当黑客入侵主机时,为了防止肉鸡飞走,通常使用的手段是在肉鸡上种植木马,木马通常在启动项目或注册表中与系统一起启动,但很容易暴露自己。因此,黑客想出了一种更危险的方法,即用木马服务取代正常的系统服务,因为新手通常不会深入检查系统服务,这可能会导致主机长期控制。在本文中,我们将深入了解该技术,并教您找到隐藏的木马服务。
在Windows 2000/XP在/2003系统中,服务是指执行指定系统功能的程序、程序或程序,以支持其他程序,特别是低级(接近硬件)程序。当服务通过网络提供时,服务可以在Active Directory(活动目录)发布,促进以服务为中心的管理和使用。
因此,如果木马使用服务启动,它不仅会非常隐蔽,而且会更加稳定和安全。虽然一些木马默认以服务的形式启动,但更多的服务会增加暴露的可能性,因此更换系统本身的一些服务已经成为木马隐藏的最佳选择。
说到替换服务,必须提到SC这个工具,这是一个著名的服务管理工具,几乎可以完成所有的服务操作,因为它强大的功能,它已经成为黑客的最爱。用它代替系统的服务只是一道菜。
11
更换服务首先是找到目标服务,必须是用户不能使用的服务,以免更换服务后出现系统问题。类似的服务包括:ClipBook,相信很少有人会用剪切板查看器;Event Log,对于日志记录服务,很少有人会查看系统的日志。此外,我们不需要很多服务,这是黑客替换服务的目标。
2 设置服务的启动模式
找到目标服务后,就可以动手了。以ClipBook以服务为例,在“命令提示符”中运行SC,输入命令“SC qc ClipSrv”,其中“ClipSrv”是服务名,回车后可以查看服务信息“START_TYPE”列中的参数为“DEMAND_START”,也就是说,服务的启动模式是“手动”,当然,如果你想让木马与系统一起启动,这里不能是手动的,所以让我们把它改为自动,输入命令“sc config clipsrv start= auto”,回车后服务设置为自动启动。
3 替换可执行文件路径
从sc的qc我们可以在命令中知道ClipBook服务的可执行文件路径是C:windowssystem32clipsrv.exe,我们把木马文件放在木马文件上c:windowssystem32目录是为了增加木马文件的隐蔽性。“命令提示符中”输入命令“sc config clipsrv binpath= "c:winntsystem32muma.exe”回车后,ClipBook我们用服务的可执行文件代替了服务的可执行文件muma.exe,我们可以再次使用它qc确认命令。到目前为止,系统服务的替换已经完成。
4 发现被替换的系统服务
如果你对服务了解不多,并不意味着你对黑客取代的系统了解不多
服务无能为力。在一些安全工具的帮助下,我们仍然可以找到替换服务。我们可以找到替换服务“超级巡警”安装后,操作主文件,然后点击工具栏上的高级按钮,然后切换到“服务管理”标签,如果系统中的服务被替换,这里将标记黄色条,哪些服务有问题。找到替换服务后,右键单击并选择“编辑服务”,改变可执行文件的路径,最后别忘了删除隐藏在系统中的木马程序。