一��、什么是Windows服務
Windows服務也稱為Windows
Service����,它是Windows操作系統(tǒng)和Windows網(wǎng)絡的基礎(chǔ)�,屬于系統(tǒng)核心的一部分�,它支持著整個Windows的各種操作���。諸如DNS客戶端、打印程序�����、Windows更新服務�����、計劃任務����、Windows時間服務、告警器等服務���,它們關(guān)系到機器能否正確運行�����。如果不能適當?shù)毓芾磉@些服務�,就會影響到機器的正常操作�����。
一個服務首先是一個Win32可執(zhí)行程序,或者是是rundll32.exe來運行一個.dll的方式形成的進程。
跟普通應用程序不一樣����,如打開WORD,有一個界面出來�����,但服務沒有用戶界面����。也不能通過直接雙擊運行相應的.exe程序來運行。那Windows又是如何控制一個服務的��?
Windows的服務由更上一級的services.exe這個服務來管理,由它來管理�,負責進行服務的啟動、停止�����、運行,暫停等。我們最常用的操作就是通過Windows的服務MMC界面來完成相關(guān)操作��。
二���、如何刪除Windows服務
現(xiàn)在的流氓軟件,越來越多把自己注冊為一個服務。在Hijackthis的掃描日志中�����,一般會把非Windows系統(tǒng)的服務以023的方式列出來,如下面這段:
O23 - 未知 - Service: BKMARKS
[提供傳輸協(xié)議的數(shù)據(jù)安全保護機制,有效維護數(shù)據(jù)傳輸中的安全及完整。] - C:\WINDOWS\SYSTEM32\RUNDLL.EXE
O23 -
未知 - Service: ewido anti-spyware 4.0 guard [ewido anti-spyware 4.0 guard] -
D:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - 未知 - Service:
KSD2Service [KSD2Service] - C:\WINDOWS\system32\SVCH0ST.exe
對于這些流氓軟件���,需要刪除相關(guān)的.exe文件���,使它不能再運行,或者直接清除這個服務本身��,使計算機重啟的時候�����,它不會再啟動。
刪除的辦法有兩個:
辦法一:
用sc.exe這個Windows命令
開始——運行——cmd.exe���,然后輸入sc就可以看到了�。使用辦法很簡單:
sc delete "服務名"
(如果服務名中間有空格�,就需要前后加引號)
如針對上面的: sc delete KSD2Service
方法二:直接進行注冊表編輯(不推薦)
打開注冊表編輯器,找到下面的鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
一般服務會以相同的名字在這里顯示一個主健����,直接刪除相關(guān)的鍵值便可�����。
三、特殊情況
1、如果服務顯示的是rundll32.exe,并且這個文件是位于system32目錄下,那么就不能刪除這個rundll32.exe文件�����,它是Windows系統(tǒng)的文件。這時只要清除相關(guān)的服務就可以了
2�����、如果一個服務刪除了馬上又自動建立了���,說明后臺有進程在監(jiān)視�����、保護���。需要先在進程管理器中殺掉相應的進程,或者啟動后按F8�����,到安全模式下刪除�����。
SC用法
我們知道在MStools SDK,也就是在Resource Kit有一個很少有人知道的命令行軟件,SC.exe,這個軟件向所有的Windows
NT和Windows
2000要求控制他們的API函數(shù)。我們可以在命令行里通過對這些函數(shù)設定參數(shù)的方式來設定他們(API)����。SC.exe也可以顯示服務的狀態(tài),同時也可以從狀態(tài)結(jié)構(gòu)區(qū)域里重新找到存儲在里面的數(shù)值。它還可以列出遠程計算機的服務函數(shù)或者是服務狀況結(jié)構(gòu)。
SC.exe這個開發(fā)工具至少可以比服務控制面板程序和網(wǎng)絡命令行界面(net.exe,這個東西可以告訴你一個服務是在運行中,還是停止,還是暫停。)這兩個東西提供更多的細節(jié)和準確的信息。雖然上述兩個東西在正常工作的情況下,對于完整的調(diào)試是非常好用的,但是如果有新的服務,或者新的代碼被開發(fā)出來的時候,這兩個工具提供的信息可能造成誤導。這也就是我們需要用到SC的原因。
下面舉列說明,如果在開發(fā)階段,你的服務在掛住在一個start-pending的時候,控制面板和net.exe同樣報告服務是在運行的��。但它掛在一個stop-pending的時候���,net.exe報告它運行,而控制面板著報告它停止�����,如果你試著啟動它,這是控制面板則會告訴你這個服務正在運行。難道這不是很困惑嗎?呵呵!
