黑客利用系统合法工具服务开启入侵后门

  作者:木淼鑫
2009/3/20 6:20:00
本文关键字: 网络 技术

  黑客在入侵系统时,会利用一些操作系统自带的工具,启动系统服务为入侵留下后门,绕过安全软件的检测。

  rcmdsvc.exe是Windows 2000 Resource Kit中的一个小工具,是用来开启Remote Command Service服务的。这个服务开启的端口是445,与Windows 2000系统的Microsoft-DS服务开的端口一样。因为是Microsoft发布的服务,所以根本没有杀毒软件会认为这是病毒或者木马,因此不少入侵者都把这个服务作为入侵后的后门使用。

  下面将从入侵者的角度讲一下这个服务的安装、使用方法以及如何伪装成另外一个服务,从而让大家知道该如何防范。

  安装

  假设服务器被入侵后,入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盘根目录下,在cmd窗口里输入:rcmdsvc -install,回车后,即可看到Remote Command Service服务安装成功的提示,

  这时在“控制面板”→“管理工具”→“服务”里,就可以看到这个服务了。

  从图1可以看到该服务并没有启动,还需要我们来启动该服务,可以使用系统自带的net命令,在cmd窗口里输入:net start rcmdsvc,回车,我们可以看到Remote Command Service服务开始启动和成功。

  使用方法

  下面我们就可以用Windows 2000 Resource Kit中的rcmd.exe小工具进行远程连接了,并且连接后拥有管理员权限,可以添加管理员用户。

  伪装

  下面该sc.exe(Service Control的缩写)出场了,这个工具是在命令行方式下管理系统中的服务的,在Windows 2000 Resource Kit或者Windows XP中都可以找到该工具。来看一下sc.exe是如何把Remote Command Service服务伪装成Messenger这个服务的。

  1.删除Messenger服务。在cmd窗口里输入:sc delete Messenger,回车,可以看到命令完成。

  2.把Remote Command Service服务改名为Messenger,在进行这步前,需要重新启动一下。在cmd窗口里输入:sc config rcmdsvc DisplayName= Messenger,回车,可以看到命令完成。这时候我们到“控制面板”→“管理工具”→“服务”里,就可以看到Remote Command Service服务名变成了Messenger。

  但是“描述”的内容为空。为了使这个服务看起来更“合法”,我们把Messenger的“描述”也加上,在cmd窗口里输入:sc description rcmdsvc 发送和接收系统管理员或者“警报器”服务传递的消息。我们到“服务”里就可以看到rcmdsvc的“描述”被加上了Messenger的描述。只不过服务名称还是rcmdsvc。

  3.再重新用net start命令启动一下rcmdsvc服务,就可以用rcmd.exe进行连接了。

  为了避免电脑被入侵,把不需要的服务都关闭掉,经常检查一下开启的服务和端口,如果您经过检查发现您的电脑有rcmdsvc服务,或者该服务被伪装成了别的服务,那就要小心了,说明电脑很可能被入侵了,并被别人安装上了杀毒软件无法查出的“合法”后门。

责编:
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map