网络安全:手动清除gh0st远控服务端(2)
服务名称 6to4 (xp |windows 200|windows 2003)
Ism (win7)
显示名称 Microsoft Device Manager
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_6TO4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4
netstat -anbo >>C:\6to4.txt //木马服务停止后,进程缓存dll,可以先记住包含msvcrt.dll进程pid
TCP 192.168.1.103:1046
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\documents and settings\all users\xxx\XXX.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
sc GetKeyName "Microsoft Device Manager" >>c:\6to4.txt //通过显示名称获取服务名称 ftp下载 , c:\documents and settings\all users\xxx\XXX.dll 还是不能删除就 taskkill上面的进程
1. 描述: SC 是用于与服务控制管理器通信的命令行程序。
用法:
sc
选项
可以键入 "sc [command]"以获得命令的进一步帮助
命令:
query---------------查询服务的状态,或枚举服务类型的状态。
queryex------------查询服务的扩展状态, 或枚举服务类型的状态。
start----------------启动服务。
pause--------------发送 PAUSE 控制请求到服务。
interrogate--------发送 INTERROGATE 控制请求到服务。
continue-----------发送 CONTINUE 控制请求到服务。
stop----------------发送 STOP 请求到服务。
config--------------(永久地)更改服务的配置。
description--------更改服务的描述。
failure--------------更改服务失败时所进行的操作。
qc-------------------查询服务的配置信息。
qdescription-------查询服务的描述。
qfailure-------------查询失败服务所进行的操作。
delete---------------(从注册表)删除服务。
create---------------创建服务(将其添加到注册表)。
control--------------发送控制到服务。
sdshow--------------显示服务的安全描述符。
sdset----------------设置服务的安全描述符。
GetDisplayName---获取服务的 DisplayName。
GetKeyName--------获取服务的 ServiceKeyName。
EnumDepend-------枚举服务的依存关系。
下列命令不查询服务名称:
sc
boot---------------(ok | bad) 表明是否将上一次启动保存为最后所知的好的启动配置
Lock---------------锁定服务数据库
QueryLock-------查询 SCManager 数据库的 LockStatus
示例 1:注册服务(类似与linux中系统启动自动加载的东西)
sc create SVN binpath= "C:\Program Files\Subversion\bin\svnserve.exe --service -r D:\svn" displayname= "Subversion Server" depend= Tcpip start= auto
其中sc create是sc注册服务命令
svn : 是服务注册时的键名
binpath : 是服务加载程序启动文件的路径和命令参数
displayname :是服务显示名
depend :传输依赖的协议
start :是否自动启动
说明:上面的那个例子是注册一个svn的服务
示例 2:启动服务
sc start MyService
示例 3:删除服务
sc delete[servicename]
比如要删除apache2.2服务,操作如下:sc delete apache2.2
补充:如果用SC命令不能删除服务,可以从注册表里删除。
开始->运行 reg delete HKLM\SYSTEM\CurrentControlSet\Services\ServiceName
补充:
windows 注册服务 命令 sc的用法
1.服务显示名和注册键的区别,显示名称主要是在外面显示的名字(如Subversion Server)可以用命令msconfig和service.msc来查看
键名,另一种方法是用regedit注册表中HKEY_LOCAL_MACHINE->system->service中去查看.
键名和显示名的转化:
sc GetKeyName (显示名) ---->由显示名得到键名
sc GetDisplayName (键名)---->由键名得到显示名
2.对服务的操作都得由键名来做,显示名称不起作用
3.得到键名后就可以像linux命令service那样来操作服务
服务启动sc start '键名' 例如: sc start svn
服务停止sc stop '键名' 例如: sc stop svn
服务删除sc delete '键名' 例如: sc delete svn
对于sc的命令,windows不常用,但是在linux下经常用service命令,其实这两个命令都是一样的,通过svn在windows下注册的例子
后面会讨论关于win7上线的问题。
我最近在玩和讯微博,很方便,很实用,你也来和我一起玩吧!
去看看我的微博吧!http://t.hexun.com/3006897/default.html