Hay algun modo de añadir un nuevo servicio? La finalidad de esto es conseguir que mi programa se ejecute como SYSTEM. Gracias.
Puesto que nadie ha hablado de esto nunca, pongo unas cosillas que descubri un dia en el registro.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
Ahi se encuentran registrados los procesos k arrancaran al iniciar el ekipo.
Para agregar nuesto servicio lo k tenemos k hacer es crear una Clave con el nombre de nuestro servicio en la ruta anterior y dentro de la clave k emos creado creamos 2 claves mas : Enum y Security
(http://img158.imageshack.us/img158/7203/10hl.png)
Una vez creadas dentro de la primera carpeta k emos creado, en mi caso "kizar" tenemos k poner estos valores:
(http://img133.imageshack.us/img133/3180/28vj.png)
En la clave k emos creado con nombre Enum:
(http://img477.imageshack.us/img477/4017/38cc.png)
En la clave k emos creado con nombre Security:
(http://img477.imageshack.us/img477/7491/42nj.png)
EL valor Security k en la imagen no aparece completo iros a otro Servicio y copiarlo tal cual.
Con eso ya tenemos echo nuestro servicio k arrancara al encender el ordenador.
Espero k se haya entendido y k os guste.
Salu2 k1z4r
KiZaR eres un chico malo. Justo despues de hacer la pregunta me puse a investigar en el registro y descubri esto mismo. Y pensaba hacer un manual identico!!! Asi que una pequeña parte del merito es mia (es broma, te lo has currao). De todos modos es bueno saber que estaba en lo cierto con lo que descubri.
NOTA A MODERADORES O ADMINISTRADORES: En mi opinion deberiais pegar este post en temas frecuentes ya que es algo a lo que se le puede sacar mucho provecho en hacking y nunca antes se ha hablado aqui.
Esto tendria k funcionar perfectamente, pero no lo e provado, k alguien lo pruebe y de respuestas.
Mañana si tengo tienpo creo un modulo en vb con uan funcion k cree el proceso automaticamente para k lo podais poner en vuestros procesos.
Salu2
Muy interesante la verdad...da para excarvar más....pero la verdad veo difícil la posibilidad de nombrar o reemplazar servicios tan importantes como el SYSTEM..igual habrá que probarlo....capaz se pueden poner dos iguales al mismo tiempo y eso estaría muy bueno....
saludos
Cita de: juampivicius en 23 Febrero 2006, 11:20 AM
Muy interesante la verdad...da para excarvar más....pero la verdad veo difícil la posibilidad de nombrar o reemplazar servicios tan importantes como el SYSTEM..igual habrá que probarlo....capaz se pueden poner dos iguales al mismo tiempo y eso estaría muy bueno....
saludos
Supongo que no se podra ya que SYSTEM no es un servicio como tal. Si te fijas en los servicios, todos llaman a un ejecutable. Por lo tanto si miras el Taskmgr veras que todos los procesos con permisos de System (no confundir con proceso System) tienen extension .exe excepto el proceso System. Asi que no creo que System sea un servicio.
Pero un servicio se puede matar igual k un proceso normal, solo k es un poco mas complicado, pero vete a ms2 y escribe netstop <nombre de el servicio>.
Salu2
Cita de: KiZaR en 23 Febrero 2006, 17:13 PM
Pero un servicio se puede matar igual k un proceso normal, solo k es un poco mas complicado, pero vete a ms2 y escribe netstop <nombre de el servicio>.
Salu2
Intenta hacer eso con el servicio de un AV. Veras lo que te dice. Sin embargo si tienes permisos de System si puedes hacerlo.
lamento decir k no funciona.....
lo he hecho al pie d la letra y nada,habra k seguir buscando,yo por mi parte almenos :-\
Que es lo que no has conseguido?
k se añada un servicio kon privilegios system,pk reinicio y no sale nada,alomejor pongo un exe,cualkiera,y no realiza accion ninguna...
>:( >:(
!
seguro k tiene k aber algo mas....
pd:el av añade los valores en el 002 y no en el 001....