SC.exe可以讓你詢問服務的狀況和取出存儲在狀態(tài)結(jié)構(gòu)區(qū)域內(nèi)的數(shù)值,控制面板和net.exe不提供服務完整的狀況�����。但是無論如何,SC程序可以告訴你這個服務準確的情形��,同樣也可以給你看最后的checkpoint數(shù)和等待提示����。這個checkpoint,我叫它檢查點(我覺得他就像一個程序調(diào)試時置的斷點),所以我們也可以把看作為一個調(diào)試工具����,因為它可以提供一個關(guān)于在程序停止時還要沿著初始化繼續(xù)前進多久準確報告��。
SC.exe也可以允許你調(diào)用很多的服務控制API函數(shù),可以讓你從命令行里改變大量的參數(shù)。這位服務開發(fā)者們提供了很多的優(yōu)勢。例如,它提供了一個方便的方式來創(chuàng)建或者在注冊表和服務控制管理數(shù)據(jù)庫中配置服務信息�����。開發(fā)者們不需要在手動的在注冊表里單獨的設置鍵值來配置服務�����,也不用重起機器來強迫服務控制管理數(shù)據(jù)庫升級。作為一個命令很工具�,SC.exe可以用來測試你自己的系統(tǒng)�����,你可以設置一個批處理文件來使用不同的參數(shù)調(diào)用SC.exe來控制服務。這個很有用�����,如果你想看看你的服務不斷的啟動和停止�����,我沒有試過哦�!讓一個服務一下子打開,一下子關(guān)閉�����,聽上去很不錯的���。如果你的服務進程里面有多個進程的話�����,你可以保持一個進程繼續(xù)運行不讓它走開����,然后讓另一個不斷的打開在關(guān)閉,還可以尋找一下內(nèi)存缺乏導致不完全清楚的證據(jù)��。
下面介紹SC��,SC QC����,and SC QUERY
SC使用這樣的語法:
1. SC [Servername] command
Servicename [Optionname= Optionvalue]
2. SC [command]
這里使用第一種語法使用SC�,使用第二種語法顯示幫助。
下面介紹各種參數(shù)����。
Servername
可選擇:可以使用雙斜線,如\\myserver����,也可以是\\192.168.0.1來操作遠程計算機。如果在本地計算機上操作
就不用添加任何參數(shù)�����。
Command
下面列出SC可以使用的命令��。
config----改變一個服務的配置���。(長久的)
continue--對一個服務送出一個繼續(xù)控制的要求�����。
control----對一個服務送出一個控制����。
create----創(chuàng)建一個服務。(增加到注冊表中)
delete----刪除一個服務���。(從注冊表中刪除)
EnumDepend--列舉服務的從屬關(guān)系�。
GetDisplayName--獲得一個服務的顯示名稱�。
GetKeyName--獲得一個服務的服務鍵名。
interrogate--對一個服務送出一個詢問控制要求�。
pause----對一個服務送出一個暫停控制要求���。
qc----詢問一個服務的配置�。
query----詢問一個服務的狀態(tài)��,也可以列舉服務的狀態(tài)類型��。
start----啟動一個服務。
stop----對一個服務送出一個停止的要求��。
Servicename
在注冊表中為service key制定的名稱�。注意這個名稱是不同于顯示名稱的(這個名稱可以用net
start和服務控制面板看到),而SC是使用服務鍵名來鑒別服務的��。
Optionname
這個optionname和optionvalue參數(shù)允許你指定操作命令參數(shù)的名稱和數(shù)值���。注意,這一點很重要在操作名稱和等號之間是沒有空格的���。一開始我不知道���,結(jié)果………………,比如���,start=
optionvalue�����,這個很重要���。
optionvalue可以是0,1,或者是更多的操作參數(shù)名稱和數(shù)值對�����。
如果你想要看每個命令的可以用的optionvalue�,你可以使用sc command這樣的格式。這會為你提供詳細的幫助����。
Optionvalue
為optionname的參數(shù)的名稱指定它的數(shù)值。有效數(shù)值范圍常常限制于哪一個參數(shù)的optionname�。如果要列表請用sc
command來詢問每個命令。
Comments
很多的命令需要管理員權(quán)限����,所以我想說,在你操作這些東西的時候最好是管理員�。呵呵!
