當黑客入侵一台主機後
為了不讓這台肉雞飛掉
經常會采用的手段是在肉雞上種下木馬
而木馬一般都會在啟動項或者注冊表中動手腳
以跟隨系統一同啟動
但這樣做卻很容易暴露自己
因此
黑客就想出了更為陰險的辦法
那就是將一個正常的系統服務替換為木馬服務
由於新手一般不會深入地對系統服務進行檢查
這就可能導致主機被長期控制
本文我們將深入了解這種技術
教會大家找出隱藏在其中的木馬服務
在Windows
/XP/
系統中
服務是指執行指定系統功能的程序
例程或進程
以便支持其他程序
尤其是低層(接近硬件)程序
通過網絡提供服務時
服務可以在Active Directory(活動目錄)中發布
從而促進了以服務為中心的管理和使用
因此木馬如果用服務來啟動
不僅會很隱蔽
而且更為穩定和安全
雖然有些木馬默認就以服務的方式啟動
但是多一項服務會增加暴露的概率
因此替換系統本身就有的服務就成了木馬隱蔽的最好的選擇
說到替換服務
就不得不提到SC這款工具
這是一款著名的服務管理工具
幾乎可以完成對服務的所有操作
正因為其功能的強大
因此也成為了黑客的最愛
用它來替換系統的服務簡直就是小菜一碟
尋找目標服務
替換服務首先就是要找到一個目標服務
這個服務一定要是用戶不太會用到的服務
這樣在替換服務後才不至於導致系統出現問題
類似的服務有
ClipBook
剪切板查看器
相信很少有人會用到;Event Log
日志記錄服務
同樣也很少有人會去查看系統的日志
除此之外還有很多服務都是我們所不需要的
這些就黑客替換服務的目標
設置服務的啟動方式
找到目標服務後
就可以動手了
以ClipBook服務為例
在
命令提示符
中運行SC
輸入命令
SC qc ClipSrv
其中
ClipSrv
是服務名
回車後即可查看該服務的信息
在
START_TYPE
一欄中的參數為
DEMAND_START
即表示服務的啟動方式為
手動
如果要讓木馬隨系統啟動
這裡當然不能是手動
因此我們來把它改為自動
輸入命令
sc config clipsrv start= auto
回車後服務就被設為自動啟動
替換可執行文件路徑
從sc的qc命令中我們可以得知ClipBook服務的可執行文件路徑為C:windowssystem
clipsrv
exe
我們將木馬文件放置於c:windowssystem
目錄
這樣做的目的是為了增加木馬文件的隱蔽性
返回
命令提示符中
輸入命令
sc config clipsrv binpath=
c:winntsystem
muma
exe
回車後
ClipBook服務的可執行文件就被我們換成了muma
exe
我們可以再次使用qc命令進行確認
至此
系統服務的替換就完成了
揪出被替換的系統服務
如果你對服務不是很了解
並不代表就對黑客所替換的系統服務無能為力
借助一些安全工具
我們還是可以將被替換的服務找出來的
查找被替換的服務我們可以借助
超級巡警
這款安全工具
安裝後運行其主文件
然後點擊工具欄上的高級按鈕
接著切換到
服務管理
標簽
如果系統中有服務被替換
在這裡會以黃色的條目標出
哪些服務有問題一眼便知
找出被替換的服務後
右鍵點擊
選擇
編輯服務
將可執行文件的路徑改回來即可
最後別忘了將藏在系統中的木馬程序刪除
From:http://tw.wingwit.com/Article/Security/201405/30927.html
