熱點推薦:
您现在的位置: 電腦知識網 >> 安全防毒 >> 正文

略施小計 識別在系統服務中的間諜

2022-06-13   來源: 安全防毒 
當黑客入侵一台主機後為了不讓這台肉雞飛掉經常會采用的手段是在肉雞上種下木馬而木馬一般都會在啟動項或者注冊表中動手腳以跟隨系統一同啟動但這樣做卻很容易暴露自己因此黑客就想出了更為陰險的辦法那就是將一個正常的系統服務替換為木馬服務由於新手一般不會深入地對系統服務進行檢查這就可能導致主機被長期控制本文我們將深入了解這種技術教會大家找出隱藏在其中的木馬服務

  在Windows /XP/系統中服務是指執行指定系統功能的程序例程或進程以便支持其他程序尤其是低層(接近硬件)程序通過網絡提供服務時服務可以在Active Directory(活動目錄)中發布從而促進了以服務為中心的管理和使用

  因此木馬如果用服務來啟動不僅會很隱蔽而且更為穩定和安全雖然有些木馬默認就以服務的方式啟動但是多一項服務會增加暴露的概率因此替換系統本身就有的服務就成了木馬隱蔽的最好的選擇

  說到替換服務就不得不提到SC這款工具這是一款著名的服務管理工具幾乎可以完成對服務的所有操作正因為其功能的強大因此也成為了黑客的最愛用它來替換系統的服務簡直就是小菜一碟

  尋找目標服務

  替換服務首先就是要找到一個目標服務這個服務一定要是用戶不太會用到的服務這樣在替換服務後才不至於導致系統出現問題類似的服務有ClipBook剪切板查看器相信很少有人會用到;Event Log日志記錄服務同樣也很少有人會去查看系統的日志除此之外還有很多服務都是我們所不需要的這些就黑客替換服務的目標

  設置服務的啟動方式

  找到目標服務後就可以動手了以ClipBook服務為例命令提示符中運行SC輸入命令SC qc ClipSrv其中ClipSrv是服務名回車後即可查看該服務的信息START_TYPE一欄中的參數為DEMAND_START即表示服務的啟動方式為手動如果要讓木馬隨系統啟動這裡當然不能是手動因此我們來把它改為自動輸入命令sc config clipsrv start= auto回車後服務就被設為自動啟動

  替換可執行文件路徑

  從sc的qc命令中我們可以得知ClipBook服務的可執行文件路徑為C:windowssystemclipsrvexe我們將木馬文件放置於c:windowssystem目錄這樣做的目的是為了增加木馬文件的隱蔽性返回命令提示符中輸入命令sc config clipsrv binpath= c:winntsystemmumaexe回車後ClipBook服務的可執行文件就被我們換成了mumaexe我們可以再次使用qc命令進行確認至此系統服務的替換就完成了

  揪出被替換的系統服務

  如果你對服務不是很了解並不代表就對黑客所替換的系統服務無能為力借助一些安全工具我們還是可以將被替換的服務找出來的查找被替換的服務我們可以借助超級巡警這款安全工具安裝後運行其主文件然後點擊工具欄上的高級按鈕接著切換到服務管理標簽如果系統中有服務被替換在這裡會以黃色的條目標出哪些服務有問題一眼便知找出被替換的服務後右鍵點擊選擇編輯服務將可執行文件的路徑改回來即可最後別忘了將藏在系統中的木馬程序刪除
From:http://tw.wingwit.com/Article/Security/201405/30927.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.