:25]
%SystemRoot%\system32\services.exe
>PlugPlay
Plug and Play
[Win32] [Auto] [2004-02-10 07:04:51]
%SystemRoot%\system32\services.exe
>RpcSs
Remote Procedure Call (RPC)
[Win32] [Auto] [2004-10-31 01:29:55]
%SystemRoot%\system32\svchost -k rpcss
%SystemRoot%\system32\rpcss.dll
>SamSs
Security Accounts Manager
[Win32] [Auto] [2004-10-31 01:29:55]
%SystemRoot%\system32\lsass.exe
>Serv-U
Serv-U FTP 服务器
[Win32] [Auto] [2004-10-31 01:29:55]
E:\Program Files\Serv-U\ServUDaemon.exe
>Themes
Themes
[Win32] [Auto] [2004-10-31 01:29:55]
%SystemRoot%\System32\svchost.exe -k netsvcs
%SystemRoot%\System32\shsvcs.dll
7 service(s) has been listed.
C:\path>knlsc13.exe -f (查找隐藏的服务)
Dumping Services Info...OK!
>hxdefdrv
[Driver] [Manual] [2004-10-31 05:14:29]
\??\C:\Windows\system32\hxdefdrv.sys
>hxdefsvc
Hacker Defender 100
[Win32] [Auto] [2004-10-31 05:14:29]
C:\Windows\system32\hxdefsvc.exe
2 hidden service(s) has been found.
C:\path>knlsc13.exe -cd hxdefdrv (禁用隐藏的服务hxdefdrv)
Dumping Services Info...OK!
The "hxdefdrv" service start type is set to Disabled.
C:\path>knlsc13.exe -cd hxdefsvc (禁用隐藏的服务hxdefsvc)
Dumping Services Info...OK!
The "hxdefsvc" service start type is set to Disabled.
C:\path>knlsc13.exe -c hxdefsvc (查看hxdefsvc服务当前的属性)
Dumping Services Info...OK!
>hxdefsvc
Hacker Defender 100
[Win32] [Disabled] [2004-10-31 05:14:29] (已经被禁用)
C:\Windows\system32\hxdefsvc.exe
C:\path>shutdown -r (重启系统后,hxdef就失效了)
C:\path>knlsc13.exe -f
Dumping Services Info...OK!
It has not found hidden service. (没有隐藏的服务)
五、运行环境:
本程序支持Win2k/XP/2003系统,已在Win2k sp4、WinXP sp1/sp2和Win2003上测试通过。
六、其他:
1,knlsc运行时,将临时生成一个随机命名的sys文件,并增加一个同名的系统服务。如果运行时发生意外,导致服务没有被自动删除,请用SC手动删除。
C:\>sc GetServiceKeyName "Kernel SC"
[SC] GetServiceKeyName SUCCESS Name = odritwuylp
C:\>sc delete odritwuylp
[SC] DeleteService SUCCESS
2,knlsc查找隐藏服务的原理是,直接解读注册表文件(%SystemRoot%\System32\config\system),历遍全部Service Key,与RegEnumKeyEx()的结果对比。注意,只有同时具有Type,Start和ImagePath三个键值的Service Key才被认为是个服务,否则即使被隐藏也不会显示。
3,你可以自由传播knlsc,但请附带本说明文件,谢谢。如果你发现Bug或有什么建议,请与我联系。
Email:zzzevazzz@126.com
HomePage:http://www.ph4nt0m.org
七、更新记录
v1.3 修正在远程shell中不能回显的Bug。感谢WinEggDrop的测试。
v1.2 修正不能正常返回命令行的Bug。感谢天道虚空的测试。
v1.1 在XP sp2上测试通过,修正时间戳和usage显示Bug。
v1.0 终于完成了 ^0^
附件 1:knlsc13.rar (2007-2-4 06:42, 8.61 K, 下载附件所需积分 1点 ,下载次数: 470)
作者: liuyilin 时间: 2007-2-4 12:31
谢谢,学习
作者: eech 时间: 2007-2-10 00:12
下了14次.只有一个人回了.我来顶!
作者: electronixtar 时间: 2007-2-11 04:38
knlsc不错的东东。期待新版本。
P.S. 楼主也是混幻影的么?
作者: anqing 时间: 2007-2-11 05:35
不是
作者: bjanwxf 时间: 2007-2-13 05:28
谢谢,学习
作者: xiaoyao1987 时间: 2007-2-13 07:03
幻影被D了。。。
作者: hhong 时间: 2007-4-24 06:56
学习ing..
作者: love200052 时间: 2007-4-30 21:23
学习ing 谢了!
作者: coolx 时间: 2007-6-5 14:07
多谢,学习中。用这个命令是否可以自动bat禁用一些服务呢?
作者: deom 时间: 2007-6-25 14:00
怎么运行时,闪了一下就不见了,而且找那个什么文件也找不到啊?
作者: foreverlrf 时间: 2007-8-15 17:20 标题: 下下来学习
下下来学习!
作者: zyfcxp 时间: 2007-9-7 18:23
knlsc不错的东东
作者: xx44t10 时间: 2007-9-7 21:30
好东西.查病毒少不了.
作者: fanqiang 时间: 2007-9-13 09:58
『第 9 楼』:
学习ing 谢了!
作者: manedwolf 时间: 2007-9-13 10:08
下来玩玩~
作者: 67411666 时间: 2007-10-14 16:28
先下了
作者: xlys 时间: 2007-10-14 16:52 标题: 12312312
123413412
作者: chenwenyong 时间: 2007-11-1 16:52
现在正学习DOS,好家伙当然得多支持啦
作者: wufy555 时间: 2007-11-6 16:29 标题: sd
good
作者: mucoolwolf 时间: 2007-12-14 13:08
dingni ge xiong ~~~
作者: PPdos 时间: 2007-12-14 18:17 标题: 支持
顶
作者: nanhui112 时间: 2007-12-15 11:41
一闪就没啦?????
作者: lanpika3 时间: 2007-12-26 17:06
顶了再下下下
作者: luckyji 时间: 2007-12-27 11:36
不错的东西
作者: tushu 时间: 2007-12-28 10:35
顶,我下了
作者: zhangmi 时间: 2007-12-28 13:29
好东西先下来试试
作者: heima21soft 时间: 2008-1-19 14:47
好东西,下了.
作者: kaikai163 时间: 2008-6-18 20:49
谢谢,下载使用!!!
作者: liumingqing 时间: 2008-11-7 19:07
剛才發現!謝謝!
有沒有更新的啊!哈哈...
作者: grku 时间: 2009-2-3 01:44 标题: ````
呵呵·········收藏先。
