zhangheng

24. Sc.exe （Service Controller Tool）

干好一年以前就写过这个东西介绍了。大家再看一遍吧！

我们知道在MStools SDK，也就是在Resource Kit有一个很少有人知道的命令行软件，SC.exe，这个软件向所有的Windows NT和Windows 2000要求控制他们的API函数。我们可以在命令行里通过对这些函数设定参数的方式来设定他们(API)。SC.exe也可以显示服务的状态，同时也可以从状态结构区域里重新找到存储在里面的数值。它还可以列出远程计算机的服务函数或者是服务状况结构。SC.exe这个开发工具至少可以比服务控制面板程序和网络命令行界面(net.exe，这个东西可以告诉你一个服务是
在运行中，还是停止，还是暂停。）这两个东西提供更多的细节和准确的信息。虽然上述两个东西在正常工作的情况下，对于完整的调试是非常好用的，但是如果有新的服务，或者新的代码被开发出来的时候，这两个工具提供的信息可能造成误导。这也就是我们需要用到SC的原因。

下面举列说明，如果在开发阶段，你的服务在挂住在一个start-pending的时候，控制面板和net.exe同样报告服务是在运行的。但它挂在一个stop-pending的时候，net.exe报告它运行，而控制面板着报告它停止，如果你试着 启动它，这是控制面板则会告诉你这个服务正在运行。难道这不是很困惑吗？呵呵！
SC.exe可以让你询问服务的状况和取出存储在状态结构区域内的数值，控制面板和net.exe不提供服务完整的状况 。但是无论如何，SC程序可以告诉你这个服务准确的情形，同样也可以给你看最后的checkpoint数和等待提示。
这个checkpoint，我叫它检查点(我觉得他就像一个程序调试时置的断点)，所以我们也可以把看作为一个调试工具，因为它可以提供一个关于在程序停止时还要沿着初始化继续前进多久准确报告。
SC.exe也可以允许你调用很多的服务控制API函数，可以让你从命令行里改变大量的参数。这位服务开发者们提供了很多的优势。例如，它提供了一个方便的方式来创建或者在注册表和服务控制管理数据库中配置服务信息。开发者们不需要在手动的在注册表里单独的设置键值来配置服务，也不用重起机器来强迫服务控制管理数据库升级 。
作为一个命令很工具，SC.exe可以用来测试你自己的系统，你可以设置一个批处理文件来使用不同的参数调用SC.exe来控制服务。这个很有用，如果你想看看你的服务不断的启动和停止，我没有试过哦！让一个服务一下子
打开，一下子关闭，听上去很不错的。如果你的服务进程里面有多个进程的话，你可以保持一个进程继续运行不让它走开，然后让另一个不断的打开在关闭，还可以寻找一下内存缺乏导致不完全清楚的证据。
下面介绍SC，SC QC，and SC QUERY

SC使用这样的语法：
1. SC [Servername] command Servicename [Optionname= Optionvalue]

2. SC [command]

这里使用第一种语法使用SC，使用第二种语法显示帮助。

下面介绍各种参数。

Servername
可选择：可以使用双斜线，如\\myserver，也可以是\\192.168.0.1来操作远程计算机。如果在本地计算机上

操作
就不用添加任何参数。

Command
下面列出SC可以使用的命令。

config 改变一个服务的配置。（长久的）

continue 对一个服务送出一个继续控制的要求。

control 对一个服务送出一个控制。

create 创建一个服务。（增加到注册表中）

delete 删除一个服务。（从注册表中删除）

EnumDepend 列举服务的从属关系。

GetDisplayName 获得一个服务的显示名称。

GetKeyName 获得一个服务的服务键名。

interrogate 对一个服务送出一个询问控制要求。

pause 对一个服务送出一个暂停控制要求。

qc 询问一个服务的配置。

query 询问一个服务的状态，

6W软]l7|-网^业供)

28. showpriv.exe （show Privilege）

一个用来显示用户或者是组分配的特权的命令行工具，如果要看domain的相关的东西的话，要在DC上使用。使用起来很简单，showpriv privilege就行了，如：

C:\>showpriv sesecurityprivilege
1 account(s) with the sesecurityprivilege user right:
BUILTIN\Administrators
All accounts enumerated

