中国DOS联盟论坛

中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名:www.cn-dos.net  论坛域名:www.cn-dos.net/forum
DOS,代表着自由开放与发展,我们努力起来,学习FreeDOS和Linux的自由开放与GNU精神,共同创造和发展美好的自由与GNU GPL世界吧!

游客:  注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »
中国DOS联盟论坛 » DOS批处理 & 脚本技术(批处理室) » 在bat中查看系统中有没有隐藏的服务程序!
« [1] [2] [3] »
作者:
标题: 在bat中查看系统中有没有隐藏的服务程序! 上一主题 | 下一主题
anqing
高级用户




积分 859
发帖 413
注册 2006-8-14
状态 离线
『楼 主』:  在bat中查看系统中有没有隐藏的服务程序!

在bat中查看系统中有没有隐藏的服务程序!


Kernel SC v1.3 By zzzEVAzzz
Usage : knlsc13.exe -f | -l[swamd] | -c[a|m|d] ServiceName
   -f : Find hidden services.
   -l : List specified services.
   -c : Config service start type.
  s w : Select System or Win32 service type. Default is all.
a m d : Select Automatic, Manual or Disabled start type. Default is all.
Example:
>knlsc13.exe -f       : Find hidden services.
>knlsc13.exe -law     : List Automatic Win32 services.
>knlsc13.exe -cd BITS : Config BITS service start type to Disabled.


一、介绍:
    一个查找隐藏服务的小程序。可以显示被hxdef100和ntrootkit122等rootkit隐藏的服务。发现隐藏的服务后,可以使用本程序禁用它。


二、用法:
1,查找隐藏的服务
C:\path>knlsc13.exe -f

2,列出指定类型的服务的属性
C:\path>knlsc13.exe -l[swamd]

s和w参数分别代表"System"和"Win32"服务类型。
a、m和d参数分别代表"自动"、"手动"和"禁用"启动方式。
各个参数可以组合使用。

3,配置指定服务的启动方式
C:\path>knlsc13.exe -c[a|m|d] ServiceName

a、m和d参数的意义同上。
三个参数单独使用,不使用参数则显示ServiceName当前的属性。


三、显示格式:
每个服务的属性按照以下格式显示。

>服务名
        服务显示名
        [类型] [启动方式] [时间戳]
        服务程序全路径
        服务Dll全路径(共享进程的服务才有此项)

注:时间戳表示服务属性最后一次被改变的时间。用本程序改的除外。


四、举例:
C:\path>knlsc13.exe -law        (显示自启动的Win32服务)
Dumping Services Info...OK!

>AudioSrv
        Windows Audio
        [Win32] [Auto] [2004-10-31 01:29:55]
        %SystemRoot%\System32\svchost.exe -k netsvcs
        %SystemRoot%\System32\audiosrv.dll
>Eventlog
        Event Log
        [Win32] [Auto] [2004-02-10 07:00:25]
        %SystemRoot%\system32\services.exe
>PlugPlay
        Plug and Play
        [Win32] [Auto] [2004-02-10 07:04:51]
        %SystemRoot%\system32\services.exe
>RpcSs
        Remote Procedure Call (RPC)
        [Win32] [Auto] [2004-10-31 01:29:55]
        %SystemRoot%\system32\svchost -k rpcss
        %SystemRoot%\system32\rpcss.dll
>SamSs
        Security Accounts Manager
        [Win32] [Auto] [2004-10-31 01:29:55]
        %SystemRoot%\system32\lsass.exe
>Serv-U
        Serv-U FTP 服务器
        [Win32] [Auto] [2004-10-31 01:29:55]
        E:\Program Files\Serv-U\ServUDaemon.exe
>Themes
        Themes
        [Win32] [Auto] [2004-10-31 01:29:55]
        %SystemRoot%\System32\svchost.exe -k netsvcs
        %SystemRoot%\System32\shsvcs.dll

7 service(s) has been listed.

C:\path>knlsc13.exe -f          (查找隐藏的服务)
Dumping Services Info...OK!

>hxdefdrv
        [Driver] [Manual] [2004-10-31 05:14:29]
        \??\C:\Windows\system32\hxdefdrv.sys
>hxdefsvc
        Hacker Defender 100
        [Win32] [Auto] [2004-10-31 05:14:29]
        C:\Windows\system32\hxdefsvc.exe

2 hidden service(s) has been found.

C:\path>knlsc13.exe -cd hxdefdrv    (禁用隐藏的服务hxdefdrv)
Dumping Services Info...OK!

The "hxdefdrv" service start type is set to Disabled.

C:\path>knlsc13.exe -cd hxdefsvc    (禁用隐藏的服务hxdefsvc)
Dumping Services Info...OK!

The "hxdefsvc" service start type is set to Disabled.

C:\path>knlsc13.exe -c hxdefsvc     (查看hxdefsvc服务当前的属性)
Dumping Services Info...OK!

>hxdefsvc
        Hacker Defender 100
        [Win32] [Disabled] [2004-10-31 05:14:29]   (已经被禁用)
        C:\Windows\system32\hxdefsvc.exe

C:\path>shutdown -r                (重启系统后,hxdef就失效了)

C:\path>knlsc13.exe -f
Dumping Services Info...OK!

