网络安全:手动清除gh0st远控服务端(2)

 

网络安全:手动清除gh0st远控服务端(2

 

服务名称   6to4  (xp |windows 200|windows 2003)

           Ism  (win7)

 显示名称  Microsoft Device Manager

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_6TO4

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4

netstat -anbo >>C:\6to4.txt     //木马服务停止后,进程缓存dll,可以先记住包含msvcrt.dll进程pid

TCP    192.168.1.103:1046    

  C:\WINDOWS\system32\mswsock.dll

  c:\windows\system32\WS2_32.dll

  c:\documents and settings\all users\xxx\XXX.dll

  C:\WINDOWS\system32\msvcrt.dll

  C:\WINDOWS\system32\kernel32.dll

  [svchost.exe]

 

sc GetKeyName "Microsoft Device Manager" >>c:\6to4.txt  //通过显示名称获取服务名称 ftp下载   c:\documents and settings\all users\xxx\XXX.dll 还是不能删除就 taskkill上面的进程

 

1. 描述:    SC 是用于与服务控制管理器通信的命令行程序。

   用法:

        sc <server> [command] [service name] <option1> <option2>...

 

        选项 <server> 的格式为

        可以键入 "sc [command]"以获得命令的进一步帮助

        命令:

          query---------------查询服务的状态,或枚举服务类型的状态。

          queryex------------查询服务的扩展状态, 或枚举服务类型的状态。

         start----------------启动服务。

          pause--------------发送 PAUSE 控制请求到服务。

          interrogate--------发送 INTERROGATE 控制请求到服务。

          continue-----------发送 CONTINUE 控制请求到服务。

         stop----------------发送 STOP 请求到服务。

          config--------------(永久地)更改服务的配置。

          description--------更改服务的描述。

          failure--------------更改服务失败时所进行的操作。

          qc-------------------查询服务的配置信息。

          qdescription-------查询服务的描述。

          qfailure-------------查询失败服务所进行的操作。

         delete---------------(从注册表)删除服务。

         create---------------创建服务(将其添加到注册表)

          control--------------发送控制到服务。

          sdshow--------------显示服务的安全描述符。

          sdset----------------设置服务的安全描述符。

          GetDisplayName---获取服务的 DisplayName

          GetKeyName--------获取服务的 ServiceKeyName

          EnumDepend-------枚举服务的依存关系。

 

        下列命令不查询服务名称:

        sc <server> <command> <option>

          boot---------------(ok | bad) 表明是否将上一次启动保存为最后所知的好的启动配置

          Lock---------------锁定服务数据库

          QueryLock-------查询 SCManager 数据库的 LockStatus

 

 

示例 1:注册服务(类似与linux中系统启动自动加载的东西)

 

 sc create SVN binpath= "C:\Program Files\Subversion\bin\svnserve.exe --service -r D:\svn" displayname= "Subversion Server" depend= Tcpip start= auto

 

 其中sc createsc注册服务命令

 svn : 是服务注册时的键名

 binpath : 是服务加载程序启动文件的路径和命令参数

 displayname :是服务显示名

 depend      :传输依赖的协议

 start       :是否自动启动

 

 说明:上面的那个例子是注册一个svn的服务

 

 

示例 2:启动服务

 sc start MyService

 

示例 3:删除服务

 

sc delete[servicename]

 

比如要删除apache2.2服务,操作如下:sc delete apache2.2

 

补充:如果用SC命令不能删除服务,可以从注册表里删除。

 

开始->运行 reg delete HKLM\SYSTEM\CurrentControlSet\Services\ServiceName

 

补充:

 

windows 注册服务 命令 sc的用法

 

1.服务显示名和注册键的区别,显示名称主要是在外面显示的名字(Subversion Server)可以用命令msconfigservice.msc来查看

  键名,另一种方法是用regedit注册表中HKEY_LOCAL_MACHINE->system->service中去查看.

 

  键名和显示名的转化:

 sc GetKeyName (显示名)  ---->由显示名得到键名

        sc GetDisplayName (键名)---->由键名得到显示名

 

2.对服务的操作都得由键名来做,显示名称不起作用

 

3.得到键名后就可以像linux命令service那样来操作服务

 

 服务启动sc start '键名' 例如: sc start svn

 服务停止sc stop  '键名' 例如: sc stop svn

 服务删除sc delete '键名' 例如: sc delete svn

 

 对于sc的命令,windows不常用,但是在linux下经常用service命令,其实这两个命令都是一样的,通过svnwindows下注册的例子

 

后面会讨论关于win7上线的问题。

我最近在玩和讯微博,很方便,很实用,你也来和我一起玩吧!
去看看我的微博吧!http://t.hexun.com/3006897/default.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值