这里主要讲一下这个2000的一些privilege。

Privilege，管DmW网S*I,.u#fM为本地管理员提供了一种手段，可以控制允许什么人具有什么权限或者能执行什么样的系统操作，
如允许交互式登陆等等。这里我们说的特权是指特殊操作所需的权限，如备份呀什么的！一旦授予了某种特权，这些特权就会包括在用户的安全访问令牌中。这是一些基本的概念，可以看以下，比较容易明白。
系统为了管理的方便总是为每个本地组分配了相应的特权，而且从来不改变这个特权，这些东东在NT系统上可以分为内置能力，标准用户权力，高级用户权力这么几种，但是在2000中标准权利和高级权力已经被用户特权所取代，只有在为委派而信任计算机和用户帐户（SeEnableDelegationPrivilege）和把计算机从dock中移出（SeUndockPrivilege）这两种情况下可以把NT的权利映射到2000中的特权。注意一下2000的一些问题。并非所有能力都有匹配的权利，因此，不可能用权力完全匹配组的内置能力。而由于特定组能力的预定义分配和不能把所有能力复制为权力，就难以区分任务，并且只能强制使用最低特权的概念。
那么在域一级下就缺少一个安全结构，导致了难以授予管理的功能。2000在AD引入后，就允许区分任务，也可授予domain和OU相应的管理层次。

下面来谈一下具体的一些用户特权，应当有26个，也有说28个的。

SeTcbPrivilege
成为OS的一部分允许进程可以像用户一样被鉴别，因此可以像用户一样访问相应的资源。只有底层的鉴别服务需要这样的特权，所以无论是工作站，独立服务器，还是DC都没有把这个设为某人权利。
SeMachineAccountPrivilege
添加工作站到域 为了这个特权可以启用，必须保证这个用户在域控制器本地安全策略中的才行。

SeBackupPrivilege
备份文件和目录。
允许用户绕过文件和目录的权限来做备份。只有当应用程序尝试访问NTFS备份API时才检查这个特权。默认情况下，这个特权分配给Administrators和Backup Operators。

SeChangeNotifyPrivilege
回避遍历检查。
允许用户来回移动目录，但是不能列出文件夹的内容。默认情况下，这种特权被赋予Administrators,
Backup Operators, Power Users, Users ,and Everyone，换句话说就是所有人都有这种权利。

SeSystemTimePrivilege
改变系统时间。
默认情况下Administrators和Power Users有这种权利。

SeCreatePagefilePrivilege
创建分页文件。
允许用户创建和改变一个分页文件的大小。默认情况下，只有Administrators有这个特权。

SeCreateTokenPrivilege
创建令牌对象。
允许进程调用NtCreateToken()或者是其他的Token-Creating APIs创建一个访问令牌。

SeCreatePermanentPrivilege
创建永久共享对象。
允许进程在2000项目管理器中创建一个目录对象。

SeDebugPrivilege
调试程序。
允许用户连接一个Debugger来调试任何进程。默认情况下Administrators有该特权。

SeEnableDelegationPrivilege
为委派而信任计算机和用户帐户。
允许用户为了委派而改变信任，只有当用户或者是计算机对该对象的帐户控制标志有写权限的时候可以。

SeRemoteShutdownPrivilege
远程关闭系统。
Administrators在默认情况下有此特权。

SeAuditPrivilege
产生安全审核。
允许一个应用程序在安全日志中，创建，产生，增加一条记录。

SeIncreaseQuotaPrivilege
增加限额。
允许一个有写属性的进程利用其他进程从而取得更多的处理器限额，这种特权有利于系统调试，但是也有导致DOS的可能。

SeIncreaseBaseProrityPrivilege
增加调度优先级。允许一个有写属性的进程利用其它进程来获得更多的执行优先权。有这种特权的用户可以在Task管理器中改变一 个进程的调度优先权。默认情况Administrators有该特权。

SeLoadDriverPrivilege
安装和卸载设备驱动程序。
允许用户安装和卸载即插即用设备的驱动程序，不是即插即用的不受这个特权影响，但是只能被

Administrators所安装。因为驱动程序是作为被信任的程序来运行的，这需要很高的特权。而这种特权可能会被用于安装恶意程序，和破坏性的访问。默认情况下Administrators有该特权。

SeSecurityPrivilege
管理审计和安全日志。
允许用户指定对象访问的审计。有这种特权的用户也可以清空安全日志。默认情况下Administrators有该特权。

SeSystemEnvironmentPrivilege
修改firmware环境变量。
允许用户使用进程通过一个API来设置系统环境变量，另外，也可以让用户使用System Properties来做到以上这一步。默认情况下Administrators有该特权。

SeProfileSingleProcessPrivilege
Profile单一进程。
允许用户使用性能监视器来监视nonsystem进程。默认情况下Administrators有此特权。


SeSystemProfilePrivilege
Profile系统性能。
允许用户使用性能监视器来监视system进程。默认情况下Administrators有此特权。

