SVCHOST启动服务实战

最新推荐文章于 2025-09-19 20:42:46 发布
转载 最新推荐文章于 2025-09-19 20:42:46 发布 · 3.5k 阅读 · 6
文章标签:

#C/C++ #SVCHost #Windows编程 #注册表 #服务自启动

本文详细介绍如何通过修改注册表创建新的系统服务,并编写自定义DLL文件,利用svchost.exe进行服务启动的过程。适用于Windows XP环境。

本文转载自:https://blog.csdn.net/huanglong8/article/details/70666987

转载出处:
https://sanwen8.cn/p/2cenbHs.html

最近在做小项目,用到了一些此类技术,觉得文章很细,手把手教的,粘在这里备忘下。。。望原作者海涵。

这里写图片描述

svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要。又因为svchost进程用来启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。下面我们来用手动修改注册表并编写我们自己的测试dll来实例解析运用svchost.exe的过程。
测试所用的操作系统环境: Windows XP
测试所用的编程环境: VS2010和VC++6.0都可以

一、首先我们来手动在注册表注册一个服务

开始->运行 输入regedit 找到如下子健
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
1. 在Services子健下新建一个子健TestSvchost。
2. 在子健TestSvchost新建所需子健项,子健项说明如下:
(1) Description 服务描述
(2) DisplayName 服务显示名
(3) ErrorControl 当该启动服务失败时产生错误的严重程度以及采取的保护措施 这里我们填 1 表示服务启动程序将把该错误记录到事件日志中并返回继续执行
(4) ImagePath 程序的路径 我们要启动的是svchost.exe所以填入
%systemRoot%\system32\svchost.exe -k netsvcs-k netsvcs表示这个服务是属于netsvcs服务组
(5) ObjectName 指定服务帐号 LocalSystem表示本地登录
(6)Start 服务启动选项
填入2表示系统启动时由服务控制管理器自动启动该服务程序
(7)Type 服务类型
填入0x10表示运行于独立进程的服务程序
这里写图片描述
3. 在子健TestSvchost下再建一个子健Parameters。
4. 在子健Parameters新建子健项ServiceDll
这里写图片描述
ServiceDll表示服务所对应dll所在的全路径

二、将我们在注册表写入服务加入Svchost的服务组netsvcs中

1.找到注册表子健HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 并打开子健项netsvcs。netsvcs里面的值就是svchost的服务组netsvcs所启动的所有服务
这里写图片描述
2.打开netsvcs键值项 添加数值数据TestSvchost(服务名)
这里写图片描述
我们打开PCHunter可以看到该服务的相关情况:
这里写图片描述
可看到这个时候该服务已经注册,但由于缺少Dll文件,服务是无法启动的

三 编写正确的Dll文件

Svchost每次启动一个服务时,SCM都会调用Dll导出的ServiceMain函数来启动服务,这就需要在ServiceMain函数里调用RegisterServiceCtrlHandler来注册相应的控制请求的函数。我们打开vs新建一个动态dll工程写入下面代码并编译成Dll文件:

#include "stdafx.h"
#include <stdlib.h>

DWORD g_dwServiceType;
SERVICE_STATUS_HANDLE g_hServiceStatus;
DWORD g_dwCurrState;

BOOL APIENTRY DllMain(HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
    return TRUE;
}

int TellSCM(DWORD dwState, DWORD dwExitCode, DWORD dwProgress)
{
    SERVICE_STATUS srvStatus;
    srvStatus.dwServiceType = SERVICE_WIN32_SHARE_PROCESS;
    srvStatus.dwCurrentState = g_dwCurrState = dwState;
    srvStatus.dwControlsAccepted = SERVICE_ACCEPT_STOP | SERVICE_ACCEPT_SHUTDOWN;
    srvStatus.dwWin32ExitCode = dwExitCode;
    srvStatus.dwServiceSpecificExitCode = 0;
    srvStatus.dwCheckPoint = dwProgress;
    srvStatus.dwWaitHint = 1000;
    return SetServiceStatus(g_hServiceStatus, &srvStatus);
}

