倍可親

回復: 0
列印 上一主題 下一主題

教你幾招 識別系統服務中的「間諜」

[複製鏈接]

2352

主題

2650

帖子

3584

積分

一級貝殼核心

Rank: 5Rank: 5

積分
3584
跳轉到指定樓層
樓主
電腦磚家 發表於 2011-11-27 19:23 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
  當黑客入侵一台主機后,為了不讓這台肉雞飛掉,經常會採用的手段是在肉雞上種下木馬,而木馬一般都會在啟動項或者註冊表中動手腳,以跟隨系統一同啟動,但這樣做卻很容易暴露自己。因此,黑客就想出了更為陰險的辦法,那就是將一個正常的系統服務替換為木馬服務,由於新手一般不會深入地對系統服務進行檢查,這就可能導致主機被長期控制。本文我們將深入了解這種技術,教會大家找出隱藏在其中的木馬服務。

  編輯提示:木馬為何看中系統服務?

  在Windows 2000/XP/2003系統中,服務是指執行指定系統功能的程序、常式或進程,以便支持其他程序,尤其是低層(接近硬體)程序。通過網路提供服務時,服務可以在Active Directory(活動目錄)中發布,從而促進了以服務為中心的管理和使用。

  因此木馬如果用服務來啟動,不僅會很隱蔽,而且更為穩定和安全。雖然有些木馬默認就以服務的方式啟動,但是多一項服務會增加暴露的概率,因此替換系統本身就有的服務就成了木馬隱蔽的最好的選擇。

  說到替換服務,就不得不提到SC這款工具,這是一款著名的服務管理工具,幾乎可以完成對服務的所有操作,正因為其功能的強大,因此也成為了黑客的最愛。用它來替換系統的服務簡直就是小菜一碟。

  尋找目標服務

  替換服務首先就是要找到一個目標服務,這個服務一定要是用戶不太會用到的服務,這樣在替換服務后才不至於導致系統出現問題。類似的服務有:ClipBook,剪切板查看器,相信很少有人會用到;Event Log,日誌記錄服務,同樣也很少有人會去查看系統的日誌,除此之外還有很多服務都是我們所不需要的,這些就黑客替換服務的目標。



▲被絕大多數人忽略的系統服務

  設置服務的啟動方式

  找到目標服務后,就可以動手了。以ClipBook服務為例,在「命令提示符」中運行SC,輸入命令「SC qc ClipSrv」,其中「ClipSrv」是服務名,回車后即可查看該服務的信息,在「START_TYPE」一欄中的參數為「DEMAND_START」,即表示服務的啟動方式為「手動」,如果要讓木馬隨系統啟動,這裡當然不能是手動,因此我們來把它改為自動,輸入命令「sc config clipsrv start= auto」,回車后服務就被設為自動啟動。

  替換可執行文件路徑

  從sc的qc命令中我們可以得知ClipBook服務的可執行文件路徑為C:windowssystem32clipsrv.exe,我們將木馬文件放置於c:windowssystem32目錄,這樣做的目的是為了增加木馬文件的隱蔽性。返回「命令提示符中」輸入命令「sc config clipsrv binpath= "c:winntsystem32muma.exe」回車后,ClipBook服務的可執行文件就被我們換成了muma.exe,我們可以再次使用qc命令進行確認。至此,系統服務的替換就完成了。



▲替換可執行文件路徑

  揪出被替換的系統服務

  如果你對服務不是很了解,並不代表就對黑客所替換的系統服務無能為力,藉助一些安全工具,我們還是可以將被替換的服務找出來的。查找被替換的服務我們可以藉助「超級巡警」這款安全工具,安裝后運行其主文件,然後點擊工具欄上的高級按鈕,接著切換到「服務管理」標籤,如果系統中有服務被替換,在這裡會以黃色的條目標出,哪些服務有問題一眼便知。找出被替換的服務后,右鍵點擊,選擇「編輯服務」,將可執行文件的路徑改回來即可,最後別忘了將藏在系統中的木馬程序刪除。



▲用安全軟體查找被替換的服務

您需要登錄后才可以回帖 登錄 | 註冊

本版積分規則

關於本站 | 隱私權政策 | 免責條款 | 版權聲明 | 聯絡我們

Copyright © 2001-2013 海外華人中文門戶:倍可親 (http://big5.backchina.com) All Rights Reserved.

程序系統基於 Discuz! X3.1 商業版 優化 Discuz! © 2001-2013 Comsenz Inc.

本站時間採用京港台時間 GMT+8, 2025-8-18 21:46

快速回復 返回頂部 返回列表