教你幾招防“黑”術(shù)，讓間諜無(wú)處藏身

      當(dāng)黑客入侵一臺(tái)主機(jī)后，為了不讓這臺(tái)肉雞飛掉，經(jīng)常會(huì)采用的手段是在肉雞上種下木馬，而木馬一般都會(huì)在啟動(dòng)項(xiàng)或者注冊(cè)表中動(dòng)手腳，以跟隨系統(tǒng)一同啟動(dòng)，但這樣做卻很容易暴露自己。因此，黑客就想出了更為陰險(xiǎn)的辦法，那就是將一個(gè)正常的系統(tǒng)服務(wù)替換為木馬服務(wù)，由于新手一般不會(huì)深入地對(duì)系統(tǒng)服務(wù)進(jìn)行檢查，這就可能導(dǎo)致主機(jī)被長(zhǎng)期控制。本文我們將深入了解這種技術(shù)，教會(huì)大家找出隱藏在其中的木馬服務(wù)。

　　編輯提示：木馬為何看中系統(tǒng)服務(wù)?

　　在Windows 2000/XP/2003系統(tǒng)中，服務(wù)是指執(zhí)行指定系統(tǒng)功能的程序、例程或進(jìn)程，以便支持其他程序，尤其是低層(接近硬件)程序。通過(guò)網(wǎng)絡(luò)提供服務(wù)時(shí)，服務(wù)可以在Active Directory(活動(dòng)目錄)中發(fā)布，從而促進(jìn)了以服務(wù)為中心的管理和使用。

　　因此木馬如果用服務(wù)來(lái)啟動(dòng)，不僅會(huì)很隱蔽，而且更為穩(wěn)定和安全。雖然有些木馬默認(rèn)就以服務(wù)的方式啟動(dòng)，但是多一項(xiàng)服務(wù)會(huì)增加暴露的概率，因此替換系統(tǒng)本身就有的服務(wù)就成了木馬隱蔽的最好的選擇。

　　說(shuō)到替換服務(wù)，就不得不提到SC這款工具，這是一款著名的服務(wù)管理工具，幾乎可以完成對(duì)服務(wù)的所有操作，正因?yàn)槠涔δ艿膹?qiáng)大，因此也成為了黑客的最?lèi)?ài)。用它來(lái)替換系統(tǒng)的服務(wù)簡(jiǎn)直就是小菜一碟。

　　尋找目標(biāo)服務(wù)

　　替換服務(wù)首先就是要找到一個(gè)目標(biāo)服務(wù)，這個(gè)服務(wù)一定要是用戶不太會(huì)用到的服務(wù)，這樣在替換服務(wù)后才不至于導(dǎo)致系統(tǒng)出現(xiàn)問(wèn)題。類(lèi)似的服務(wù)有：ClipBook，剪切板查看器，相信很少有人會(huì)用到;Event Log，日志記錄服務(wù)，同樣也很少有人會(huì)去查看系統(tǒng)的日志，除此之外還有很多服務(wù)都是我們所不需要的，這些就黑客替換服務(wù)的目標(biāo)。

▲被絕大多數(shù)人忽略的系統(tǒng)服務(wù)

　　設(shè)置服務(wù)的啟動(dòng)方式

　　找到目標(biāo)服務(wù)后，就可以動(dòng)手了。以ClipBook服務(wù)為例，在“命令提示符”中運(yùn)行SC，輸入命令“SC qc ClipSrv”，其中“ClipSrv”是服務(wù)名，回車(chē)后即可查看該服務(wù)的信息，在“START_TYPE”一欄中的參數(shù)為“DEMAND_START”，即表示服務(wù)的啟動(dòng)方式為“手動(dòng)”，如果要讓木馬隨系統(tǒng)啟動(dòng)，這里當(dāng)然不能是手動(dòng)，因此我們來(lái)把它改為自動(dòng)，輸入命令“sc config clipsrv start= auto”，回車(chē)后服務(wù)就被設(shè)為自動(dòng)啟動(dòng)。

　　替換可執(zhí)行文件路徑

　　從sc的qc命令中我們可以得知ClipBook服務(wù)的可執(zhí)行文件路徑為C:windowssystem32clipsrv.exe，我們將木馬文件放置于c:windowssystem32目錄，這樣做的目的是為了增加木馬文件的隱蔽性。返回“命令提示符中”輸入命令“sc config clipsrv binpath= "c:winntsystem32muma.exe”回車(chē)后，ClipBook服務(wù)的可執(zhí)行文件就被我們換成了muma.exe，我們可以再次使用qc命令進(jìn)行確認(rèn)。至此，系統(tǒng)服務(wù)的替換就完成了。

▲替換可執(zhí)行文件路徑

　　揪出被替換的系統(tǒng)服務(wù)

　　如果你對(duì)服務(wù)不是很了解，并不代表就對(duì)黑客所替換的系統(tǒng)服務(wù)無(wú)能為力，借助一些安全工具，我們還是可以將被替換的服務(wù)找出來(lái)的。查找被替換的服務(wù)我們可以借助“超級(jí)巡警”這款安全工具，安裝后運(yùn)行其主文件，然后點(diǎn)擊工具欄上的高級(jí)按鈕，接著切換到“服務(wù)管理”標(biāo)簽，如果系統(tǒng)中有服務(wù)被替換，在這里會(huì)以黃色的條目標(biāo)出，哪些服務(wù)有問(wèn)題一眼便知。找出被替換的服務(wù)后，右鍵點(diǎn)擊，選擇“編輯服務(wù)”，將可執(zhí)行文件的路徑改回來(lái)即可，最后別忘了將藏在系統(tǒng)中的木馬程序刪除。

▲用安全軟件查找被替換的服務(wù)