|
当黑客入侵一台主机后,为了不让这台肉鸡飞掉,经常会采用的手段是在肉鸡上种下木马,而木马一般都会在启动项或者注册表中动手脚,以跟随系统一同启动,但这样做却很容易暴露自己。因此,黑客就想出了更为阴险的办法,那就是将一个正常的系统服务替换为木马服务,由于新手一般不会深入地对系统服务进行检查,这就可能导致主机被长期控制。本文我们将深入了解这种技术,教会大家找出隐藏在其中的木马服务。 编辑提示:木马为何看中系统服务? 在Windows系统中,服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是低层(接近硬件)程序。通过网络提供服务时,服务可以在Active Directory(活动目录)中发布,从而促进了以服务为中心的管理和使用。 因此木马如果用服务来启动,不仅会很隐蔽,而且更为稳定和安全。虽然有些木马默认就以服务的方式启动,但是多一项服务会增加暴露的概率,因此替换系统本身就有的服务就成了木马隐蔽的最好的选择。 说到替换服务,就不得不提到SC这款工具,这是一款著名的服务管理工具,几乎可以完成对服务的所有操作,正因为其功能的强大,因此也成为了黑客的最爱。用它来替换系统的服务简直就是小菜一碟。 寻找目标服务 替换服务首先就是要找到一个目标服务,这个服务一定要是用户不太会用到的服务,这样在替换服务后才不至于导致系统出现问题。类似的服务有:ClipBook,剪切板查看器,相信很少有人会用到;Event Log,日志记录服务,同样也很少有人会去查看系统的日志,除此之外还有很多服务都是我们所不需要的,这些就黑客替换服务的目标。  设置服务的启动方式 找到目标服务后,就可以动手了。以ClipBook服务为例,在“命令提示符”中运行SC,输入命令“SC qc ClipSrv”,其中“ClipSrv”是服务名,回车后即可查看该服务的信息,在“START_TYPE”一栏中的参数为“DEMAND_START”,即表示服务的启动方式为“手动”,如果要让木马随系统启动,这里当然不能是手动,因此我们来把它改为自动,输入命令“sc config clipsrv start= auto”,回车后服务就被设为自动启动。 |