Foro de elhacker.net

Hay algun modo de añadir un nuevo servicio? La finalidad de esto es conseguir que mi programa se ejecute como SYSTEM. Gracias.

Puesto que nadie ha hablado de esto nunca, pongo unas cosillas que descubri un dia en el registro.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\

Ahi se encuentran registrados los procesos k arrancaran al iniciar el ekipo.

Para agregar nuesto servicio lo k tenemos k hacer es crear una Clave con el nombre de nuestro servicio en la ruta anterior y dentro de la clave k emos creado creamos 2 claves mas : Enum y Security

(http://img158.imageshack.us/img158/7203/10hl.png)

Una vez creadas dentro de la primera carpeta k emos creado, en mi caso "kizar" tenemos k poner estos valores:

(http://img133.imageshack.us/img133/3180/28vj.png)

En la clave k emos creado con nombre Enum:

(http://img477.imageshack.us/img477/4017/38cc.png)

En la clave k emos creado con nombre Security:

(http://img477.imageshack.us/img477/7491/42nj.png)

EL valor Security k en la imagen no aparece completo iros a otro Servicio y copiarlo tal cual.

Con eso ya tenemos echo nuestro servicio k arrancara al encender el ordenador.

Espero k se haya entendido y k os guste.
Salu2 k1z4r

KiZaR eres un chico malo. Justo despues de hacer la pregunta me puse a investigar en el registro y descubri esto mismo. Y pensaba hacer un manual identico!!! Asi que una pequeña parte del merito es mia (es broma, te lo has currao). De todos modos es bueno saber que estaba en lo cierto con lo que descubri.

NOTA A MODERADORES O ADMINISTRADORES: En mi opinion deberiais pegar este post en temas frecuentes ya que es algo a lo que se le puede sacar mucho provecho en hacking y nunca antes se ha hablado aqui.

Esto tendria k funcionar perfectamente, pero no lo e provado, k alguien lo pruebe y de respuestas.

Mañana si tengo tienpo creo un modulo en vb con uan funcion k cree el proceso automaticamente para k lo podais poner en vuestros procesos.

Salu2

Muy interesante la verdad...da para excarvar más....pero la verdad veo difícil la posibilidad de nombrar o reemplazar servicios tan importantes como el SYSTEM..igual habrá que probarlo....capaz se pueden poner dos iguales al mismo tiempo y eso estaría muy bueno....

saludos

Supongo que no se podra ya que SYSTEM no es un servicio como tal. Si te fijas en los servicios, todos llaman a un ejecutable. Por lo tanto si miras el Taskmgr veras que todos los procesos con permisos de System (no confundir con proceso System) tienen extension .exe excepto el proceso System. Asi que no creo que System sea un servicio.

Pero un servicio se puede matar igual k un proceso normal, solo k es un poco mas complicado, pero vete a ms2 y escribe netstop <nombre de el servicio>.

Salu2

Intenta hacer eso con el servicio de un AV. Veras lo que te dice. Sin embargo si tienes permisos de System si puedes hacerlo.

lamento decir k no funciona.....
lo he hecho al pie d la letra y nada,habra k seguir buscando,yo por mi parte almenos :-\

Que es lo que no has conseguido?

k se añada un servicio kon privilegios system,pk reinicio y no sale nada,alomejor pongo un exe,cualkiera,y no realiza accion ninguna...
 >:( >:(
!
seguro k tiene k aber algo mas....
pd:el av añade los valores en el 002 y no en el 001....

Consejo:
En vez de seguir los pasos anteriormente indicados, cogete el registro de uno ya hecho e intentas copiarlo con las variaciones que tu necesites.

eso ice kon el nod32,pero al agregarlas =les pero con distinto nombre de servicio m da acceso dnegado,ademas no se manejar en vb agregar entradas i e d hacerlo en bath....

ya esta, ya di con la respuesta,sc create /?
eso es para crear servicion kon privilegios d system(entre ellos)
k weno es windows,no ayuda a hackearlo xddd

Basicamente no posteo el modulo k tengo casi acabao porke no se como guardar valores binarios en el registro y pregunte y nadie me supo responder, cuando sepa lo posteare.

Salu2

Lo que puse antes no funciona si solo haces eso, tienes que acer una cosa mas que es crear una clave:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KIZAR

Pero no se porque a mi no me deja crearla, cuando sepa como hacerlo lo publico, espero ayuda....

Salu2

No se puede porque la entrada:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root

solo tiene permisos de SYSTEM. Sin embargo con "boton derecho / permisos..." te puedes agregar a ti mismo. Manualmente lo he conseguido pero mediante VB no se como se hara.

Pues yo e creado todas las claves y valores que tienen otros servicios y e agregado mi servicio, pero no lo carga al inicio, mira la captura del msconfig

(http://img117.imageshack.us/img117/3286/service1bk.png)

Pone estado detenido....