當你鍵入SC而不帶任何參數(shù)時��,SC.exe會顯示幫助信息和可用的命令�。當你鍵入SC緊跟著命令名稱時,你可以得到一個有關(guān)這個命令的詳細列表���。比如����,鍵入sc
create可以得到和create有關(guān)的列表。
但是除了一個命令�,sc query,這會導出該系統(tǒng)中當前正在運行的所有服務和驅(qū)動程序的狀態(tài)����。
當你使用start命令時,你可以傳遞一些參數(shù)(arguments)給服務的主函數(shù)����,但是不是給服務進程的主函數(shù)。
SC
create
這個命令可以在注冊表和服務控制管理數(shù)據(jù)庫建立一個入口���。
語法1
sc [servername] create
Servicename [Optionname= Optionvalue]
這里的servername,servicename��,optionname��,optionvalue和上面的一樣����,這里就不多說了。這里我們詳細說
明一下optionname和optionvalue�。
Optionname--Optionvalue
描述
type=----own, share, interact, kernel, filesys
關(guān)于建立服務的類型,選項值包括驅(qū)動程序使用的類型,默認是share�����。
start=----boot, system, auto,
demand, disabled
關(guān)于啟動服務的類型����,選項值包括驅(qū)動程序使用的類型,默認是demand(手動)��。
error=----normal, severe, critical, ignore
當服務在導入失敗錯誤的嚴重性��,默認是normal���。
binPath=--(string)
服務二進制文件的路徑名��,這里沒有默認值�,這個字符串是必須設置的���。
group=----(string)
這個服務屬于的組���,這個組的列表保存在注冊表中的ServiceGroupOrder下。默認是nothing�����。
tag=----(string)
如果這個字符串被設置為yes,sc可以從CreateService
call中得到一個tagId��。然而�����,SC并不顯示這個標簽���,所
以使用這個沒有多少意義����。默認是nothing
depend=----(space separated string)有空格的字符串��。
在這個服務啟動前必須啟動的服務的名稱或者是組���。
obj=----(string)
賬號運行使用的名稱,也可以說是登陸身份����。默認是localsystem
Displayname=--(string)
一個為在用戶界面程序中鑒別各個服務使用的字符串。
password=--(string)
一個密碼�����,如果一個不同于localsystem的賬號使用時需要使用這個。
Optionvalue
Optionname參數(shù)名稱的數(shù)值列表�����。參考optionname�����。當我們輸入一個字符串時��,如果輸入一個空的引用這意味著一個空的字符串將被導入����。
Comments
The SC CREATE command performs the operations of the
CreateService API function.
這個sc create命令執(zhí)行CreateService
API函數(shù)的操作。詳細請見CreateService���。
例1
下面這個例子在一臺叫做(\\myserver)的計算機上為一個叫“NewService”的服務建立的一個注冊表登記���。
sc \\myserver
create NewService binpath= c:\winnt\system32\NewServ.exe
按照默認,這個服務會建立一個WIN32_SHARE_PROCESS使用SERVICE_DEMAND_START啟動方式��。這將不會有任何從屬關(guān)系���,也將會按照localsystem安全上下關(guān)系來運行�����。
例2
下面這個例子將在本地計算機上��,建立一個服務����,它將會是一個自動運行服務,并且運行在他自己的進程上���。它從屬于TDI組和NetBios服務上���。注意,你必須在從屬中間增加一個空格的引用�����。
sc create NewService binpath= c:\winnt\system32\NewServ.exe type= own
start= auto depend= "+TDI Netbios"
例3
服務開發(fā)者可以通過臨時改變二進制路徑(影像路徑)的方式來將這個服務運行在內(nèi)核調(diào)試器的上下關(guān)系中�。下面這個例子就可以讓我們看到如何改變服務的配置��。
sc config NewService binpath= "ntsd -d c:\winnt\system32\Newserv.exe"
這個例子會引起服務控制管理器調(diào)用ntsd.exe使用下例的參數(shù)字符串:
"-d c:\nt\system32\NewServ.exe"
當系統(tǒng)裝入newserv.exe時ntsd將會轉(zhuǎn)而打斷調(diào)試器��,所以斷點可以被設置在服務代碼里。
SC QC
這個SC
QC“詢問配置”命令可以列出一個服務的配置信息和QUERY_SERVICE_CONFIG結(jié)構(gòu)�����。
語法1
sc [Servername]
qc Servicename [Buffersize]
Parameters
servername和servicename前面已經(jīng)介紹過了�����,這里不再多說���。
Buffersize���,可選擇的,列出緩沖區(qū)的尺寸����。