void __stdcall ServiceHandler(DWORD dwControl)
{
    switch (dwControl)
    {
    case SERVICE_CONTROL_STOP:
        TellSCM(SERVICE_STOP_PENDING, 0, 1);
        Sleep(10);
        TellSCM(SERVICE_STOPPED, 0, 0);
        break;
    case SERVICE_CONTROL_PAUSE:
        TellSCM(SERVICE_PAUSE_PENDING, 0, 1);
        TellSCM(SERVICE_PAUSED, 0, 0);
        break;
    case SERVICE_CONTROL_CONTINUE:
        TellSCM(SERVICE_CONTINUE_PENDING, 0, 1);
        TellSCM(SERVICE_RUNNING, 0, 0);
        break;
    case SERVICE_CONTROL_INTERROGATE:
        TellSCM(g_dwCurrState, 0, 0);
        break;
    }
}

extern "C" __declspec(dllexport) void ServiceMain(int argc, wchar_t* argv[])
{
char szSvcName[MAX_PATH];
    wcstombs(szSvcName, argv[0], sizeof szSvcName);

// 注册一个服务控制程序
    g_hServiceStatus = RegisterServiceCtrlHandler(szSvcName, (LPHANDLER_FUNCTION)ServiceHandler);
    if (g_hServiceStatus == NULL)
    {
        return;
    } else FreeConsole();

    TellSCM(SERVICE_START_PENDING, 0, 1); // 通知服务控制管理器该服务开始
    TellSCM(SERVICE_RUNNING, 0, 0);  // 通知服务控制管理器该服务运行

// 在D盘创建一个txt创建并写入服务名作为测试
HANDLE hFile = CreateFile("D:\\TestSvchost.txt", GENERIC_WRITE,FILE_SHARE_WRITE | FILE_SHARE_READ,NULL,CREATE_ALWAYS,
FILE_ATTRIBUTE_NORMAL, NULL);
if (hFile != INVALID_HANDLE_VALUE)
{
DWORD nTemp = 0;
WriteFile(hFile, szSvcName, strlen(szSvcName), &nTemp, NULL);
CloseHandle(hFile);
}

do {
Sleep(100);
} while (g_dwCurrState != SERVICE_STOP_PENDING && g_dwCurrState != SERVICE_STOPPED);
    return;
}
     
     
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75
  • 76
  • 77
  • 78

四 将Dll放入合适的位置并重启

将TestSvchostDll.dll放入C:\WINDOWS\system32目录下并重启电脑。重启后,点击开始->运行 输入services.msc 可以查看到该服务处于已启动状态。
这里写图片描述
打开D盘,可以看到我们在dll中创建的文件和写入的服务名
这里写图片描述

