黑客利用系統(tǒng)合法工具服務(wù)開(kāi)啟入侵后門(mén)
黑客在入侵系統(tǒng)時(shí),會(huì)利用一些操作系統(tǒng)自帶的工具,啟動(dòng)系統(tǒng)服務(wù)為入侵留下后門(mén),繞過(guò)安全軟件的檢測(cè)。
rcmdsvc.exe是Windows 2000 Resource Kit中的一個(gè)小工具,是用來(lái)開(kāi)啟Remote Command Service服務(wù)的。這個(gè)服務(wù)開(kāi)啟的端口是445,與Windows 2000系統(tǒng)的Microsoft-DS服務(wù)開(kāi)的端口一樣。因?yàn)槭荕icrosoft發(fā)布的服務(wù),所以根本沒(méi)有殺毒軟件會(huì)認(rèn)為這是病毒或者木馬,因此不少入侵者都把這個(gè)服務(wù)作為入侵后的后門(mén)使用。
下面將從入侵者的角度講一下這個(gè)服務(wù)的安裝、使用方法以及如何偽裝成另外一個(gè)服務(wù),從而讓大家知道該如何防范。
安裝
假設(shè)服務(wù)器被入侵后,入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盤(pán)根目錄下,在cmd窗口里輸入:rcmdsvc -install,回車(chē)后,即可看到Remote Command Service服務(wù)安裝成功的提示,
這時(shí)在“控制面板”→“管理工具”→“服務(wù)”里,就可以看到這個(gè)服務(wù)了,如圖1所示。
 |
| 圖1 |
從圖1可以看到該服務(wù)并沒(méi)有啟動(dòng),還需要我們來(lái)啟動(dòng)該服務(wù),可以使用系統(tǒng)自帶的net命令,在cmd窗口里輸入:net start rcmdsvc,回車(chē),我們可以看到Remote Command Service服務(wù)開(kāi)始啟動(dòng)和成功。
使用方法
下面我們就可以用Windows 2000 Resource Kit中的rcmd.exe小工具進(jìn)行遠(yuǎn)程連接了,并且連接后擁有管理員權(quán)限,可以添加管理員用戶(hù),如圖2所示。
 |
| 圖2 |
偽裝
下面該sc.exe(Service Control的縮寫(xiě))出場(chǎng)了,這個(gè)工具是在命令行方式下管理系統(tǒng)中的服務(wù)的,在Windows 2000 Resource Kit或者Windows XP中都可以找到該工具。來(lái)看一下sc.exe是如何把Remote Command Service服務(wù)偽裝成Messenger這個(gè)服務(wù)的。
1.刪除Messenger服務(wù)。在cmd窗口里輸入:sc delete Messenger,回車(chē),可以看到命令完成。
2.把Remote Command Service服務(wù)改名為Messenger,在進(jìn)行這步前,需要重新啟動(dòng)一下。在cmd窗口里輸入:sc config rcmdsvc DisplayName= Messenger,回車(chē),可以看到命令完成。這時(shí)候我們到“控制面板”→“管理工具”→“服務(wù)”里,就可以看到Remote Command Service服務(wù)名變成了Messenger。
但是“描述”的內(nèi)容為空。為了使這個(gè)服務(wù)看起來(lái)更“合法”,我們把Messenger的“描述”也加上,在cmd窗口里輸入:sc description rcmdsvc 發(fā)送和接收系統(tǒng)管理員或者“警報(bào)器”服務(wù)傳遞的消息。我們到“服務(wù)”里就可以看到rcmdsvc的“描述”被加上了Messenger的描述。只不過(guò)服務(wù)名稱(chēng)還是rcmdsvc。
3.再重新用net start命令啟動(dòng)一下rcmdsvc服務(wù),就可以用rcmd.exe進(jìn)行連接了。
為了避免電腦被入侵,把不需要的服務(wù)都關(guān)閉掉,經(jīng)常檢查一下開(kāi)啟的服務(wù)和端口,如果您經(jīng)過(guò)檢查發(fā)現(xiàn)您的電腦有rcmdsvc服務(wù),或者該服務(wù)被偽裝成了別的服務(wù),那就要小心了,說(shuō)明電腦很可能被入侵了,并被別人安裝上了殺毒軟件無(wú)法查出的“合法”后門(mén)。
【編輯推薦】
