大家来查查你的系统有没有隐藏服务

karlamy

如果有隐藏服务，说明你的系统很可能已经中毒了。用此程序显示并禁用这些服务吧。

Kernel SC v1.3 By zzzEVAzzz
Usage : knlsc13.exe -f | -l[swamd] | -c[a|m|d] ServiceName
   -f : Find hidden services.
   -l : List specified services.
   -c : Config service start type.
  s w : Select System or Win32 service type. Default is all.
a m d : Select Automatic, Manual or Disabled start type. Default is all.
Example:
>knlsc13.exe -f       : Find hidden services.
>knlsc13.exe -law     : List Automatic Win32 services.
>knlsc13.exe -cd BITS : Config BITS service start type to Disabled.


一、介绍：
    一个查找隐藏服务的小程序。可以显示被hxdef100和ntrootkit122等rootkit隐藏的服务。发现隐藏的服务后，可以使用本程序禁用它。


二、用法：
1，查找隐藏的服务
C:\path>knlsc13.exe -f

2，列出指定类型的服务的属性
C:\path>knlsc13.exe -l[swamd]

s和w参数分别代表"System"和"Win32"服务类型。
a、m和d参数分别代表"自动"、"手动"和"禁用"启动方式。
各个参数可以组合使用。

3，配置指定服务的启动方式
C:\path>knlsc13.exe -c[a|m|d] ServiceName

a、m和d参数的意义同上。
三个参数单独使用，不使用参数则显示ServiceName当前的属性。


三、显示格式：
每个服务的属性按照以下格式显示。

>服务名
        服务显示名
        [类型] [启动方式] [时间戳]
        服务程序全路径
        服务Dll全路径（共享进程的服务才有此项）

注：时间戳表示服务属性最后一次被改变的时间。用本程序改的除外。


四、举例：
C:\path>knlsc13.exe -law        (显示自启动的Win32服务)
Dumping Services Info...OK!

>AudioSrv
        Windows Audio
        [Win32] [Auto] [2004-10-31 01:29:55]
        %SystemRoot%\System32\svchost.exe -k netsvcs
        %SystemRoot%\System32\audiosrv.dll
>Eventlog
        Event Log
        [Win32] [Auto] [2004-02-10 07:00:25]
        %SystemRoot%\system32\services.exe
>PlugPlay
        Plug and Play
        [Win32] [Auto] [2004-02-10 07:04:51]
        %SystemRoot%\system32\services.exe
>RpcSs
        Remote Procedure Call (RPC)
        [Win32] [Auto] [2004-10-31 01:29:55]
        %SystemRoot%\system32\svchost -k rpcss
        %SystemRoot%\system32\rpcss.dll
>SamSs
        Security Accounts Manager
        [Win32] [Auto] [2004-10-31 01:29:55]
        %SystemRoot%\system32\lsass.exe
>Serv-U
        Serv-U FTP 服务器
        [Win32] [Auto] [2004-10-31 01:29:55]
        E:\Program Files\Serv-U\ServUDaemon.exe
>Themes
        Themes
        [Win32] [Auto] [2004-10-31 01:29:55]
        %SystemRoot%\System32\svchost.exe -k netsvcs
        %SystemRoot%\System32\shsvcs.dll

7 service(s) has been listed.


C:\path>knlsc13.exe -f          (查找隐藏的服务)
Dumping Services Info...OK!

>hxdefdrv
        [Driver] [Manual] [2004-10-31 05:14:29]
        \??\C:\Windows\system32\hxdefdrv.sys
>hxdefsvc
        Hacker Defender 100
        [Win32] [Auto] [2004-10-31 05:14:29]
        C:\Windows\system32\hxdefsvc.exe

2 hidden service(s) has been found.

C:\path>knlsc13.exe -cd hxdefdrv    (禁用隐藏的服务hxdefdrv)
Dumping Services Info...OK!

The "hxdefdrv" service start type is set to Disabled.

C:\path>knlsc13.exe -cd hxdefsvc    (禁用隐藏的服务hxdefsvc)
Dumping Services Info...OK!

The "hxdefsvc" service start type is set to Disabled.

C:\path>knlsc13.exe -c hxdefsvc     (查看hxdefsvc服务当前的属性)
Dumping Services Info...OK!