至此,文章就结尾了,可以查看原文地址 有百度云盘,我是没去下啦。你们可以看看,贵在理解与实践。

再次感谢作者分享这么优质的文章。

[网络安全自学篇] 九十三.《Windows黑客编程技术详解》之木马开机自启动技术(注册表、计划任务、系统服务
杨秀璋的专栏
08-15 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第四篇文章主要介绍木马病毒自启动技术,包括注册表、快速启动目录、计划任务和系统服务,希望对您有所帮助。
创建SvcHost.exe调用的服务原理与实践
brain 的专栏
04-26 2811
创建SvcHost.exe调用的服务原理与实践   by bingle_at_email.com.cn      www.BingleSite.net作者:bingle  1. 多个服务共享一个Svchost.exe进程利与弊 windows 系统服务分为独立进程和共享进程两种,在windows NT时只有服务器管理器SCM(Services.exe)有多个共享服务,随着系统内置服务的增加,在wi
制作可被svchost调用的服务(上)
kingfox的专栏
05-23 1216
一个被svchost调用的服务应该做成DLL,所以必须定义DLLMain函数,做为动态库的入口。 DLLMain的代码框架如下: BOOL APIENTRY DllMain(HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call) { case DLL_PROCESS_DETACH: // 将服务状态设置为SERVICE_CONTROL_
【软考网工笔记】操作系统管理与配置——Windows
qq_42853133的博客
01-05 1305
网工笔记
svchost.exe是什么意思?占比CPU非常高是否能强制结束?
caaAhHhAaac的博客
09-19 2849
svchost.exe是Windows系统核心进程,负责托管多个系统服务。虽然合法,但可能被病毒利用。判断其安全性需检查文件位置(应在system32目录)和数字签名(需显示Microsoft有效签名)。当出现内存占用过高时,切勿直接结束进程,否则可能导致系统崩溃。正确做法是通过任务管理器定位具体服务,针对性处理或扫描病毒。建议定期进行系统维护(磁盘清理、驱动更新等)保持系统稳定。若问题复杂应寻求专业技术支持。
Windows RDP协议 Fuzzing 漏洞挖掘研究
HBohan的博客
09-15 1586
基本介绍 本文描述了我在Fuzzing Windows RDP 客户端和服务端方面所做的一些尝试和挑战,以及Crsahs分析。 Microsoft 的远程桌面协议 (RDP) 持续受到安全社区的关注。从 2019 年发现的几个可能危及数百万面向互联网的服务端的关键漏洞,到RDP 被攻击者用作主要的初始访问向量之一。 我对这个目标最初的兴趣是与 VM 相关的。因为连接到 Azure Windows 机器或 Hyper-V 虚拟机的默认方式是 RDP,所以我认为 RDP 是比较重要的目标。 我很快就发现了 Pa
服务实战篇.docx
10-24
### 服务实战篇知识点解析 #### 一、Alerter(警报器) - **显示名称**:Alerter - **进程名称**:svchost.exe -k LocalService - **微软描述**:用于通知选定用户和计算机有关系统管理级别的警报。如果此服务停止...
实战篇_服务详细讲解与推荐.doc
09-24
本文档《实战篇:服务详解与推荐》详细介绍了Windows操作系统中的一些关键服务及其配置建议。以下是对这些服务的详细解释: 1. Alerter服务:主要用于发送管理级别的警报给指定的用户和计算机。它的进程名为svchost...
开机速度提升50%+:启动项优化与自启服务管理实战(内行人才懂的技巧)
现代操作系统启动缓慢的根源并非单一因素所致,而是硬件、固件、系统服务与第三方软件多重叠加的结果。从底层看,BIOS/UEFI初始化耗时过长、磁盘I/O性能瓶颈(尤其是HDD或低速SSD)直接影响启动流程推进;从中层看,...
【VMware自启动问题深入排查】:从启动项到服务设置的完整解决方案
[【VMware自启动问题深入排查】:从启动项到服务设置的完整解决方案](https://www.techiexpert.com/wp-content/uploads/2024/03/Govt-Launches-Bharat-Startup-Registry-Unified-Hub-for-Startup-Information-1.jpg)...
DLL服务svchost服务
10-07
svchost服务,DLL服务
svchost.exe启动服务原理
輚至消亡
07-14 3238
svchost.exe本身只是作为服务宿主,并不实现任何服务功能,需要svchost.exe启动服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost.exe,启动这些服务时由svchost.exe调用相应服务的动态链接库来启动服务。 双击服务列表的服务,可以看到服务详细信息。 其中,C:\Windows\System32\svchost.exe-k netsvcs这个路径当然就是启动服务的关键信息,其实,后边的这个-k netsvcs参数并不是在告诉sv...
svchost.exe启动服务原理(如何查看系统服务究竟启动了哪个文件)
weixin_33935777的博客
11-11 522
引言:        本来是不想研究这些东西的,但是米老大指示要求禁用网上邻居,顺便研究一下。      其实禁用网上邻居,可以简单的从注册表禁用,不过这样太苍白无力了,既然做,就做强悍点,直接从服务入手,彻底kill网上邻居服务(是篡改服务文件,而不是简单的暂停服务),神也无力回天,除非修复系统。      网上邻居核心服务是ComputerBrowser,那么如何找到这个服务启动的文件...
