巧變系統(tǒng)合法服務為入侵后門

■木淼鑫@賽迪網(wǎng)□摘編整理牧馬人

入侵遠程電腦，聰明的黑客會利用操作系統(tǒng)自帶的一些小工具來開啟后門并繞過安全軟件的檢測。譬如rcmdsvc.exe這個Windows 2000 Resource Kit中的小工具，它可以開啟系統(tǒng)中的Remote CommandService服務（遠程命令服務）。因為這是微軟發(fā)布的一項系統(tǒng)服務，根本沒有殺毒軟件會認為它是病毒或木馬，所以不少黑客都喜歡把它作為入侵后的后門使用。

注：本文僅為技術研究，文中相關軟件有技術研究興趣的讀者可在網(wǎng)上搜索下載。

安裝與控制

入侵遠程電腦后，黑客常常會先把需要用到的一些工具（如rcmdsvc.exe）上傳并放到遠程電腦的C盤根目錄下。然后，在Shell窗口里輸入命令“rcmdsvc –install”（不含引號，下同）并回車，即刻出現(xiàn)Remote Command Service服務安裝成功的提示。這時在“控制面板→管理工具→服務”中，就可以看到這項新安裝的系統(tǒng)服務了（如圖1）。

黑客小常識

Windows系統(tǒng)自帶的命令提示符窗口，在黑客本機中的叫CMD窗口，在遠程電腦中的叫Shell窗口。

但是，該服務并沒有處于啟動狀態(tài)，所以還需要手工啟動才行。使用系統(tǒng)自帶的n e t命令，在Shell窗口里輸入“ne t s t a r trcmdsvc”并回車，Remote Command Service服務就啟動了（如圖2）。

現(xiàn)在，就可以用Windows 2000 Resource Kit中的rcmd.exe小工具進行遠程連接了！連接成功以后，黑客就可以擁有管理員的權限，從而任意地控制操作遠程電腦了。因為這個后門是正常的系統(tǒng)服務，所以殺毒軟件不會管。

服務偽裝

Remote Command Service服務的開啟和使用，難免會被細心的用戶發(fā)現(xiàn)，所以有必要對它進行偽裝。現(xiàn)在，該sc.exe（Service Control的縮寫）出場了！這個工具在Windows 2000 Resource Kit和Windows XP中都可以找到，它可以管理系統(tǒng)中的服務。……