入侵远程电脑、聪明的黑客利用系统自带的一些小工具来开启后门并绕过安全软件的检测,譬如Rcmdsvc.exe这个Windows 2000 Resource Kit中的小工具,它可以开启系统中的Remote Command Service服务(远程命令服务)。因为这是微软发布的一项系统服务,根本没有杀毒软件会认为它是病毒或木马,所以不少黑客都喜欢把它作为入侵后的后门使用。
安装与控制
入侵远程电脑后,黑客常常会先把需要用到的一些工具(如Rcmdsvc.exe)上并放到远程电脑的C盘根目录下。然后,在Shell窗口里输入命令rcmdsvc -install并回车,即刻录出Remote Command Service服务安装成功的提示,这时在控制面板/管理工具/服务中,就可以看到这项新安装的系统服务了。
黑客小常识
Windows系统自带的命令提示符窗口,在黑客本机中的叫CMD窗口,在远程电脑中的叫Shell窗口。
但是该服务并没有处于启动状态,所以还需要手工启动才行。使用系统自带的Net命令,在Shell窗口里输入Net Start Rcmdsvc并回车,Remote Command Service服务就启动了。
现在,就可以用Windows 2000 Resource Kit中的Rcmd.exe小工具进行远程连接了!连接成功后,黑客就可以拥有管理员的权限,从而任意地控制操作远程电脑了。因为这个后门是正常的系统服务,所以杀毒不会管。
服务伪装
Remote Cmmand Service服务的开启和使用,难免会被细心的用户发现,所以有必要对它进行伪装。现在该sc.cec(Service Control的缩写)出场了!这个工具在Windows 2000 Resource Kit和Windows Xp中都可以看到,它可以管理系统中的服务。下面,我们就来看看sc.exe是如何时把Remote Command Service服务伪装成Messenger服务(即信使服务)的。
首先,在Shell窗口里输入命令sc deltet messenger并回车,这样就删除了Messenger服务。然后,重新主避动远程电脑。最后,在Shell窗口里输入命令Sc config rcmdsvc DisplyName=Messenger并回车,这样Remote Command Service服务就改名为Messenger了。
此时Messenger服务的描述内容为空,为了使它看起来更真实,要把原Messenger服务的描述信息加进来。在Shell窗口里输入命令Sc Description rcmdsvc发送和接收系统管理员或者警报器服务传递的消息并回车,再用Net Start命令重启一下Messenger服务,这样就完成了Remote Command Service服务的伪装
系统防范
为了避免我们自己的电脑中出现以上的入侵后门,可以把不需要的服务都关闭掉,并经常检查已开启的服务和端口。如果发现自己的电脑中启用了Remote Command Services服务,或者该服务用的是别的服务名,那就要小心了,很有可能就是被别人安装了连杀毒软件都无法查出的合法后门,赶紧删除它,并升级网络防火墙,防范黑客通守网络入侵破坏。
[ 此帖被风晨在2009-12-27 10:33重新编辑 ]
微博帐号登录