Comments
SC QC命令顯示了QUERY_SERVICE_CONFIG結(jié)構(gòu)的內(nèi)容。
以下是QUERY_SERVICE_CONFIG相應的區(qū)域���。
TYPE------dwServiceType
START_TYPE----dwStartType
ERROR_CONTROL----dwErrorControl
BINARY_PATH_NAME--lpBinaryPathName
LOAD_ORDER_GROUP--lpLoadOrderGroup
TAG------dwTagId
DISPLAY_NAME----lpDisplayName
DEPENDENCIES----lpDependencies
SERVICE_START_NAME--lpServiceStartName
例1
下面這個例子詢問了在上面例子中建立的“NewService”服務的配置:
sc \\myserver qc
NewService
sc顯示下面的信息:
SERVICE_NAME: NewService
TYPE : 20
WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : c:\winnt\system32\NewServ.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NewService
DEPENDENCIES :
SERVICE_START_NAME : LocalSystem
NewService有能力和其他的服務共享一個進程��。但是它不是自動啟動的�����。二進制文件名是NewServ.exe��。這個服務不依靠與其它的的服務��,而且運行在lcoalsystem的安全上下關(guān)系中���。這些都是調(diào)用QueryServiceStatus基本的返回�����,如果還需要更多的細節(jié)屆時����,可以看看API函數(shù)文件���。
SC QUERY
SC QUERY命令可以獲得服務的信息�。
語法:
sc [Servername]
query { Servicename | Optionname= Optionvalue... }
參數(shù):
servername, servicename, optionname, optionvalue不在解釋�。只談一下這個命令提供的數(shù)值。
Optionname--Optionvalue
Description
type=----driver,
service, all
列舉服務的類型����,默認是service
state=----active, inactive, all
列舉服務的狀態(tài),默認是active
bufsize=--(numeric value)
列舉緩沖區(qū)的尺寸,默認是1024
bytes
ri=----(numeric value)
但開始列舉時�����,恢復指針的數(shù)字�����,默認是0
Optionvalue
同上��。
Comments
SC QUERY命令可以顯示SERVICE_STATUS結(jié)構(gòu)的內(nèi)容����。
下面是SERVICE_STATUS結(jié)構(gòu)相應的信息:
TYPE------dwServiceType
STATE------dwCurrentState, dwControlsAccepted
WIN32_EXIT_CODE----dwWin32ExitCode
SERVICE_EXIT_CODE--dwServiceSpecificExitCode
CHECKPOINT----dwCheckPoint
WAIT_HINT----dwWaitHint
在啟動計算機后�,使用SC
QUERY命令會告訴你是否,或者不是一個啟動服務的嘗試��。如果這個服務成功啟動���,WIN32_EXIT_CODE區(qū)間會將會包含一個0���,當嘗試不成功時,當它意識到這個服務不能夠啟動時���,這個區(qū)間也會提供一個退出碼給服務����。
例子
查詢“NewService"服務狀態(tài),鍵入:
sc query NewService
顯示一下信息:
SERVICE_NAME: NewService
TYPE : 20
WIN32_SHARE_PROCESS
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 1077
(0x435)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
注意��,這里存在一個給這個服務的退出碼��,即使這個服務部不在運行��,鍵入net helpmsg 1077��,將會得到對1077錯誤信息的說明:
上次啟動之后�����,仍未嘗試引導服務���。
所以��,這里我想說一句��,希望大家可以活用net helpmsg�,這會對你的學習有很大的幫助�����。
下面在對SC query的命令在說明一下:
列舉活動服務和驅(qū)動程序狀態(tài),使用以下命令:
sc query
顯示messenger服務�,使用以下命令:
sc query messenger
只列舉活動的驅(qū)動程序,使用以下命令:
sc query type= driver
列舉Win32服務��,使用以下命令:
sc query type= service
列舉所有的服務和驅(qū)動程序�����,使用以下命令:
sc query state= all
用50
byte的緩沖區(qū)來進行列舉�,使用以下命令:
sc query bufsize= 50
在恢復列舉時使用index=14��,使用以下命令:
sc query ri=14
列舉所有的交互式服務�����,使用以下命令:
sc query type= service type=
interact
