黑客在入侵系統(tǒng)時，會利用一些操作系統(tǒng)自帶的工具，啟動系統(tǒng)服務(wù)為入侵留下后門，繞過安全軟件的檢測。

rcmdsvc.exe是Windows 2000 Resource Kit中的一個小工具，是用來開啟Remote Command Service服務(wù)的。這個服務(wù)開啟的端口是445，與Windows 2000系統(tǒng)的Microsoft-DS服務(wù)開的端口一樣。因?yàn)槭荕icrosoft發(fā)布的服務(wù)，所以根本沒有殺毒軟件會認(rèn)為這是病毒或者木馬，因此不少入侵者都把這個服務(wù)作為入侵后的后門使用。

下面將從入侵者的角度講一下這個服務(wù)的安裝、使用方法以及如何偽裝成另外一個服務(wù)，從而讓大家知道該如何防范。

安裝

假設(shè)服務(wù)器被入侵后，入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盤根目錄下，在cmd窗口里輸入：rcmdsvc -install，回車后，即可看到Remote Command Service服務(wù)安裝成功的提示，

這時在“控制面板”→“管理工具”→“服務(wù)”里，就可以看到這個服務(wù)了，如圖1所示。

圖1

從圖1可以看到該服務(wù)并沒有啟動，還需要我們來啟動該服務(wù)，可以使用系統(tǒng)自帶的net命令，在cmd窗口里輸入：net start rcmdsvc，回車，我們可以看到Remote Command Service服務(wù)開始啟動和成功。

使用方法

下面我們就可以用Windows 2000 Resource Kit中的rcmd.exe小工具進(jìn)行遠(yuǎn)程連接了，并且連接后擁有管理員權(quán)限，可以添加管理員用戶，如圖2所示。

圖2

偽裝

下面該sc.exe（Service Control的縮寫）出場了，這個工具是在命令行方式下管理系統(tǒng)中的服務(wù)的，在Windows 2000 Resource Kit或者Windows XP中都可以找到該工具。來看一下sc.exe是如何把Remote Command Service服務(wù)偽裝成Messenger這個服務(wù)的。

1.刪除Messenger服務(wù)。在cmd窗口里輸入：sc delete Messenger，回車，可以看到命令完成。

2.把Remote Command Service服務(wù)改名為Messenger，在進(jìn)行這步前，需要重新啟動一下。在cmd窗口里輸入：sc config rcmdsvc DisplayName= Messenger，回車，可以看到命令完成。這時候我們到“控制面板”→“管理工具”→“服務(wù)”里，就可以看到Remote Command Service服務(wù)名變成了Messenger。

但是“描述”的內(nèi)容為空。為了使這個服務(wù)看起來更“合法”，我們把Messenger的“描述”也加上，在cmd窗口里輸入：sc description rcmdsvc 發(fā)送和接收系統(tǒng)管理員或者“警報器”服務(wù)傳遞的消息。我們到“服務(wù)”里就可以看到rcmdsvc的“描述”被加上了Messenger的描述。只不過服務(wù)名稱還是rcmdsvc。

3.再重新用net start命令啟動一下rcmdsvc服務(wù)，就可以用rcmd.exe進(jìn)行連接了。

為了避免電腦被入侵，把不需要的服務(wù)都關(guān)閉掉，經(jīng)常檢查一下開啟的服務(wù)和端口，如果您經(jīng)過檢查發(fā)現(xiàn)您的電腦有rcmdsvc服務(wù)，或者該服務(wù)被偽裝成了別的服務(wù)，那就要小心了，說明電腦很可能被入侵了，并被別人安裝上了殺毒軟件無法查出的“合法”后門。

【編輯推薦】

1. 替雇主“拿站”已成黑客常規(guī)業(yè)務(wù)
2. 新刑法強(qiáng)力震懾 黑客違法可判7年
3. 上周要聞回顧：思科爆洞忙發(fā)補(bǔ)丁 Google發(fā)懸賞挑戰(zhàn)黑客