vbscript之通過對比注冊表查找隱藏的服務
來源:易賢網(wǎng) 閱讀:916 次 日期:2016-06-29 09:25:15
溫馨提示:易賢網(wǎng)小編為您整理了“vbscript之通過對比注冊表查找隱藏的服務”,方便廣大網(wǎng)友查閱!

系統(tǒng)服務有可能被 rootkit 隱藏,但有些時候我們仍可以從注冊表中找到相關的信息。建議以管理員權限運行,否則有些服務列舉不出來或出現(xiàn)錯誤的提示

效果圖:

代碼(checksvr.vbs):

代碼如下:

'on error resume next

const hkey_local_machine = &h80000002

set oreg=getobject(winmgmts:{impersonationlevel=impersonate}!\\.\root\default:stdregprov)

strkeypath = system\currentcontrolset\services

oreg.enumkey hkey_local_machine, strkeypath, arrsubkeys

wscript.echo checking, please wait ...

wscript.echo

for each subkey in arrsubkeys

oreg.getstringvalue hkey_local_machine, strkeypath & \\ & subkey, objectname, strvalue

if not (strvalue = ) then

'判斷服務, 利用數(shù)組來比較不知道會不會快些?

if not (checksvr(subkey)) then

wscript.echo subkey & formatouttab(subkey) & strvalue & formatouttab(strvalue) & [ hidden ]

else

wscript.echo subkey & formatouttab(subkey) & strvalue & formatouttab(strvalue) & [ ok ]

end if

end if

next

wscript.echo

wscript.echo all done.

wscript.quit (0)

function checksvr(strname)

set owmi = getobject(winmgmts: & {impersonationlevel=impersonate}!\\.\root\cimv2)

set cservice = owmi.execquery(select * from win32_service where name=' & strname & ')

if (cservice.count <> 0) then

checksvr = true

else

checksvr = false

end if

end function

function formatouttab(strname)

strlen = len(strname)

select case true

case strlen < 8

formatouttab = vbtab & vbtab & vbtab & vbtab & vbtab

case strlen < 16

formatouttab = vbtab & vbtab & vbtab & vbtab

case strlen < 24

formatouttab = vbtab & vbtab & vbtab

case strlen < 32

formatouttab = vbtab & vbtab

case strlen < 40

formatouttab = vbtab

case else

formatouttab = vbtab

end select

end function

利用字典,速度要快很多:

復制代碼 代碼如下:

dim odic, oreg, owmi, arrservices

const hkey_local_machine = &h80000002

wscript.echo [*] checking, please wait ...

wscript.echo

set odic = createobject(scripting.dictionary)

set owmi = getobject(winmgmts: & {impersonationlevel=impersonate}!\\.\root\cimv2)

set arrservices = owmi.execquery(select * from win32_service)

for each strservice in arrservices

odic.add strservice.name, strservice.name

next

set oreg = getobject(winmgmts:{impersonationlevel=impersonate}!\\.\root\default:stdregprov)

strkeypath = system\currentcontrolset\services

oreg.enumkey hkey_local_machine, strkeypath, arrsubkeys

for each subkey in arrsubkeys

oreg.getstringvalue hkey_local_machine, strkeypath & \\ & subkey, objectname, strvalue

if not (strvalue = ) then

if odic.exists(subkey) then

wscript.echo subkey & formatouttab(subkey) & strvalue & formatouttab(strvalue) & [ ok ]

else

wscript.echo subkey & formatouttab(subkey) & strvalue & formatouttab(strvalue) & [ hidden ]

end if

end if

next

odic.removeall

wscript.echo

wscript.echo [*] all done.

wscript.quit (0)

function formatouttab(strname)

strlen = len(strname)

select case true

case strlen < 8

formatouttab = vbtab & vbtab & vbtab & vbtab

case strlen < 16

formatouttab = vbtab & vbtab & vbtab

case strlen < 24

formatouttab = vbtab & vbtab

case strlen < 32

formatouttab = vbtab

case else

formatouttab = vbtab

end select

end function

更多信息請查看腳本欄目
下一篇:javascript驗證ip
易賢網(wǎng)手機網(wǎng)站地址:vbscript之通過對比注冊表查找隱藏的服務

2025國考·省考課程試聽報名

  • 報班類型
  • 姓名
  • 手機號
  • 驗證碼
關于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡要咨詢 | 簡要咨詢須知 | 加入群交流 | 手機站點 | 投訴建議
工業(yè)和信息化部備案號:滇ICP備2023014141號-1 云南省教育廳備案號:云教ICP備0901021 滇公網(wǎng)安備53010202001879號 人力資源服務許可證:(云)人服證字(2023)第0102001523號
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關注公眾號:hfpxwx
咨詢QQ:526150442(9:00—18:00)版權所有:易賢網(wǎng)