教你幾招防“黑”術，讓間諜無處藏身

2011/11/25 16:35:01  出處：本站   人氣：36次    字號：小  中  大

      當黑客入侵一臺主機后，為了不讓這臺肉雞飛掉，經常會采用的手段是在肉雞上種下木馬，而木馬一般都會在啟動項或者注冊表中動手腳，以跟隨系統一同啟動，但這樣做卻很容易暴露自己。因此，黑客就想出了更為陰險的辦法，那就是將一個正常的系統服務替換為木馬服務，由于新手一般不會深入地對系統服務進行檢查，這就可能導致主機被長期控制。本文我們將深入了解這種技術，教會大家找出隱藏在其中的木馬服務。

　　編輯提示：木馬為何看中系統服務?

　　在Windows 2000/XP/2003系統中，服務是指執行指定系統功能的程序、例程或進程，以便支持其他程序，尤其是低層(接近硬件)程序。通過網絡提供服務時，服務可以在Active Directory(活動目錄)中發布，從而促進了以服務為中心的管理和使用。

　　因此木馬如果用服務來啟動，不僅會很隱蔽，而且更為穩定和安全。雖然有些木馬默認就以服務的方式啟動，但是多一項服務會增加暴露的概率，因此替換系統本身就有的服務就成了木馬隱蔽的最好的選擇。

　　說到替換服務，就不得不提到SC這款工具，這是一款著名的服務管理工具，幾乎可以完成對服務的所有操作，正因為其功能的強大，因此也成為了黑客的最愛。用它來替換系統的服務簡直就是小菜一碟。

　　尋找目標服務

　　替換服務首先就是要找到一個目標服務，這個服務一定要是用戶不太會用到的服務，這樣在替換服務后才不至于導致系統出現問題。類似的服務有：ClipBook，剪切板查看器，相信很少有人會用到;Event Log，日志記錄服務，同樣也很少有人會去查看系統的日志，除此之外還有很多服務都是我們所不需要的，這些就黑客替換服務的目標。

▲被絕大多數人忽略的系統服務

　　設置服務的啟動方式

　　找到目標服務后，就可以動手了。以ClipBook服務為例，在“命令提示符”中運行SC，輸入命令“SC qc ClipSrv”，其中“ClipSrv”是服務名，回車后即可查看該服務的信息，在“START_TYPE”一欄中的參數為“DEMAND_START”，即表示服務的啟動方式為“手動”，如果要讓木馬隨系統啟動，這里當然不能是手動，因此我們來把它改為自動，輸入命令“sc config clipsrv start= auto”，回車后服務就被設為自動啟動。

　　替換可執行文件路徑

　　從sc的qc命令中我們可以得知ClipBook服務的可執行文件路徑為C:windowssystem32clipsrv.exe，我們將木馬文件放置于c:windowssystem32目錄，這樣做的目的是為了增加木馬文件的隱蔽性。返回“命令提示符中”輸入命令“sc config clipsrv binpath= "c:winntsystem32muma.exe”回車后，ClipBook服務的可執行文件就被我們換成了muma.exe，我們可以再次使用qc命令進行確認。至此，系統服務的替換就完成了。

▲替換可執行文件路徑

　　揪出被替換的系統服務

　　如果你對服務不是很了解，并不代表就對黑客所替換的系統服務無能為力，借助一些安全工具，我們還是可以將被替換的服務找出來的。查找被替換的服務我們可以借助“超級巡警”這款安全工具，安裝后運行其主文件，然后點擊工具欄上的高級按鈕，接著切換到“服務管理”標簽，如果系統中有服務被替換，在這里會以黃色的條目標出，哪些服務有問題一眼便知。找出被替換的服務后，右鍵點擊，選擇“編輯服務”，將可執行文件的路徑改回來即可，最后別忘了將藏在系統中的木馬程序刪除。

▲用安全軟件查找被替換的服務