大家来查查你的系统有没有隐藏服务
如果有隐藏服务,说明你的系统很可能已经中毒了。用此程序显示并禁用这些服务吧。Kernel SC v1.3 By zzzEVAzzz
Usage : knlsc13.exe -f | -l | -c ServiceName
-f : Find hidden services.
-l : List specified services.
-c : Config service start type.
s w : Select System or Win32 service type. Default is all.
a m d : Select Automatic, Manual or Disabled start type. Default is all.
Example:
>knlsc13.exe -f : Find hidden services.
>knlsc13.exe -law : List Automatic Win32 services.
>knlsc13.exe -cd BITS : Config BITS service start type to Disabled.
一、介绍:
一个查找隐藏服务的小程序。可以显示被hxdef100和ntrootkit122等rootkit隐藏的服务。发现隐藏的服务后,可以使用本程序禁用它。
二、用法:
1,查找隐藏的服务
C:\path>knlsc13.exe -f
2,列出指定类型的服务的属性
C:\path>knlsc13.exe -l
s和w参数分别代表"System"和"Win32"服务类型。
a、m和d参数分别代表"自动"、"手动"和"禁用"启动方式。
各个参数可以组合使用。
3,配置指定服务的启动方式
C:\path>knlsc13.exe -c ServiceName
a、m和d参数的意义同上。
三个参数单独使用,不使用参数则显示ServiceName当前的属性。
三、显示格式:
每个服务的属性按照以下格式显示。
>服务名
服务显示名
[类型] [启动方式] [时间戳]
服务程序全路径
服务Dll全路径(共享进程的服务才有此项)
注:时间戳表示服务属性最后一次被改变的时间。用本程序改的除外。
四、举例:
C:\path>knlsc13.exe -law (显示自启动的Win32服务)
Dumping Services Info...OK!
>AudioSrv
Windows Audio
%SystemRoot%\System32\svchost.exe -k netsvcs
%SystemRoot%\System32\audiosrv.dll
>Eventlog
Event Log
%SystemRoot%\system32\services.exe
>PlugPlay
Plug and Play
%SystemRoot%\system32\services.exe
>RpcSs
Remote Procedure Call (RPC)
%SystemRoot%\system32\svchost -k rpcss
%SystemRoot%\system32\rpcss.dll
>SamSs
Security Accounts Manager
%SystemRoot%\system32\lsass.exe
>Serv-U
Serv-U FTP 服务器
E:\Program Files\Serv-U\ServUDaemon.exe
>Themes
Themes
%SystemRoot%\System32\svchost.exe -k netsvcs
%SystemRoot%\System32\shsvcs.dll
7 service(s) has been listed.
C:\path>knlsc13.exe -f (查找隐藏的服务)
Dumping Services Info...OK!
>hxdefdrv
\??\C:\Windows\system32\hxdefdrv.sys
>hxdefsvc
Hacker Defender 100
C:\Windows\system32\hxdefsvc.exe
2 hidden service(s) has been found.
C:\path>knlsc13.exe -cd hxdefdrv (禁用隐藏的服务hxdefdrv)
Dumping Services Info...OK!
The "hxdefdrv" service start type is set to Disabled.
C:\path>knlsc13.exe -cd hxdefsvc (禁用隐藏的服务hxdefsvc)
Dumping Services Info...OK!
The "hxdefsvc" service start type is set to Disabled.
C:\path>knlsc13.exe -c hxdefsvc (查看hxdefsvc服务当前的属性)
Dumping Services Info...OK!
>hxdefsvc
Hacker Defender 100
(已经被禁用)
C:\Windows\system32\hxdefsvc.exe
C:\path>shutdown -r (重启系统后,hxdef就失效了)
C:\path>knlsc13.exe -f
Dumping Services Info...OK!
It has not found hidden service. (没有隐藏的服务)
五、运行环境:
本程序支持Win2k/XP/2003系统,已在Win2k sp4、WinXP sp1/sp2和Win2003上测试通过。
六、其他:
1,knlsc运行时,将临时生成一个随机命名的sys文件,并增加一个同名的系统服务。如果运行时发生意外,导致服务没有被自动删除,请用SC手动删除。
C:\>sc GetServiceKeyName "Kernel SC"
GetServiceKeyName SUCCESSName = odritwuylp
C:\>sc delete odritwuylp
DeleteService SUCCESS
2,knlsc查找隐藏服务的原理是,直接解读注册表文件(%SystemRoot%\System32\config\system),历遍全部Service Key,与RegEnumKeyEx()的结果对比。注意,只有同时具有Type,Start和ImagePath三个键值的Service Key才被认为是个服务,否则即使被隐藏也不会显示。
3,你可以自由传播knlsc,但请附带本说明文件,谢谢。如果你发现Bug或有什么建议,请与我联系。
Email:zzzevazzz@126.com
HomePage:http://www.ph4nt0m.org
七、更新记录
v1.3修正在远程shell中不能回显的Bug。感谢WinEggDrop的测试。
v1.2修正不能正常返回命令行的Bug。感谢天道虚空的测试。
v1.1在XP sp2上测试通过,修正时间戳和usage显示Bug。
v1.0终于完成了 ^0^
[ 本帖最后由 karlamy 于 2006-4-2 14:17 编辑 ] 好
谢谢lz 下来试试看。 7z没有解压缩工具 能否上传RAR的?或者EXE 原帖由 mayday 于 2006-4-2 14:38 发表
7z没有解压缩工具 能否上传RAR的?或者EXE
RAR就能解压啊 原帖由 mayday 于 2006-4-2 14:38 发表
7z没有解压缩工具 能否上传RAR的?或者EXE
别太老的WinRAR都支持7z格式的。 已收,多谢楼主 丫是死磕7z的主……呵呵 下载了,试试。 原帖由 cage 于 2006-4-2 15:46 发表
丫是死磕7z的主……呵呵
我只装了7-zip,大家包含哈,再说WinRAR支持的嘛,嘿嘿。 谁发个RAR的上来呀, 偶的解不开.... 解不开就证明你该升级你的解压软件了,现在WinRAR都出到3.6beta了,你是什么版本? 我解开了 发上来算了 刚解压直接被金山删除。。。
Trojan.ProteBoy 不错不错 原帖由 canyou3d 于 2006-4-2 17:47 发表
刚解压直接被金山删除。。。
Trojan.ProteBoy
误报误报误报,呵呵。 瞧瞧,谢谢楼主。。。 E:\SOFT>knlsc13.exe -f
Dumping Services Info...OK!
It has not found hidden service.
3Q~~~ 它说没有 谢谢分享。 windows自身有隐藏的服务么?为什么有些服务会被隐藏?什么原理? 原帖由 smmd 于 2006-4-3 04:26 发表
windows自身有隐藏的服务么?为什么有些服务会被隐藏?什么原理?
我也想知道,望各位XD指点. 查了一下,没有。
感谢! 这个程序本身安全吗? 原帖由 smmd 于 2006-4-3 04:26 发表
windows自身有隐藏的服务么?为什么有些服务会被隐藏?什么原理?
没有.病毒使然. D:\temp>knlsc13 -f
Dumping Services Info...OK!
GetServicesKey Failed. asdfasdfasdfasdfasdfasdf ls脑子有病。
[ Edited byibm_2006 on 2009-10-29 16:18 ]
页:
[1]