您的位置:68399皇家赌场 > 集群主机 > C#中级-通过注册表读取Windows Service程序试行路线

C#中级-通过注册表读取Windows Service程序试行路线

发布时间:2019-05-09 05:52编辑:集群主机浏览(80)

    一、前言

    皇家赌场,C#高级中学级-通过注册表读取Windows Service程序实践路线,

    一、前言

           假诺大家的C#斩草除根方案中有多个程序选用,如:Web应用、调控台程序、WPF程序行使和Windows服务应用。

            那么那个非Windows Service应用程序怎么在代码中找到Windows服务应用的实践路线呢?

     

    二、正文

           假若该Windows 服务业已起步,名为SocketService。

            Step壹: 你要反省本地运营的Windows服务中是否有叫SocketService的劳务;

            Step二: 读取注册表,在地头运营的Windows服务都会出现在注册表中,我们因此服务名称找到该注册表音信;

            Step叁: 读取注册表信息的ImagePath就能够获取该Windows服务的推行路线。

    using System.ServiceProcess; //需要添加引用
    
    public static string GetFilePathFromService(string serviceName)
    {
          try
          {
              ServiceController[] services = ServiceController.GetServices();
              var socketService = services.FirstOrDefault(x => String.Equals(x.ServiceName, "SocketService"));
              if (socketService != null)
              {
                  var key = Registry.LocalMachine.OpenSubKey(@"SYSTEMCurrentControlSetServices"   serviceName);
                  if (key != null)
                  {
                       var serviceExePath = GetString(key.GetValue("ImagePath").ToString());
                       var folderPath = Path.GetDirectoryName(serviceExePath);
                       if (!String.IsNullOrEmpty(folderPath) && Directory.Exists(folderPath))
                       {
                            return folderPath;
                       }                    
                  }
              }
           }
           catch(Exception ex)
           {
                return null;
           }
           return null;
    }
    

     

    三、结尾

           方今稍微忙,Webgl前面三章推测要拖更了。。。难堪。

    Service程序试行路线, 1、前言 尽管大家的C#涸泽而渔方案中有三个程序接纳,如:Web应用、调控台程序、WPF程序应...

    2.      MUICache

    当3个文本通过Windows Explorer(财富管理器)运转,程序Shell会在MUICache中开创二个入口。Windows使用MUICache来存款和储蓄应用程序名以及其它相关新闻,获取来的音信根本囤积在底下的注册表键中:

     

    HKCUSoftwareMicrosoftWindowsShellNoRoamMUICache(for XP, 2000, 2003)
    HKCUSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellMuiCache(for Vista, 7, 2008)
    

     

    有关MUICache的越来越多内容,请参照他事他说加以考察windowsir的【那篇文章】。

            Step三: 读取注册表消息的ImagePath就可以获得该Windows服务的试行路线。

    文件成效

    另1种推断文件是还是不是运转过的艺术就是探究质疑的输出文件。当你在分析二个黑心文件时,它是还是不是会创建任何的数额吧?譬如说,要是您意识的这些恶意文件是一个键盘记录器,然后你又在系统中开采了键盘记录文件,则表达攻击者已经实践过这一个keylogger了。要是恶意软件能够与一定的域名实行链接,那么浏览器的历史记录中势必也会记录下相关域名。下表中显示的是大家在浏览器历史纪录中捕捉到的样本,那几个后门样本使用了二种简报机制:

    皇家赌场 1

    想要剖断恶意文件是还是不是实行过,大家得以解析文件的职能并在磁盘中找找对应功能的运转结果/证据。深入分析恶意软件的功用不只有能够帮忙大家询问攻击者的遐思和最后指标,而且还有一点都不小希望帮大家找寻别样相关的黑心文件。

    皇家赌场 2

    注:假如你在大团结的体系中窥见了恶意的可奉行文件,别忘了先将目前系统内部存款和储蓄器中的数目导出,你能够接纳MandiantRedline服务捕捉并深入分析内部存款和储蓄器数据。

           近些日子不怎么忙,Webgl前面三章猜度要拖更了。。。难堪。

    很不幸,你在协和的管理器里开掘了1个恶意的可实践程序!那么难点来了:这些文件到底有未有执行过?

            那么这么些非Windows Service应用程序怎么在代码中找到Windows服务应用的实践路线呢?

    注册表

    毋庸置疑,Windows注册表可是三个伟大的“宝藏”,注册表能够算是Windows系统能够健康运作的木本了。尽管注册表非常“变得庞大”,但是大家接下去提交的表单却并不曾那么复杂。因为假若要规定1个文本是或不是进行过,大家只须要检查多少个关键的注册表键就可以:

     

    在那篇小说中,我们会将注意力放在Windows操作系统的静态取证剖析之上,并跟我们争辩一些可见帮助您答应上边1贰分标题标措施以及证据源,个中涉嫌到的四大首要的证据源包含Windows Prefetch、注册表、日志文件以及文件音讯。

    本文由68399皇家赌场发布于集群主机,转载请注明出处:C#中级-通过注册表读取Windows Service程序试行路线

    关键词: 68399皇家赌场 网络安全

上一篇:Python中的图像管理

下一篇:没有了