巧變系統合法服務為入侵后門

■木淼鑫@賽迪網□摘編整理牧馬人

入侵遠程電腦，聰明的黑客會利用操作系統自帶的一些小工具來開啟后門并繞過安全軟件的檢測。譬如rcmdsvc.exe這個Windows 2000 Resource Kit中的小工具，它可以開啟系統中的Remote CommandService服務（遠程命令服務）。因為這是微軟發布的一項系統服務，根本沒有殺毒軟件會認為它是病毒或木馬，所以不少黑客都喜歡把它作為入侵后的后門使用。

注：本文僅為技術研究，文中相關軟件有技術研究興趣的讀者可在網上搜索下載。

安裝與控制

入侵遠程電腦后，黑客常常會先把需要用到的一些工具（如rcmdsvc.exe）上傳并放到遠程電腦的C盤根目錄下。然后，在Shell窗口里輸入命令“rcmdsvc –install”（不含引號，下同）并回車，即刻出現Remote Command Service服務安裝成功的提示。這時在“控制面板→管理工具→服務”中，就可以看到這項新安裝的系統服務了（如圖1）。

黑客小常識

Windows系統自帶的命令提示符窗口，在黑客本機中的叫CMD窗口，在遠程電腦中的叫Shell窗口。

但是，該服務并沒有處于啟動狀態，所以還需要手工啟動才行。使用系統自帶的n e t命令，在Shell窗口里輸入“ne t s t a r trcmdsvc”并回車，Remote Command Service服務就啟動了（如圖2）。

現在，就可以用Windows 2000 Resource Kit中的rcmd.exe小工具進行遠程連接了！連接成功以后，黑客就可以擁有管理員的權限，從而任意地控制操作遠程電腦了。因為這個后門是正常的系統服務，所以殺毒軟件不會管。

服務偽裝

Remote Command Service服務的開啟和使用，難免會被細心的用戶發現，所以有必要對它進行偽裝。現在，該sc.exe（Service Control的縮寫）出場了！這個工具在Windows 2000 Resource Kit和Windows XP中都可以找到，它可以管理系統中的服務。下面，我們就來看看sc.exe是如何把Remote Command Service服務偽裝成Messenger服務（即信使服務）的。

首先，在Shell窗口里輸入命令“sc delete Messenger”并回車，這樣就刪除了Messenger服務。然后，重新啟動遠程電腦。最后，在Shell窗口里輸入命令“sc config rcmdsvcDisplayName= Messenger”并回車，這樣Remote CommandService服務就改名為Messenger了。

此時“Messenger服務”的“描述”內容為空，為了使它看起來更真實，要把原Messenger服務的“描述”信息加進來。在Shell窗口里輸入命令“sc descriptionrcmdsvc 發送和接收系統管理員或者‘警報器服務傳遞的消息”并回車（如圖3）。再用“net start”命令重啟一下“Messenger服務”，這樣就完成了Remote CommandService服務的偽裝。

系統防范

為了避免我們自己的電腦中出現以上的入侵后門，可以把不需要的服務都關閉掉，并經常檢查已開啟的服務和端口。如果發現自己的電腦中啟用了Remote CommandService服務，或者該服務用的是別的服務名，那就要小心了，很有可能就是被別人安裝了連殺毒軟件都無法查出的“合法”后門。趕緊刪除它，并升級網絡防火墻，防范黑客通過網絡入侵破壞。