前幾天下了個鴿子來研究下注冊成系統服務的方法（我不用鴿子），發現它是用rundll32導入一個inf來實現的，這個應該是加了注冊表鎖（禁用reg腳本，禁用regedit）都有效的吧？ 例子如下： 增加一個服務： [Version] Signature=$WINDOWS NT$ [DefaultInstall.Services] AddService=inetsvr,,My_AddService_Name [My_AddService_Name] DisplayName=Windows Internet Service Description=提供對 Internet 信息服務管理的支持。 ServiceType=0x10 StartType=2 ErrorControl=0 ServiceBinary=%11%inetsvr.exe 保存為inetsvr.inf，然后： rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:pathinetsvr.inf 這個例子增加一個名為inetsvr的服務（是不是很像系統自帶的服務，呵呵）。

　　幾點說明： 1，最后四項分別是 服務類型：0x10為獨立進程服務，0x20為共享進程服務（比如svchost）； 啟動類型：0 系統引導時加載，1 OS初始化時加載，2 由SCM（服務控制管理器）自動啟動，3 手動啟動，4 禁用。 （注意，0和1只能用于驅動程序）

　　錯誤控制：0 忽略，1 繼續并警告，2 切換到LastKnownGood的設置，3 藍屏。 服務程序位置：%11%表示system32目錄，%10%表示系統目錄(WINNT或Windows)，%12%為驅動目錄system32drivers。其他取值參見DDK。你也可以不用變量，直接使用全路徑。 這四項是必須要有的。 2，除例子中的六個項目，還有LoadOrderGroup、Dependencies等。不常用所以不介紹了。 3，inetsvr后面有兩個逗號，因為中間省略了一個不常用的參數flags。 刪除一個服務： [Version] Signature=$WINDOWS NT$ [DefaultInstall.Services] DelService=inetsvr 很簡單，不是嗎？ 當然，你也可以通過導入注冊表達到目的。

　　但inf自有其優勢。 1，導出一個系統自帶服務的注冊表項，你會發現其執行路徑是這樣的： ImagePath=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00, 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,74, 00,6c,00,6e,00,74,00,73,00,76,00,72,00,2e,00,65,00,78,00,65,00,00,00 可讀性太差。其實它就是%SystemRoot%system32 lntsvr.exe，但數據類型是REG_EXPAND_SZ。當手動導入注冊表以增加服務時，這樣定義ImagePath顯然很不方便。而使用inf文件就完全沒有這個問題，ServiceBinary（即ImagePath）自動成為REG_EXPAND_SZ。 2，最關鍵的是，和用SC等工具一樣，inf文件的效果是即時起效的，而導入reg后必須重啟才有效。 3，inf文件會自動為服務的注冊表項添加一個Security子鍵，使它看起來更像系統自帶的服務。

　　另外，AddService和DelService以及AddReg、DelReg可以同時且重復使用。即可以同時增加和刪除多個服務和注冊表項。 我就是這樣手工把黑洞注冊成服務了，呵呵。 安靜的補充： 不錯... 我是用把黑洞感染進別的服務文件以達到以服務方式啟動的.... 特點是隱蔽性好!~..還有點自我保護功能呵呵..就算他刪了.重新啟動又會再生成 由于是感染進去的所以不會影響原文件:) (e129)