SVCHOST启动技术
10-10 1098
//说明:大部门代码来自bingle的文章,感谢bingle,并加入装载自启动代码//感谢使用,幻影光临白帽子实验室http://www.dream2fly.net/forumCode Language : C//Service HANDLE & STATUS used to get service stateSERVICE_STATUS_HANDLE hSrv;DWORD dwCurrSta
辨别亦真亦假的Svchost.exe
08-07 1651
http://pfw.sky.net.cn/news/info/info.php?infoid=2600本文主要包括以下内容:  1、了解Svchost.exe的功能  2、判断真假Svchost.exe进程  3、清除伪装成Svchost.exe的病毒、木马  Svchost.exe、lsass.exe、wdfmgr.exe,打开进程列表后你会发现一大堆不知用途的进程,究竟是系统进程
svchost服务(DLL服务
天使也掉毛
10-07 9634
svchost服务(DLL服务
恶意程序通信的几个C2服务器怎么找
最新发布
10-29
<think>嗯,用户这次问的是查找恶意程序通信的C2服务器的方法,看来他对网络安全领域比较熟悉啊。从引用内容看,用户已经了解过恶意程序的特征检测和行为分析的基本原理,特别是引用了进程空心化和网络通信监控的相关内容。 用户可能是个安全运维人员,正在处理实际的安全事件,也可能是学生在做相关研究。考虑到他引用了具体的技术文档和检测步骤,更偏向实战方向。他需要的不只是理论方法,而是可操作的解决方案。 上次提供的回答主要围绕网络流量分析和进程监控,这次需要更系统地展开。C2服务器的查找核心在于"异常通信特征识别",可以从五个维度深化: 1. 网络层要补充被动DNS和SSL证书指纹分析 2. 进程监控方面需要强调内存取证技巧 3. 沙箱动态分析可以引入YARA规则检测 4. 威胁情报应用要说明IOC的时效性问题 5. 日志分析需具体到Windows事件ID 5156/5157 特别要注意用户引用的[^2]里提到的netstat和Process Explorer用法,这些实操工具必须包含在回答中。同时需要提醒规避风险——某些高级恶意程序会检测分析工具的存在。 用户可能没意识到的是:现代C2通信常用域前置或TOR隐藏服务,这部分检测策略要单独说明。另外企业环境和个人的检测手段差异很大,需要补充说明。 </think>查找恶意程序通信的C2服务器需结合网络流量分析、进程监控和威胁情报,以下是系统化方法: --- ### **1. 网络流量分析** #### **(1) 异常连接检测** - **使用`netstat`/`Process Explorer`** 执行命令: ```bash netstat -naob # Windows(显示PID及关联进程) netstat -tunap # Linux ``` 重点检查: - 非常用端口(如6666、8088)的对外连接 - 与高风险地理位置的IP通信(可通过IP WHOIS定位) - 长期活跃的加密连接(如TLS但证书异常)[^2] #### **(2) 深度包检测(DPI)** - **工具**:Wireshark、Zeek - **检测点**: - DNS隧道特征(长域名、高频查询) ```bash example.kjdu38d9j3d.c2server[.]xyz # 恶意域名格式 ``` - HTTP C2通信模式(如Base64编码的GET参数) - 心跳包规律(固定时间间隔的微小数据包) --- ### **2. 进程行为监控** #### **(1) 隐藏进程排查** - **工具**:Process Hacker、Sysinternals Suite - **关键步骤**: 1. 对比进程路径与签名:未签名或路径异常(如`C:\Temp\svchost.exe`) 2. 检查进程空心化:父进程与子进程行为不符(如`explorer.exe`启动powershell)[^1] #### **(2) 内存取证** - **工具**:Volatility、Rekall - **检测内存注入**: ```bash volatility -f memory.dump malfind # 查找隐藏代码注入 ``` --- ### **3. 威胁情报应用** - **IOC比对**: 将捕获的IP/域名输入威胁平台: - VirusTotal - AlienVault OTX - MITRE ATT&CK数据库 - **动态沙箱分析**: 使用Any.Run、Hybrid Analysis自动提取C2域名 --- ### **4. 日志关联分析** - **关键日志源**: | 日志类型 | 检测目标 | |----------------|--------------------------| | 防火墙日志 | 异常出站连接 | | DNS查询日志 | 可疑域名解析频率 | | 进程创建日志 | 无签名进程启动(Sysmon) | --- ### **5. 高级对抗手段** - **C2反检测技术应对**: - **域前置(Domain Fronting)**:检查HTTP Host头与SNI不匹配 - **SSL证书异常**:自签名证书或证书链不完整 - **流量伪装**:使用机器学习工具(如Darktrace)检测加密流量中的时序特征 --- ### **操作风险提示** > ⚠️ 分析时需隔离环境,避免触发恶意程序的自毁机制 > ⚠️ 企业环境建议使用EDR工具(如CrowdStrike)实时阻断C2连接 --- **
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值