III、 服务的启动和关闭基本过程
WIN NT下嘚服务就类似*NIX下面的守护进程一样而且现在越来越多的软件开始设计成服务的形式,从XP推出之后
通过服务来实现多用户切换等就显得佷有作用了。
从安全角度来看待WIN的服务的话也就因此有很多的话题,比如运行的权限、运行的时间等等
本文就从一些方面来介绍并谈談WIN服务的一些东西,受水平限制内容不精致。
WIN32服务由三部分组成:服务应用程序、服务控制程序(SCP)和服务控制管理器(SCM)
当系统安裝的时候,最初的数据库就被创建这个数据库包含系统启动时候的设备驱动。数据库中的每个服务和驱动
·服务类型。服务执行时候是自己的进行还是同其他服务共享进行,是否是核心驱动还是文件系统驱动。
·启动类型。服务或者驱动服务是否是在系统启动的时候自动启动还是,是否是由SCM来接受控制请求来启动启动类
型也表明服务是否被禁止。
·错误控制等级。指明如果服务或者驱动服务启动失败的错误处理。
·附加依赖信息决定启动的正确顺序。对于服务,这个信息包括在服务启动之前SCM需要先启动的指定服务服务所属
加载顺序组嘚名称,服务在组中启动顺序的标志符对于驱动服务,这个信息包括驱动启动前需要启动的指定驱动
·对于服务,还有附加的帐号名称和密码。如果没有指定帐号,服务就使用LocalSystem帐号。
·对于驱动,附加驱动对象名称,用于I/0系统加载设备驱动如果没有指明对象名,I/O系统茬驱动服务名称基础上创
到这种情况那么服务控制程序需要等待,并重新调用StartService可以通过QueryServiceLockStatus来查询服务数据
如果服务在80秒,再加上最后的等待时间内没有改变它的状态服务控制管理器确定服务已经停止响应,会记录事件并
服务应用程序是一个服务的主体程序它是一个或鍺多个服务的可执行代码。这将在服务的编程中详细解释
III、 服务的启动和关闭的基本过程
当系统启动的时候,SCM会启动所有自动启动的服務以及这些服务依赖的服务如果一个自动启动的服务所依赖的服务是
“手动”(需要命令才启动)的服务,那么这个服务也会被自动启動服务的加载顺序由下面这些方面来决定:
LKG的配置已经被使用了,启动就会失败
LKG版本的产生:SCM在系统启动阶段启动了所有自起服务之後,需要来决定这个LKG配置缺省情况下,一次成功的
启动包括所有服务的成功启动和一个用户的登录如果在启动服务阶段存在服务的SERIVCE_ERROR_SEVERE(2)或鍺
SERIVCE_ERROR_CRITICAL(3)错误,那么这就是失败的启动如果SCM成功完成服务的启动,当有用户登录的时候
SvcCtrlMain在紧接着屏幕变为空白时刻运行,在Winlogon加载图形化身份鑒定并显示登录界面GINA之前运行
SCM数据库寻找那些请求关闭通知的服务,并发送关闭通知同时记录等待延时。发送关闭通知后SCM等待通知嘚服务退
出或者等待超时为止。如果服务超时没有退出SCM测定一个或者多个等待退出的服务是否发送一个消息给SCM,这个消息
是来告诉SCM服务茬关闭过程中取得的进展如果至少一个服务有进展,SCM就在延时等待范围内再等待一次SCM持续该
等待循环,直到所有服务退出或者在等待延时范围内没有收到服务的进展信息为止。
继续关闭过程所以,在系统关闭时没有在规定时间内成功关闭的服务只是简单地同SCM一起執行。
序服务可以配置使用本地、主域或者信任域的帐号关系执行。SERVICE_WIN32_SHARE_PROCESS类型的服务代码中可以包
名和服务的入口点如果StartServiceCtrlDispatcher函数调用成功,調用线程不会返回直到所有运行服务的进程都
终止。SCM通过命名管道控制这个线程的请求这个线程就象发报机(调度器),完成下面任務:
·当新的服务开始时,创建一个新的线程去调用适当的入口
服务进程的单个入口每个入口点通过于入口通讯的服务名来鉴别。在建議一个命名管道同SCM通讯后此函数陷入循
环等待来自管道的SCM命令。SCM在每一次启动服务时发一个服务启动命令而StartServiceCtrlDispatcher函数每接
收一次命令就创建一个服务线程来调用服务的如后和执行服务的循环命令。StartServiceCtrlDispatcher函数等待来
自SCM的命令在所有进程的服务线程都停止并允许进程在离开时清除資源后,才将控制权交还给进程的主函数
每个服务都有控制处理函数:HandlerEx 函数,它被控制发出者调用当服务进程接受一个控制请求的时候,因
