当黑客入侵一台主机后为了不让这台肉鸡飞掉经常会采用的手段是在肉鸡上种下木马而木马一般都会在启动项或者注册表中动手脚以跟随系统一同启动但这样做却很容易暴露自己因此黑客就想出了更为阴险的办法那就是将一个正常的系统服务替换为木马服务由于新手一般不会深入地对系统服务进行检查这就可能导致主机被长期控制本文我们将深入了解这种技术教会大家找出隐藏在其中的木马服务 在Windows /XP/系统中服务是指执行指定系统功能的程序例程或进程以便支持其他程序尤其是低层(接近硬件)程序通过网络提供服务时服务可以在Active Directory(活动目录)中发布从而促进了以服务为中心的管理和使用 因此木马如果用服务来启动不仅会很隐蔽而且更为稳定和安全虽然有些木马默认就以服务的方式启动但是多一项服务会增加暴露的概率因此替换系统本身就有的服务就成了木马隐蔽的最好的选择 说到替换服务就不得不提到SC这款工具这是一款着名的服务管理工具几乎可以完成对服务的所有操作正因为其功能的强大因此也成为了黑客的最爱用它来替换系统的服务简直就是小菜一碟 寻找目标服务 替换服务首先就是要找到一个目标服务这个服务一定要是用户不太会用到的服务这样在替换服务后才不至于导致系统出现问题类似的服务有ClipBook剪切板查看器相信很少有人会用到;Event Log日志记录服务同样也很少有人会去查看系统的日志除此之外还有很多服务都是我们所不需要的这些就黑客替换服务的目标 设置服务的启动方式 找到目标服务后就可以动手了以ClipBook服务为例在命令提示符中运行SC输入命令SC qc ClipSrv其中ClipSrv是服务名回车后即可查看该服务的信息在START_TYPE一栏中的参数为DEMAND_START即表示服务的启动方式为手动如果要让木马随系统启动这里当然不能是手动因此我们来把它改为自动输入命令sc config clipsrv start= auto回车后服务就被设为自动启动 替换可执行文件路径 从sc的qc命令中我们可以得知ClipBook服务的可执行文件路径为C:windowssystemclipsrvexe我们将木马文件放置于c:windowssystem目录这样做的目的是为了增加木马文件的隐蔽性返回命令提示符中输入命令sc config clipsrv binpath= c:winntsystemmumaexe回车后ClipBook服务的可执行文件就被我们换成了mumaexe我们可以再次使用qc命令进行确认至此系统服务的替换就完成了 揪出被替换的系统服务 如果你对服务不是很了解并不代表就对黑客所替换的系统服务无能为力借助一些安全工具我们还是可以将被替换的服务找出来的查找被替换的服务我们可以借助超级巡警这款安全工具安装后运行其主文件然后点击工具栏上的高级按钮接着切换到服务管理标签如果系统中有服务被替换在这里会以黄色的条目标出哪些服务有问题一眼便知找出被替换的服务后右键点击选择编辑服务将可执行文件的路径改回来即可最后别忘了将藏在系统中的木马程序删除 |