Salu2

Si te vas a "Mi PC / boton derecho / administrar" tambien puedes ver los servicios y tambien esta detenido. Si intentas ver sus propiedades dice lo siguiente:


Y si lo intentas iniciar a mano se ejecuta durante un tiempo (para verlo hay que decirle que interactue con el escritorio) pero acaba arrojando lo siguiente:


Asi que debe faltar añadir algo mas al registro. Yo no paro de darle vueltas y ahi ando pateandome el registro.

(http://img222.imageshack.us/img222/6128/service25zs.png)

E conseguido que el inicio sea automatico, pero sigue abiendo un problema.. que no me carga el archivo, la aplicacion al arrancarse tiene que acer algo especial, como por ejemplo cambiar una clave de el registro o algo, porke si pones en tu servicio que abra el ejecutable de el kaspersky le carga bien y si pones uno tuyo no....

A ver que podemos acer...

Salu2

Tal vez sea lo que tu dices y modifique algo en el registro al iniciarse. Entonces para eso se deberia utilizar uno de estos programas que monitorizan el registro y te dicen si ha habido algun cambio. Desconozco el nombre de alguno de ellos. Tal vez tu lo sepas.

EL RegSpy esta bien...

Salu2 ya me contaras....

Claves que modifican los programas al arrancar....


*********Servicio Kav

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{3E227E76-690D-11D2-8161-0000F8775BF1}\##?#Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{3E227E76-690D-11D2-8161-0000F8775BF1}\##?#Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}\#{cd171de3-69e5-11d2-b56d-0000f8754380}&{9B365890-165F-11D0-A195-0020AFD156E4}

*********Servicio Ipod

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}\##?#IDE#DiskWDC_WD2000JD-00HBB0_____________________08.02D08#4457572d414d374c323234393930_039_0_0_0_0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}\##?#IDE#DiskWDC_WD2000JD-00HBB0_____________________08.02D08#4457572d414d374c323234393930_039_0_0_0_0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\#

HKEY_CLASSES_ROOT\AppID\{250DD19F-6E7F-4BA3-9E1B-69E6CDC52F30}


Salu2

Propongo una idea nueva. El SubSeven tiene la opcion de registrarse como servicio. Si se hace una comparacion del registro antes y despues de haber sido infectado tal vez podamos averiguar donde toca. Yo voy a intentarlo y a ver que me cuentas tu.

!!!!
pero k complicados soys
inicio,ejecutar,cmd,aceptar
sc create servicionuevo binpath= c:\lokesea.exe start= auto

eso krea un servicio con pribilegios system k se abre cada ves k se enciende la pc,no??
corrijanme si me eskivoko

Si, tienes toda la razon, pero el caso es k el programa al arrancar tiene que crear una clave en el registro para demostrar k es un servicio y eso es lo k no se...

Salu2

Para crearlo/instalarlo, primero OpenSCManager (http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/openscmanager.asp), luego CreateService (http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/createservice.asp).

Para eliminarlo/desinstalarlo, primero OpenService (http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/openservice.asp) y luego DeleteService (http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/deleteservice.asp)

Nada de andar tocando el registro sin sentido alguno. Más información en el siguiente link:

Windows Services (http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/DllProc/base/services.asp)

Hasta hay algunos ejemplos en C. No voy a postear el código en VB.

Encontre un proyecto en vb que registra un servicio en XP y teoricamente va bien, pero a la ora de el servicio cargar el programa dice k el programa no ha respondido....
Es el mismo problema que daba antes...

Salu2

Si el problema no esta en que se ejecute. Eso se hace bien. Si abris el administrador de tareas justo al iniciar el pc o al iniciar manualmente el servicio se puede ver como se ejecuta el programa con privilegios de SYSTEM. Y si en las propiedades del servicio le decis que interactue con el escritorio tambien puedes verlo de manera normal. El problema es que al pasar un rato dice que X cosa desconocida por nosotros no ha respondido. Asi que ahi es donde esta el tema.
Añadir el servicio es facil. Lo dificil es hacer que funcione correctamente.

Ya, pero es lo que digo yo, ya me e fijao en varios servicios al iniciarse aceden a una clave de el registro y entonces el servicio puede seguir ejecutandose, debe de ser una medida de seguridad, igual que el inicio activex, hasta k no se ha cerrado el proceso no sigue cargando el SO....

Hay que investigar esto que ya nos queda poco, ademas ay poca informacion en internet, seria un buen aporte....

Salu2

En realidad yo diría que os queda mucho, se trata de un mensaje que se manda al servicio y este debe responder. Y si que hay bastante documentación al respecto.
A parte de toda la documentación de la msdn tal y como decía slasher que habeis pasado de él y ni la habeis mirado, teneis para .net:

http://www.elguille.info/NET/dotnet/serviciosWindows.htm
Un ejemplo completito para vb6:
http://www.freevbcode.com/ShowCode.Asp?ID=4317

Meted en buscar de freevbcode services nt i vereis si hay ejemplos o no...
Me suena uno que salían las claves de las que hablabais

En general para todo lo que són servicios está el ntsvc.ocx
En definitiva que no es qüestión de cambiar 4 claves y listo.

Amén