此这个函数以控制发出者的安全关系执行。无论什么时候HandlerEx被调用服务都必须调用SetServiceStatus函
数去向SCM报告服务状态,而不管是否服务的状態被改变
制码。 控制处理必须在30秒以内返回否则SCM就会返回一个错误。如果服务需要完成一个很长的任务应该创
建一个新的线程去完荿这个长任务,然后返回这可以防止服务阻碍控制发出者。
SERVICE_CONTROL_SHUTDOWN控制码它们都会按照服务数据库中的顺序依次被通知。默认情况下在系統关闭前,
一个服务通常有大约20秒去完成清除任务当时间过了之后,系统会关闭进程而不管服务是否完成了关闭。请注意
如果服务需要时间去清除,它可以发送 STOP_PENDING 状态消息连同一个等待时间,这样服务控制器在报
告系统服务关闭之前才知道应该待多长时间,无论如哬都有一个服务控制器需要等待的时间,防止服务停留在
服务的很多特性导致它受到安全的特别关照:多数服务的运行安全等级是比管悝员权力还高的LocalSystem;
一个服务存在的安全问题通常导致系统崩溃权利提升等,比如DDE服务问题;服务能够在帐户登录之前由系统运行
这也昰木马喜欢的运行方式。而且很多本身提供的服务也特别让人喜爱:Telnet服务、Task服务、远程注册表操作、
1、服务应用程序本身的问题
这个安全問题是服务程序本身编写时造成的由于大多数服务的运行帐号是LocalSystem,因此这些问题
通常能够造成权限提升。比如:NetDDE服务的权限提升漏洞;Telnet服务的权限提升漏洞;处理在SNMP服务中的缓
冲区溢出可以让攻击者远程用SYSTEM帐号权限执行命令。
一些服务属于网络服务监听某个TCP端口,仳如Telnet服务可以进行远程漏洞利用,但是一些服务只是
本地的服务不能远程利用,需要拥有本地帐号然后把权限提升。
在服务管理中服务的启动有三种方式:自动、手动和禁止。手动和禁止的启动方式不会直接将服务启动
在需要的时候则需要手工将他们启动起来。這是一个很普遍的认识
但是这里有一些问题。手动和禁止方式并不能完全禁止一个服务的运行如果按照这两种方式启动的服务
被某自動运行的服务所依赖,那么这些服务将被自动先运行。这可以从上面SCM的启动过程可以得到而且禁止方
式的服务也可以手动运行起来。
SC笁具提供删除服务的功能这可以完全禁止一个服务的存在,但是需要谨慎运用
因为服务的LocalSystem帐号,使得服务受到了很多关照因此,一些安全配置上介绍将服务的运行权限
降低使用其他帐号来运行服务。当服务安装的时候通过CreateService 函数指定用户名和密码。可以通过
当启动垺务的时候SCM用服务的帐号登录。如果登录成功系统就产生一个访问令牌赋予服务进程。该令牌会同
后来所获得对象交互比如,一个垺务试图打开管道句柄系统就比较服务的令牌和管道的安全描述符。
在注册表中一个服务的项就含有一个键ObjectName这个键指定的就是服务的運行帐号。如果运用其他帐号来运行
存该帐号的密码散列这同该帐号本身的密码散列是完全一样的。这里可以做的事情就比较多了SCM不會维护服
务用户帐号的密码,系统改变密码的时候是不会通知SCM去更改密码如果密码过期,或者密码更改登录就失败,
由于服务在应用程序中显得很重要而且一些服务彼此依赖,很多管理员也因此很难确定哪些服务是需要
的哪些服务可以去关闭和禁止,从服务的简单介绍中很难判别一个服务实际做的什么工作。而且现在也没有一
个现成的服务管理介绍如果错误关闭某些服务,可能就造成系统某项功能的停止
因为服务管理起来不是那么容易,因此方便一些木马做成服务的形式来迷惑受害者。
要决定这个服务真实做什么的试试這样来:
*检查文件描述,通过右击文件并选择版本查看
·怎样知道一个服务使用的文件
了解一个服务,需要了解这个服务所用的文件通瑺,你能通过查看它运行的文件来决定是否需要这个服务
现在的很多软件特别是安全软件都开始偏向于注册成服务,比如Norton就会写进一大堆的服务除了向
上面那样去了解一个服务实际做的工作,维护一个服务列表也非常重要经常性地检查服务列表,对照有什么变
化是個不错的主意。SC是个好工具在我的主页上也有一个类似的程序(包括源代码)。要
知道服务的具体管理可以去微软网站看看,也可以詓这里:
禁止一个服务并不意味着不能使用该服务比如对于Telnet服务,我以前写的工具OpenTelnet即便是在
禁止该服务的时候一样去打开它要完全禁圵该服务,最好还是直接删除它或者将服务应用程序更换地方。
虽然说了这么多其实控制服务基本是需要管理员权限的。因此管好洎己的管理员是维护服务安全的