Cita de: bigsnake en 25 Febrero 2006, 15:25 PM
k se añada un servicio kon privilegios system,pk reinicio y no sale nada,alomejor pongo un exe,cualkiera,y no realiza accion ninguna...
>:( >:(
!
seguro k tiene k aber algo mas....
pd:el av añade los valores en el 002 y no en el 001....
Consejo:
En vez de seguir los pasos anteriormente indicados, cogete el registro de uno ya hecho e intentas copiarlo con las variaciones que tu necesites.
eso ice kon el nod32,pero al agregarlas =les pero con distinto nombre de servicio m da acceso dnegado,ademas no se manejar en vb agregar entradas i e d hacerlo en bath....
ya esta, ya di con la respuesta,sc create /?
eso es para crear servicion kon privilegios d system(entre ellos)
k weno es windows,no ayuda a hackearlo xddd
Basicamente no posteo el modulo k tengo casi acabao porke no se como guardar valores binarios en el registro y pregunte y nadie me supo responder, cuando sepa lo posteare.
Salu2
Lo que puse antes no funciona si solo haces eso, tienes que acer una cosa mas que es crear una clave:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KIZAR
Pero no se porque a mi no me deja crearla, cuando sepa como hacerlo lo publico, espero ayuda....
Salu2
No se puede porque la entrada:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
solo tiene permisos de SYSTEM. Sin embargo con "boton derecho / permisos..." te puedes agregar a ti mismo. Manualmente lo he conseguido pero mediante VB no se como se hara.
Pues yo e creado todas las claves y valores que tienen otros servicios y e agregado mi servicio, pero no lo carga al inicio, mira la captura del msconfig
(http://img117.imageshack.us/img117/3286/service1bk.png)
Pone estado detenido....
Salu2
Si te vas a "Mi PC / boton derecho / administrar" tambien puedes ver los servicios y tambien esta detenido. Si intentas ver sus propiedades dice lo siguiente:
CitarAdministrador de configuracion: el manipulador de instancia de dispositivo indicado no corresponde con ninguno de los dispositivos presentes.
Y si lo intentas iniciar a mano se ejecuta durante un tiempo (para verlo hay que decirle que interactue con el escritorio) pero acaba arrojando lo siguiente:
CitarNo se puede iniciar el servicio XXX en Equipo local.
Error 1053: El servicio no ha respondido a la peticion o inicio del control en un tiempo adecuado.
Asi que debe faltar añadir algo mas al registro. Yo no paro de darle vueltas y ahi ando pateandome el registro.
(http://img222.imageshack.us/img222/6128/service25zs.png)
E conseguido que el inicio sea automatico, pero sigue abiendo un problema.. que no me carga el archivo, la aplicacion al arrancarse tiene que acer algo especial, como por ejemplo cambiar una clave de el registro o algo, porke si pones en tu servicio que abra el ejecutable de el kaspersky le carga bien y si pones uno tuyo no....
A ver que podemos acer...
Salu2
Tal vez sea lo que tu dices y modifique algo en el registro al iniciarse. Entonces para eso se deberia utilizar uno de estos programas que monitorizan el registro y te dicen si ha habido algun cambio. Desconozco el nombre de alguno de ellos. Tal vez tu lo sepas.
EL RegSpy esta bien...
Salu2 ya me contaras....
Claves que modifican los programas al arrancar....
*********Servicio Kav
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{3E227E76-690D-11D2-8161-0000F8775BF1}\##?#Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{3E227E76-690D-11D2-8161-0000F8775BF1}\##?#Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}\#{cd171de3-69e5-11d2-b56d-0000f8754380}&{9B365890-165F-11D0-A195-0020AFD156E4}
*********Servicio Ipod
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}\##?#IDE#DiskWDC_WD2000JD-00HBB0_____________________08.02D08#4457572d414d374c323234393930_039_0_0_0_0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}\##?#IDE#DiskWDC_WD2000JD-00HBB0_____________________08.02D08#4457572d414d374c323234393930_039_0_0_0_0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\#
HKEY_CLASSES_ROOT\AppID\{250DD19F-6E7F-4BA3-9E1B-69E6CDC52F30}
Salu2
Propongo una idea nueva. El SubSeven tiene la opcion de registrarse como servicio. Si se hace una comparacion del registro antes y despues de haber sido infectado tal vez podamos averiguar donde toca. Yo voy a intentarlo y a ver que me cuentas tu.
