黑客在入侵系統(tǒng)時(shí)，會(huì)利用一些操作系統(tǒng)自帶的工具，啟動(dòng)系統(tǒng)服務(wù)為入侵留下后門(mén)，繞過(guò)安全軟件的檢測(cè)。

rcmdsvc.exe是Windows 2000 Resource Kit中的一個(gè)小工具，是用來(lái)開(kāi)啟Remote Command Service服務(wù)的。這個(gè)服務(wù)開(kāi)啟的端口是445，與Windows 2000系統(tǒng)的Microsoft-DS服務(wù)開(kāi)的端口一樣。因?yàn)槭荕icrosoft發(fā)布的服務(wù)，所以根本沒(méi)有殺毒軟件會(huì)認(rèn)為這是病毒或者木馬，因此不少入侵者都把這個(gè)服務(wù)作為入侵后的后門(mén)使用。

下面將從入侵者的角度講一下這個(gè)服務(wù)的安裝、使用方法以及如何偽裝成另外一個(gè)服務(wù)，從而讓大家知道該如何防范。

安裝

假設(shè)服務(wù)器被入侵后，入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盤(pán)根目錄下，在cmd窗口里輸入：rcmdsvc -install，回車(chē)后，即可看到Remote Command Service服務(wù)安裝成功的提示，

這時(shí)在“控制面板”→“管理工具”→“服務(wù)”里，就可以看到這個(gè)服務(wù)了，如圖1所示。

圖1

從圖1可以看到該服務(wù)并沒(méi)有啟動(dòng)，還需要我們來(lái)啟動(dòng)該服務(wù)，可以使用系統(tǒng)自帶的net命令，在cmd窗口里輸入：net start rcmdsvc，回車(chē)，我們可以看到Remote Command Service服務(wù)開(kāi)始啟動(dòng)和成功。

使用方法

下面我們就可以用Windows 2000 Resource Kit中的rcmd.exe小工具進(jìn)行遠(yuǎn)程連接了，并且連接后擁有管理員權(quán)限，可以添加管理員用戶，如圖2所示。

圖2

偽裝

下面該sc.exe（Service Control的縮寫(xiě)）出場(chǎng)了，這個(gè)工具是在命令行方式下管理系統(tǒng)中的服務(wù)的，在Windows 2000 Resource Kit或者Windows XP中都可以找到該工具。來(lái)看一下sc.exe是如何把Remote Command Service服務(wù)偽裝成Messenger這個(gè)服務(wù)的。

1.刪除Messenger服務(wù)。在cmd窗口里輸入：sc delete Messenger，回車(chē)，可以看到命令完成。

2.把Remote Command Service服務(wù)改名為Messenger，在進(jìn)行這步前，需要重新啟動(dòng)一下。在cmd窗口里輸入：sc config rcmdsvc DisplayName= Messenger，回車(chē)，可以看到命令完成。這時(shí)候我們到“控制面板”→“管理工具”→“服務(wù)”里，就可以看到Remote Command Service服務(wù)名變成了Messenger。

但是“描述”的內(nèi)容為空。為了使這個(gè)服務(wù)看起來(lái)更“合法”，我們把Messenger的“描述”也加上，在cmd窗口里輸入：sc description rcmdsvc 發(fā)送和接收系統(tǒng)管理員或者“警報(bào)器”服務(wù)傳遞的消息。我們到“服務(wù)”里就可以看到rcmdsvc的“描述”被加上了Messenger的描述。只不過(guò)服務(wù)名稱還是rcmdsvc。

3.再重新用net start命令啟動(dòng)一下rcmdsvc服務(wù)，就可以用rcmd.exe進(jìn)行連接了。

為了避免電腦被入侵，把不需要的服務(wù)都關(guān)閉掉，經(jīng)常檢查一下開(kāi)啟的服務(wù)和端口，如果您經(jīng)過(guò)檢查發(fā)現(xiàn)您的電腦有rcmdsvc服務(wù)，或者該服務(wù)被偽裝成了別的服務(wù)，那就要小心了，說(shuō)明電腦很可能被入侵了，并被別人安裝上了殺毒軟件無(wú)法查出的“合法”后門(mén)。

【編輯推薦】

1. 替雇主“拿站”已成黑客常規(guī)業(yè)務(wù)
2. 新刑法強(qiáng)力震懾 黑客違法可判7年
3. 上周要聞回顧：思科爆洞忙發(fā)補(bǔ)丁 Google發(fā)懸賞挑戰(zhàn)黑客