It has not found hidden service.    (没有隐藏的服务)


五、运行环境:
    本程序支持Win2k/XP/2003系统,已在Win2k sp4、WinXP sp1/sp2和Win2003上测试通过。


六、其他:
1,knlsc运行时,将临时生成一个随机命名的sys文件,并增加一个同名的系统服务。如果运行时发生意外,导致服务没有被自动删除,请用SC手动删除。

C:\>sc GetServiceKeyName "Kernel SC"
[SC] GetServiceKeyName SUCCESS  Name = odritwuylp

C:\>sc delete odritwuylp
[SC] DeleteService SUCCESS

2,knlsc查找隐藏服务的原理是,直接解读注册表文件(%SystemRoot%\System32\config\system),历遍全部Service Key,与RegEnumKeyEx()的结果对比。注意,只有同时具有Type,Start和ImagePath三个键值的Service Key才被认为是个服务,否则即使被隐藏也不会显示。

3,你可以自由传播knlsc,但请附带本说明文件,谢谢。如果你发现Bug或有什么建议,请与我联系。
Email:zzzevazzz@126.com
HomePage:http://www.ph4nt0m.org


七、更新记录
v1.3  修正在远程shell中不能回显的Bug。感谢WinEggDrop的测试。
v1.2  修正不能正常返回命令行的Bug。感谢天道虚空的测试。
v1.1  在XP sp2上测试通过,修正时间戳和usage显示Bug。
v1.0  终于完成了 ^0^

附件 1: knlsc13.rar (2007-2-4 06:42, 8.61 K, 下载附件所需积分 1 点 ,下载次数: 470)
2007-2-4 06:42
查看资料  发送邮件  发短消息 网志   编辑帖子
liuyilin
初级用户





积分 38
发帖 16
注册 2006-10-28
状态 离线
『第 2 楼』:  

谢谢,学习

2007-2-4 12:31
查看资料  发送邮件  发短消息 网志   编辑帖子
eech
高级用户




积分 906
发帖 346
注册 2006-7-10
状态 离线
『第 3 楼』:  

下了14次.只有一个人回了.我来顶!

2007-2-10 00:12
查看资料  发短消息 网志   编辑帖子
electronixtar
铂金会员





积分 7493
发帖 2672
注册 2005-9-2
状态 离线
『第 4 楼』:  

knlsc不错的东东。期待新版本。

P.S. 楼主也是混幻影的么?




C:\>BLOG http://initiative.yo2.cn/
C:\>hh.exe ntcmds.chm::/ntcmds.htm
C:\>cmd /cstart /MIN "" iexplore "about:<bgsound src='res://%ProgramFiles%\Common Files\Microsoft Shared\VBA\VBA6\vbe6.dll/10/5432'>"
2007-2-11 04:38
查看资料  发送邮件  发短消息 网志   编辑帖子
anqing
高级用户




积分 859
发帖 413
注册 2006-8-14
状态 离线
『第 5 楼』:  

不是

2007-2-11 05:35
查看资料  发送邮件  发短消息 网志   编辑帖子
bjanwxf
初级用户





积分 22
发帖 11
注册 2007-2-12
状态 离线
『第 6 楼』:  

谢谢,学习

2007-2-13 05:28
查看资料  发送邮件  发短消息 网志   编辑帖子
xiaoyao1987
初级用户





积分 63
发帖 24
注册 2006-12-19
来自 南京
状态 离线
『第 7 楼』:  

幻影被D了。。。

2007-2-13 07:03
查看资料  访问主页  发短消息 网志  OICQ (352120473)  编辑帖子
hhong
新手上路





积分 13
发帖 7
注册 2006-10-10
状态 离线
『第 8 楼』:  

学习ing..

2007-4-24 06:56
查看资料  发短消息 网志   编辑帖子
love200052
初级用户





积分 43
发帖 15
注册 2006-11-20
状态 离线
『第 9 楼』:  

学习ing  谢了!

2007-4-30 21:23
查看资料  发送邮件  发短消息 网志   编辑帖子
coolx
新手上路





积分 6
发帖 3
注册 2007-6-5
状态 离线
『第 10 楼』:  

多谢,学习中。用这个命令是否可以自动bat禁用一些服务呢?

2007-6-5 14:07
查看资料  发短消息 网志   编辑帖子
deom
新手上路





积分 18
发帖 9
注册 2007-6-21
来自 湖南
状态 离线
『第 11 楼』:  

怎么运行时,闪了一下就不见了,而且找那个什么文件也找不到啊?

2007-6-25 14:00
查看资料  发短消息 网志   编辑帖子
foreverlrf
初级用户





积分 24
发帖 11
注册 2007-8-15
状态 离线
『第 12 楼』:  下下来学习

下下来学习!

2007-8-15 17:20
查看资料  发送邮件  发短消息 网志   编辑帖子
zyfcxp
初级用户





积分 41
发帖 24
注册 2007-9-4
状态 离线
『第 13 楼』:  

knlsc不错的东东

2007-9-7 18:23
查看资料  发送邮件  发短消息 网志   编辑帖子
xx44t10
初级用户





积分 23
发帖 11
注册 2007-9-7
状态 离线
『第 14 楼』:  

好东西.查病毒少不了.

2007-9-7 21:30
查看资料  发送邮件  发短消息 网志   编辑帖子
fanqiang
初级用户





积分 113
发帖 56
注册 2007-9-4
状态 离线
『第 15 楼』:  

『第 9 楼』:  

学习ing  谢了!

2007-9-13 09:58
查看资料  发送邮件  发短消息 网志   编辑帖子
« [1] [2] [3] »
请注意:您目前尚未注册或登录,请您注册登录以使用论坛的各项功能,例如发表和回复帖子等。


可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题



论坛跳转: