亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號

對付假扮系統(tǒng)服務(wù)木馬的有效解決辦法
2006-07-04   賽迪網(wǎng)社區(qū) 

有些木馬為了免遭殺毒軟件的查殺,經(jīng)常將自己搖身一變,扮成系統(tǒng)服務(wù),讓其隨系統(tǒng)啟動自動運(yùn)行,不知不覺地長久控制你的機(jī)器。讓我們以牙還牙,來驅(qū)趕險(xiǎn)惡的“后門服務(wù)”。

  小知識 什么是服務(wù)

  服務(wù)是一種應(yīng)用程序類型,它在后臺運(yùn)行。要管理系統(tǒng)服務(wù),請運(yùn)行services.msc,打開“服務(wù)”對話窗口,這里可以看到當(dāng)前系統(tǒng)中的所有服務(wù)。雙擊某一服務(wù),在彈出的“屬性”對話框的“常規(guī)”選項(xiàng)頁中的“服務(wù)狀態(tài)”欄可以看到此服務(wù)當(dāng)前狀態(tài)。單擊“啟動類型”下拉菜單,可以將該服務(wù)設(shè)置為自動啟動、手動啟動或禁用。

  有道是:知己知彼方能百戰(zhàn)百勝,要想應(yīng)付這類木馬,就得知道它是如何變臉為服務(wù),來長期潛伏作惡的。一般說來,根據(jù)木馬變臉的方法不同,通常可以從兩方面去做相應(yīng)防范:

  一、小心Windows成為木馬的幫兇

  Windows的“服務(wù)”工具是不能添加/刪除服務(wù)的,但可以利用Windows提供的資源工具包中的Instsrv.exe和Srvany.exe來實(shí)現(xiàn)。其中,Instsrv.exe可以給系統(tǒng)安裝和刪除服務(wù),Srvany.exe可以讓程序以服務(wù)的方式運(yùn)行。

  ★變臉原理

  第一步:報(bào)戶口——注冊服務(wù)名稱

  這里就以建立一個名為explorer的服務(wù)為例來說明,首先將Instsrv.exe和Srvany.exe存放到一個比較方便的地方,建議放到系統(tǒng)安裝目錄中(筆者的Windows XP安裝目錄為D:Windows)。運(yùn)行cmd.exe,進(jìn)入“命令提示符”窗口,執(zhí)行命令:cd d:Windows,進(jìn)入系統(tǒng)安裝目錄。運(yùn)行命令:

  Instsrv explorer d:Windowssrvany.exe

  好了,這條命令的成功運(yùn)行,已經(jīng)在系統(tǒng)中注冊了一個名叫explorer的服務(wù),快到“服務(wù)”中看看一下檢驗(yàn)檢驗(yàn)吧!

  小提示

  ★注冊服務(wù):instsrv :這里的可任意取名,前面必須帶上該文件的絕對路徑,如:D:Windowssrvany.exe。

  ★刪除服務(wù):instsrv remove

  第二步:找關(guān)聯(lián)——后門服務(wù)

  要讓explorer服務(wù)正常運(yùn)行,還必須在注冊表中指定該服務(wù)對應(yīng)的應(yīng)用程序。運(yùn)行Regedit.exe,打開“注冊表編輯器”,依次展開如下子鍵:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices],在該子鍵下找到并右擊explorer(對應(yīng)前面建立的服務(wù)名),選擇“新建”下的“項(xiàng)”,將其命名為Parameters。單擊選定它,在右側(cè)窗口中新建一個名為Application的字符串值,將其數(shù)值數(shù)據(jù)設(shè)置為explorer服務(wù)對應(yīng)的應(yīng)用程序絕對路徑,比如:d:Windowsgboor.exe。接著再新建兩個字符串值:AppDirectory和AppParameters,AppDirectory指定程序所在的目錄,AppParameters指明程序運(yùn)行的參數(shù)(注意:可以不用設(shè)值),最后關(guān)閉注冊表編輯器。

  接下來打開“服務(wù)”窗口,找到剛添加的explorer服務(wù),打開其屬性對話框,單擊切換到“登錄”選項(xiàng)頁,在“登錄身份”中選中“本地系統(tǒng)賬戶”,如果不想讓服務(wù)在運(yùn)行的時(shí)候彈出狀態(tài)窗口,請不要勾選“允許服務(wù)與桌面交互”復(fù)選項(xiàng),單擊“確定”返回。至此,explorer服務(wù)已經(jīng)全部配置好了。

  最后,右擊該服務(wù),選擇“啟動”,這樣該程序就會啟動,而且以后也會在系統(tǒng)啟動時(shí)自動以服務(wù)形式運(yùn)行!

  小提示

  也可以通過命令來啟動服務(wù):net start explorer。

  ★趕走“后門服務(wù)”沒商量

  弄清了木馬變服務(wù)的伎倆,解決起來就不難了。如果發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常,可以到“服務(wù)”窗口中進(jìn)行查看,一旦發(fā)現(xiàn)這種惡意的“后門服務(wù)”,驅(qū)鬼的也僅僅是兩步:①停止服務(wù)。所用的命令是:net stop 服務(wù)名稱,例如:net stop explorer。②徹底刪除偽服務(wù),把這些險(xiǎn)惡的“后門服務(wù)”趕出家門,命令為:instsrv.exe 服務(wù)名稱 remove,例如:nstsrv.exe explorer remove。

  二、小心木馬變服務(wù)的始作俑者

  有些木馬利用一款名為AppToService的小軟件來變服務(wù)。該軟件可以將任何應(yīng)用程序作為 NT系統(tǒng)的服務(wù)來運(yùn)行,而且操作起來更簡單。

  ★變臉原理

  安裝好AppToService V2.7后,直接雙擊運(yùn)行桌面上的快捷方式AppToService,即可按相應(yīng)的提示進(jìn)行操作。

  舉個例子,如果想要把程序d:Windowsgdoor.exe添加成服務(wù),并將其“服務(wù)類型”設(shè)置為“自動”,只要運(yùn)行命令:Apptoservice /install /absname:"bd" /startup:A "d:Windowsgdoor.exe",就可成功新建bd服務(wù)。啟用服務(wù)的方法相同即net start bd。

  ★以牙還牙制服“后門服務(wù)”

  如果發(fā)現(xiàn)一些木馬借AppToService變臉為服務(wù),可以運(yùn)行如下命令來停止全部AppToService服務(wù):AppToService /StopAll。接著再來刪除它,要刪除某一服務(wù),請運(yùn)行命令:AppToService /Remove 當(dāng)前已存在的某個服務(wù)名稱,比如:AppToService /remove bd,刪除全部AppToService服務(wù)的命令為:AppToService /RemoveAll。

  小提示

  AppToService服務(wù)指的是所有通過AppToService添加的服務(wù),不是指系統(tǒng)原有服務(wù)。

  怎么樣?知道了木馬變服務(wù)的真實(shí)內(nèi)幕了吧,相信有了上面的知識,再遇到后門服務(wù),應(yīng)該是手到擒來了吧!

  聲明:本文分析木馬變服務(wù)過程,僅為了找出相應(yīng)的防范辦法。切勿模仿!

熱詞搜索:

上一篇:打造頂級堅(jiān)固的“鈦金” 進(jìn)程防火墻
下一篇:安全防護(hù):網(wǎng)站也要拒“客”于門外

分享到: 收藏