SeUndockPrivilege
将计算机中dock中删除。
允许用户使用Eject PC从坞中将计算机移出，默认情况下Administrators, Power Users, Users均有此特

权。

SeAssignPrimaryTokenPrivilege
替换一个进程级令牌。
允许一个父进程替换相关的子进程的访问令牌。

SeRestorePrivilege
恢复文件和目录。
允许用户绕过文件及目录权限来恢复备份文件。默认情况下Administrators和Backup Operators有此特权。

SeShutdownPrivilege
关闭系统。
允许用户关闭本地计算机。默认情况下Administrators, Backup Operators, Power Users, Users都有

该特权，但是在2000 Server中Users没有此特权。

SeSynchAgentPrivilege
同步目录服务数据。
允许一个进程提供目录同步服务，这个特权只有在DC上。默认情况下域的Administrators和LocalSystem帐户

有此特权。

SeTakeOwnershipPrivilege
取得文件所有者身份。
允许用户取得在系统中任何可得到的对象的所有者身份，包括：AD对象，文件，文件夹，打印机，注册表键，进

程和线程。默认情况下Administrator有此特权。

以上就是2000的用户特权了，是不是很多呢？呵呵！

29. Sleep.exe （Batch File Wait）

Sleep可以让计算机等待一段指定的时间。这个东东对于使用Batch文件会非常有用，在某些情况下也可能会让AT命令的使用更加方便。

Sleep time

time
要暂停的时间，秒为单位。

sleep 20
在运行下一个程序之前等待20s。

假设我们搞这么一个登陆脚本到计算机上，我想是个不错的主意。

@echo off

echo 2／23／2002
echo.
echo 不要忘了明天女朋友生日哦！！呵呵！

sleep 60

30. Soon.exe （Near-Future Command Scheduler)

soon这个命令可以让一个程序在很短的时间里面启动，比如几秒钟之内。基本上soon就是一个AT的装配命令，可以简单的装配一组合适AT命令来远程或者是本地启动一个程序。当然soon使用起来要比AT简单的多，自然功能也要少一些了。当然soon可以让一个命令在小于一天的时间内重复启动，这一点还是很有用的。下面介绍一下

如何使用。

soon有两种命令，一是普通的操作命令，还有就是配置命令。

1. Scheduling Command
soon \\computername delay /interactive "command"

\\computername
指定你要的计算机，远程使用时要net use。

delay
指定从现在开始到启动程序的间隔，以秒为单位，默认情况下是本地5s,远程15s。

/interactive
这个和AT命令里面的interactive是一样的。基本上可以看作是如果你打开一个cmd窗口，它会在桌面上跳出来。默认是off的。只有当Schedule服务以LocalSystem身份启动时才可以Interactive。

command
你想要执行的命令，这里用双引号来维持命令解释时候的空格。

2. Configuration Command

soon /d /l:n /r:n /i: on│off

/d
用这个开关来修改默认配置

/l:n
指定LocalDelay的值。

/r:n
指定RemoteDelay的值。 注意，这些值都是正整数，而且以秒为单位。

/in│off
指定默认情况下是interactive还是uninteractive。

如果你想每5分钟启动一次一个程序可以写一个这样的脚本。

every5.cmd
soon 300 every5.cmd
xxxx.exe

对于远程启动时，使用AT命令不能成功的原因多数是因为AT命令需要指定绝对时间，如果不能搞得太清楚的话，我建议你们使用soon命令，在大部分情况下大家需要AT的功能，soon都可以完成，而且很快。基本上srv.exe 这样的后门都可以用soon来做。 另外不得不提一点，不知道是我的机器的关系还是这个程序本身的bug，很多情况下soon产生的schedule居然会是tomorrow，这个有点让人搞不懂。大家可以多试试。

31. Srvany.exe （Applications as Services Utility）

Srvany一个可以让Windows应用程序像一个服务那样运行。也就是说在logoff的时候不关闭，也不用在logon
的时候重新启动。也就是就算是没有人登陆这个程序也可以运行，当然计算机得是开着的，呵呵！此外，如果这个应用程序不忽略WM_ENDSESSION或者CTRL_LOGOFF_EVENT时，程序也会因为logoff而退出。srvany是一个为32-bit应用程序设计的，但是用用16-bit也应该没有多大问题。如果你安装过srvany服务的话，在升级或安装Windows 2000, Windows NT Server, Windows NT Workstation, or applications 时要先disabled。实际上srvany本身就是一个服务，它先把自己启动起来，然后又在启动那些配置过的应用程序。就我个人开来这种方法很费力，比起instsrv和srvinstw来说都比较难以使用，最关键的是还要手工添加注册表。下面也就说一下怎么样让一个应用程序像一个服务那样运行。首先我们要安装Srvany，可以使用instsrv Myservice c:\path\srvany.exe或者srvinstw照提示做就可以了。这个是必要的，我们需要Srvany来启动程序。当然为了让程序像服务一样运行，我们需要编辑注册表信息，而且还要选择启动参数和工作目录。这里再次提醒手工操作注册标有危险性，注意备份。

