xdoor启动方式

安装方法

不管是DLL还是EXE客户端，最终都是通过RUNDLL32.EXE调用DLL本身内封装的不同的安装函数实现安装。

并生成xinstall.dll为安装日志的输出文件。可在生成客户端的时候决定是否输出该记录到该文件.

[注意，下面所有的安装命令对大小写敏感。切记！]

　

1.创建新的服务，调用SVCHOST.EXE加载

安装命令：

rundll32.exe xxx.dll,InstallSA 要添加的服务名称.

安装说明：

如果没有指定服务名，默认将安装新的Irmon服务。要安装的服务名，

必须是HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Svchost下

netsvcs值里存在且没有创建的服务名。如图：

服务安装添加后，通过启动服务的方式加载客户端DLL到netsvc这个组所属的svchost.exe进程中去。

特点：

1.创建一个标准的微软认证的系统服务，具有很好的可安装性和适应性。

2.333版本以后，利用多种技术手段，使得宿主服务实现了最隐蔽方式的"启动类型"和"运行状态"。

  同时接受管理员的"正确"设置并显示出对应的正常响应,而且X-DOOR仍然工作正常。

　

　

　

2.替换原有的服务，调用SVCHOST.EXE加载

安装命令：

rundll32.exe xxx.dll,InstallSB 要替换的服务名称

安装说明：

如果没有指定服务名，默认将替换Ntmssvc服务。

如果原有的DLL仍处于加载运行状态下，通过替换该服务的ServiceDll来实现服务替换。

替换后服务后，再通过线程插入的方式加载客户端DLL到进程中。如果原有的DLL未处于加载运行状态下，

通过直接替换该DLL文件来实现服务替换。替换后，通过直接启动该服务来加载客户端DLL。

强烈建议，替换未运行的服务，而不是已经处于运行状态的服务。

特点：

相对比创建新服务的安装方式更具有隐藏性，同时又保留了其特点。

 

　

　

3.随机安装未安装的新服务，调用SVCHOST.EXE加载

安装命令：

rundll32.exe xxx.dll,InstallRSA

安装说明：

自动收集系统中未安装的由svchost.exe加载的并属于netsvc组的服务。并随机从中选择一个的服务进行安装。

服务安装添加后，通过启动服务的方式加载客户端DLL到netsvc这个组所属的svchost.exe进程中去。

特点：

相对比创建新服务的安装方式更具有随机性，同时又保留了其特点。

　

　

4.随机替换原有的未启动的服务，调用SVCHOST.EXE加载

安装命令：

rundll32.exe xxx.dll,InstallRSB

安装说明：

自动收集系统中未启动的由svchost.exe加载的并属于netsvc组的服务。并随机从中选择一个服务进行替换。

通过直接替换该DLL文件来实现服务替换。替换后，直接同过直接启动该服务来加载客户端DLL。

特点：

相对创建新服务和替换原服务的安装比方式具有更强的随机性和过主动防御的特性。

　

　

5.PE文件IAT表感染加载 

安装命令：

rundll32.exe xxx.dll,InstallPE 要感染的PE文件 [quiet/reboot]

安装说明：

如果没有指定EXE文件名，默认感染conime.exe。

感染后，默认通过线程插入的方式加载客户端DLL到被感染的进程。

而下次机器重新启动后，该DLL就成为该进程必需的DLL而随之启动。

也可以通过指定以下两个不同的附加参数来实现特定的安装方式：

quite:   安静模式，感染完毕后，不执行线程插入。只有重启计算机后才会生效。

reboot: 重启模式，感染完毕后，不执行线程插入。直接重启计算机。

可感染绝大部分的WINDOWS系统级进程和用户级进程。但不是所有的EXE都有足够的IAT剩余空间来提供修改。

修改成功后文件大小不变,并可绕开WINDOWS的文件保护和WINXP（SP2）/WIN2003(SP1) 的文件执行保护。

但各OS的情况并不相同,需要区别对待.且某些系统进程虽然可以感染成功,但是可能导致系统无法正常启动进入。

如:smss.exe csrss.exe（切记!）

已知系统进程感染情况表:

[WIN2K]

lsass.exe termsrv.exe conime.exe spoolsv.exe ....

[WINXP（sp2）]

services.exe lsass.exe spoolsv.exe conime.exe ....

[WIN2003（sp1）]

services.exe wins.exe snmp.exe conime.exe ....

　

特点：

病毒加载技术，具有超强的隐蔽性和过主动防御的特性。

　

　

　

6.线程注入法(主要用于测试)

安装命令：

rundll32.exe xxx.dll,InstallRT 要注入的进程名称

安装说明：

该方法主要用于测试和辅助目的，通过线程插入方式临时加载客户端DLL到目标进程中。

特点:

系统重启后或宿主进程结束后，客户端DLL将被释放。

 

　

　

　

卸载方法

1-6对应了以上的安装方法的卸载方法，除方法6外，其他卸载方法都需要重新启动系统才能生效。

同时，由于方法6的客户端DLL强制卸载的不稳定性，容易导致进程或系统崩溃，不建议使用。

　

1.

rundll32.exe xxx.dll,UnintallSA 要删除的服务

　

2.

rundll32.exe xxx.dll,UnintallSB 要修复的服务

　

3.

rundll32.exe xxx.dll,UnintallRSA

　

4.

rundll32.exe xxx.dll,UnintallRSB

　

5.

rundll32.exe xxx.dll,UninstallPE 要修复的被感染EXE文件（或DLL文件）

　

6.

rundll32.exe xxx.dll,UnintallRT 要卸载客户端DLL的进程

　

7.

版本331以后，增加了在控制端对被控端进行智能判断并直接卸载的功能。建议直接在控制端使用该功能进行卸载。

[卸载后，被控端自动下线。但必须重起才能彻底生效，在重起前，不要使用相同的安装方式重复安装！]