!!!!
pero k complicados soys
inicio,ejecutar,cmd,aceptar
sc create servicionuevo binpath= c:\lokesea.exe start= auto
eso krea un servicio con pribilegios system k se abre cada ves k se enciende la pc,no??
corrijanme si me eskivoko
Si, tienes toda la razon, pero el caso es k el programa al arrancar tiene que crear una clave en el registro para demostrar k es un servicio y eso es lo k no se...
Salu2
Para crearlo/instalarlo, primero OpenSCManager (http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/openscmanager.asp), luego CreateService (http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/createservice.asp).
Para eliminarlo/desinstalarlo, primero OpenService (http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/openservice.asp) y luego DeleteService (http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/deleteservice.asp)
Nada de andar tocando el registro sin sentido alguno. Más información en el siguiente link:
Windows Services (http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/DllProc/base/services.asp)
Hasta hay algunos ejemplos en C. No voy a postear el código en VB.
Encontre un proyecto en vb que registra un servicio en XP y teoricamente va bien, pero a la ora de el servicio cargar el programa dice k el programa no ha respondido....
Es el mismo problema que daba antes...
Salu2
Si el problema no esta en que se ejecute. Eso se hace bien. Si abris el administrador de tareas justo al iniciar el pc o al iniciar manualmente el servicio se puede ver como se ejecuta el programa con privilegios de SYSTEM. Y si en las propiedades del servicio le decis que interactue con el escritorio tambien puedes verlo de manera normal. El problema es que al pasar un rato dice que X cosa desconocida por nosotros no ha respondido. Asi que ahi es donde esta el tema.
Añadir el servicio es facil. Lo dificil es hacer que funcione correctamente.
Ya, pero es lo que digo yo, ya me e fijao en varios servicios al iniciarse aceden a una clave de el registro y entonces el servicio puede seguir ejecutandose, debe de ser una medida de seguridad, igual que el inicio activex, hasta k no se ha cerrado el proceso no sigue cargando el SO....
Hay que investigar esto que ya nos queda poco, ademas ay poca informacion en internet, seria un buen aporte....
Salu2
En realidad yo diría que os queda mucho, se trata de un mensaje que se manda al servicio y este debe responder. Y si que hay bastante documentación al respecto.
A parte de toda la documentación de la msdn tal y como decía slasher que habeis pasado de él y ni la habeis mirado, teneis para .net:
http://www.elguille.info/NET/dotnet/serviciosWindows.htm
Un ejemplo completito para vb6:
http://www.freevbcode.com/ShowCode.Asp?ID=4317
Meted en buscar de freevbcode services nt i vereis si hay ejemplos o no...
Me suena uno que salían las claves de las que hablabais
En general para todo lo que són servicios está el ntsvc.ocx
En definitiva que no es qüestión de cambiar 4 claves y listo.
Cita de: MazarD en 9 Marzo 2006, 18:37 PM
En realidad yo diría que os queda mucho, se trata de un mensaje que se manda al servicio y este debe responder. Y si que hay bastante documentación al respecto.
A parte de toda la documentación de la msdn tal y como decía slasher que habeis pasado de él y ni la habeis mirado, teneis para .net:
http://www.elguille.info/NET/dotnet/serviciosWindows.htm
Un ejemplo completito para vb6:
http://www.freevbcode.com/ShowCode.Asp?ID=4317
Meted en buscar de freevbcode services nt i vereis si hay ejemplos o no...
Me suena uno que salían las claves de las que hablabais
En general para todo lo que són servicios está el ntsvc.ocx
En definitiva que no es qüestión de cambiar 4 claves y listo.
Amén