我们只要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MyService\下
添加一个Parameters子键，这里的MyService是刚刚指定的Srvany的服务名字。
然后再这个subkey底下建立一个应用程序入口，使用REG_SZ类型。
接着在指定程序的全路径，需要包括扩展名。比如Application: REG_SZ: C:\Tools\srv.exe

为了指定相应的启动参数我们还得继续编辑注册表。
这个时候要在刚刚的Parameters底下接着创建一个AppParameters条目，+GtwCb\))X也是REG_SZ类型。
比如：AppParameters: REG_SZ: C:\tmp\example，当然因为srvany已经被安装为一个服务了，你也可以
在Services面板里指定。C:\Tools\srv.exe C:\\temp\example。注意，这里使用\\来表示一个\。
再来就是指定环境变量了。
添加一个AppEnvironment，REG_MULTI_SZ类型。这个东西就是Services面板里面的Dependencies这一项。 可以根据需要指定，没有就不需要添加。 还要指定Working Directory。
也是在Parameters里面建立一个AppDirectory使用REG_SZ。比如：AppDirectory: REG_SZ: C:\Tmp
当然也可以在Services里面 /D c:\\tmp D:\\Tools\\Vi.exe c:\\tmp\\example。

一个srvany可以启动一个应用程序，如果你要用srvany而且是多个程序的话，只要采用不同的servicename启 动一个srvany就可以了。如果要删除可以使用instsrv myservice remove，也可以用sc。
大家可以通过调整以下这几个注册表项来为提供相应的访问。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters\NullSessionShares

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters\NullSessionPipes

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters\RestrictNullSessAccess

32. Srinstw.exe (Service Installation Wizard)
这个安装服务的工具前面就已经提到过了，+网育iRyw98K而且又是GUI工具，使用起来都照着提示做就可以了，这里就不再多说什么，只是注意卸载服务的时候不要把系统重要的服务赶掉就好了。

33. Svcacls.exe （service ACL Editor）

很可惜在这个版本的Reskit里面缺少了这个程序，非常遗憾不能对它进行测试。

Svcacls是一个可以用来设置服务对象的ACL的命令行工具，基本上就是为了方便administrator进行委派控制而设立的。使用这个工具我们需要administrator特权，当然这个东西也是可以进行委派的。这里就提醒一点，不要删除任何服务的adminstrators和system许可，不然的话，你可能就要从装系统来恢复控制了。

svcacls \\targetcomputer\Service Option

\\targetcomputer\Service
这个不用说了。

Option有以下几种

G(grant): trustee: Permissions 增加许可。
S(Set): trustee: Permissions 重置许可。
R(Revoke): trustee: 删除被赋予的explicit permissions。
D(deny): trustee: 拒绝访问。注意，v垠ui6TONl网v3Kp8&使用这个命令的时候要很小心，一旦你用了D:everyone，连

administrators都没有权限来访问这个服务了。

你可以在一行里面使用这些命令。比如： r:username g:uername:riu。

trustee
你要指定的用户。

permissions
相应的权限。

有Specific许可和generic许可两种。

Specific permissions:

Q: Query Service Configuration (SERVICE_QUERY_CONFIG)
S: Query Service Status (SERVICE_QUERY_STATUS)
E: Enumerate Dependent Services (SERVICE_ENUMERATE_DEPENDENTS)
C: Change Service Configuration (SERVICE_CHANGE_CONFIG)
T: Start Service (SERVICE_START)
O: Stop Service (SERVICE_STOP)
P: Pause/Continue Service (SERVICE_PAUSE_CONTINUE)
I: Interrogate Service with ControlService() (SERVICE_INTERROGATE)
U: Allow User-Defined Control Commands (SERVICE_USER_DEFINED_CONTROL)

Generic permissions:

F: Full Control (SERVICE_ALL_ACCESS = QSECTOPIU)
R: Generic Read (GENERIC_READ = QSE)
W: Generic Write (GENERIC_WRITE = C)
X: Generic Execute (GENERIC_EXECUTE = TOPIU)

这个工具为我们提供了一种安全性的选择，b,XI*CWW的MhQyX禁止对某些服务的访问，可以避免一些攻击的发生。