>hxdefsvc
        Hacker Defender 100
        [Win32] [Disabled] [2004-10-31 05:14:29]   （已经被禁用）
        C:\Windows\system32\hxdefsvc.exe

C:\path>shutdown -r                （重启系统后，hxdef就失效了）

C:\path>knlsc13.exe -f
Dumping Services Info...OK!

It has not found hidden service.    （没有隐藏的服务）


五、运行环境：
    本程序支持Win2k/XP/2003系统，已在Win2k sp4、WinXP sp1/sp2和Win2003上测试通过。


六、其他：
1，knlsc运行时，将临时生成一个随机命名的sys文件，并增加一个同名的系统服务。如果运行时发生意外，导致服务没有被自动删除，请用SC手动删除。

C:\>sc GetServiceKeyName "Kernel SC"
[SC] GetServiceKeyName SUCCESS  Name = odritwuylp

C:\>sc delete odritwuylp
[SC] DeleteService SUCCESS

2，knlsc查找隐藏服务的原理是，直接解读注册表文件(%SystemRoot%\System32\config\system)，历遍全部Service Key，与RegEnumKeyEx()的结果对比。注意，只有同时具有Type，Start和ImagePath三个键值的Service Key才被认为是个服务，否则即使被隐藏也不会显示。

3，你可以自由传播knlsc，但请附带本说明文件，谢谢。如果你发现Bug或有什么建议，请与我联系。
Email：zzzevazzz@126.com
HomePage：http://www.ph4nt0m.org


七、更新记录
v1.3  修正在远程shell中不能回显的Bug。感谢WinEggDrop的测试。
v1.2  修正不能正常返回命令行的Bug。感谢天道虚空的测试。
v1.1  在XP sp2上测试通过，修正时间戳和usage显示Bug。
v1.0  终于完成了 ^0^

[ 本帖最后由 karlamy 于 2006-4-2 14:17 编辑 ]

fanjianming

好
谢谢lz

夜雨灯

下来试试看。

mayday

7z没有解压缩工具 能否上传RAR的？或者EXE

cctv110

QUOTE:

原帖由 mayday 于 2006-4-2 14:38 发表
7z没有解压缩工具 能否上传RAR的？或者EXE

RAR就能解压啊

karlamy

QUOTE:

原帖由 mayday 于 2006-4-2 14:38 发表
7z没有解压缩工具 能否上传RAR的？或者EXE

别太老的WinRAR都支持7z格式的。

DarkClouds

已收，多谢楼主

cage

丫是死磕7z的主……呵呵

truewater

下载了，试试。

karlamy

QUOTE:

原帖由 cage 于 2006-4-2 15:46 发表
丫是死磕7z的主……呵呵

我只装了7-zip,大家包含哈，再说WinRAR支持的嘛，嘿嘿。

whatlove

谁发个RAR的上来呀, 偶的解不开....

karlamy

解不开就证明你该升级你的解压软件了，现在WinRAR都出到3.6beta了，你是什么版本？

mayday

我解开了 发上来算了

canyou3d

刚解压直接被金山删除。。。
Trojan.ProteBoy

城市中的树

不错不错

karlamy

QUOTE:

原帖由 canyou3d 于 2006-4-2 17:47 发表
刚解压直接被金山删除。。。
Trojan.ProteBoy

误报误报误报，呵呵。

月亮雨

瞧瞧，谢谢楼主。。。

随影

E:\SOFT>knlsc13.exe -f
Dumping Services Info...OK!

It has not found hidden service.

3Q~~~

W_zzZZZ

它说没有

Exer

谢谢分享。

smmd

windows自身有隐藏的服务么?为什么有些服务会被隐藏?什么原理?

lzzcm

QUOTE:

原帖由 smmd 于 2006-4-3 04:26 发表
windows自身有隐藏的服务么?为什么有些服务会被隐藏?什么原理?

我也想知道,望各位XD指点.

myhok

查了一下，没有。
感谢！

modeman

这个程序本身安全吗？

karlamy

QUOTE:

原帖由 smmd 于 2006-4-3 04:26 发表
windows自身有隐藏的服务么?为什么有些服务会被隐藏?什么原理?

没有.  病毒使然.

larryh

D:\temp>knlsc13 -f
Dumping Services Info...OK!

GetServicesKey Failed.

xiaxy

asdfasdfasdfasdfasdfasdf

ibm_2006

ls脑子有病。

[ Edited by  ibm_2006 on 2009-10-29 16:18 ]