巧变系统合法服务为入侵后门

■木淼鑫@赛迪网□摘编整理牧马人

入侵远程电脑，聪明的黑客会利用操作系统自带的一些小工具来开启后门并绕过安全软件的检测。譬如rcmdsvc.exe这个Windows 2000 Resource Kit中的小工具，它可以开启系统中的Remote CommandService服务（远程命令服务）。因为这是微软发布的一项系统服务，根本没有杀毒软件会认为它是病毒或木马，所以不少黑客都喜欢把它作为入侵后的后门使用。

注：本文仅为技术研究，文中相关软件有技术研究兴趣的读者可在网上搜索下载。

安装与控制

入侵远程电脑后，黑客常常会先把需要用到的一些工具（如rcmdsvc.exe）上传并放到远程电脑的C盘根目录下。然后，在Shell窗口里输入命令“rcmdsvc –install”（不含引号，下同）并回车，即刻出现Remote Command Service服务安装成功的提示。这时在“控制面板→管理工具→服务”中，就可以看到这项新安装的系统服务了（如图1）。

黑客小常识

Windows系统自带的命令提示符窗口，在黑客本机中的叫CMD窗口，在远程电脑中的叫Shell窗口。

但是，该服务并没有处于启动状态，所以还需要手工启动才行。使用系统自带的n e t命令，在Shell窗口里输入“ne t s t a r trcmdsvc”并回车，Remote Command Service服务就启动了（如图2）。

现在，就可以用Windows 2000 Resource Kit中的rcmd.exe小工具进行远程连接了！连接成功以后，黑客就可以拥有管理员的权限，从而任意地控制操作远程电脑了。因为这个后门是正常的系统服务，所以杀毒软件不会管。

服务伪装

Remote Command Service服务的开启和使用，难免会被细心的用户发现，所以有必要对它进行伪装。现在，该sc.exe（Service Control的缩写）出场了！这个工具在Windows 2000 Resource Kit和Windows XP中都可以找到，它可以管理系统中的服务。下面，我们就来看看sc.exe是如何把Remote Command Service服务伪装成Messenger服务（即信使服务）的。

首先，在Shell窗口里输入命令“sc delete Messenger”并回车，这样就删除了Messenger服务。然后，重新启动远程电脑。最后，在Shell窗口里输入命令“sc config rcmdsvcDisplayName= Messenger”并回车，这样Remote CommandService服务就改名为Messenger了。

此时“Messenger服务”的“描述”内容为空，为了使它看起来更真实，要把原Messenger服务的“描述”信息加进来。在Shell窗口里输入命令“sc descriptionrcmdsvc 发送和接收系统管理员或者‘警报器服务传递的消息”并回车（如图3）。再用“net start”命令重启一下“Messenger服务”，这样就完成了Remote CommandService服务的伪装。

系统防范

为了避免我们自己的电脑中出现以上的入侵后门，可以把不需要的服务都关闭掉，并经常检查已开启的服务和端口。如果发现自己的电脑中启用了Remote CommandService服务，或者该服务用的是别的服务名，那就要小心了，很有可能就是被别人安装了连杀毒软件都无法查出的“合法”后门。赶紧删除它，并升级网络防火墙，防范黑客通过网络入侵破坏。