“合法”的系统后门

作者: 来源:it167 点击: 日期:2007-01-27

rcmdsvc.exe是Windows 2000 Resource Kit（资源工具包）中的一个小工具，是用来开启Remote Command Service（远程命令服务）服务用的，这个服务开启的端口是445，与Win2k系统的Microsoft-DS服务开的端口一样，因为是Microsoft发布的服务，所以根本没有杀毒软件会认为这是病毒或者木马，因此不少入侵者都把这个服务作为入侵后留下的后门使用。下面我就详细的讲一下如何安装和伪装这个服务。

安装：假设入侵服务器后，入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盘根目录下，在cmd窗口里输入：rcmdsvc –install，回车后，即可看到Remote Command Service服务安装成功的提示，如图一：

图一

这时在“控制面板”---“管理工具”---“服务”里，就可以看到这个服务了，如图二：

图二图中选取的暗条就是还没有伪装过的rcmdsvc服务

从图二可以看到该服务并没有启动，还需要我们来启动该服务，启动这个服务我们可以使用系统自带的net命令，在cmd窗口里输入：net start rcmdsvc，回车，我们可以看到Remote Command Service服务开始启动和成功，如图三：

图三

下面我们就可以用Windows 2000 Resource Kit中的rcmd.exe小工具进行远程连接了，并且连接后拥有管理员权限，可以添加管理员用户，如图四：

图四

下面该sc.exe（Service Control的缩写）出场了，这个工具是在命令行方式下管理系统中的服务的，在Windows 2000 Resource Kit或者Winxp中都可以找到该工具，来看一下sc.exe是如何把Remote Command Service服务伪装成Messenger这个服务的：

1、删除Messenger服务。在cmd窗口里输入：sc delete Messenger，回车，可以看到命令完成，如图五：

图五

2、把Remote Command Service服务该名为Messenger，在进行这步前，需要重新启动一下。在cmd窗口里输入：sc config rcmdsvc DisplayName= Messenger，回车，可以看到命令完成，如图六：

图六

这时候我们到“控制面板”---“管理工具”---“服务”里，就可以看到Remote Command Service服务名变成了Messenger，如图七：

图七

但是“描述”的内容为空，为了使这个服务看起来更“合法”，我们把Messenger的“描述”也加上，在cmd窗口里输入：sc description rcmdsvc 发送和接收系统管理员或者“警报器”服务传递的消息。我们到“服务”里就可以看到rcmdsvc 的“描述”被加上了Messenger的“描述”，如图八：

图八伪装过的Remote Command Service服务

只不过服务名称还是rcmdsvc。

3、再重新用net start命令启动一下rcmdsvc服务，就可以用rcmd.exe进行连接了。

总结：由于被入侵方需要满足IPC$开启和没开防火墙等条件，而现在大多数的网络服务提供商已经把139和445端口屏蔽掉了，所以这种后门方式在局域网中比较常用。

【文章评论】【收藏本文】【推荐好友】【打印本文】【论坛讨论】

·关于Trojan.DL.Agent.xdw 病毒的解决办法	·走出误区教你杀毒软件到底该怎么用
·拒绝鱼饵巧妙防止网络钓鱼	·黑客软件最常用的连接端口
·来无影去无踪匿名突破网络限制(1)	·应对最流行的几种捆绑器

文章评论:(0条)

请留名：匿名评论点击查看所有评论网管论坛

责任编辑:it167 声明：刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。

关于站点 - 广告服务 - 联系我们 - 版权隐私 - 免责声明 - 程序支持 - 站长论坛 - RSS订阅 - 返回顶部

湘ICP备07003186号