有些木馬為了免遭殺毒軟件的查殺,經(jīng)常將自己搖身一變,扮成系統(tǒng)服務(wù),讓其隨系統(tǒng)啟動(dòng)自動(dòng)運(yùn)行,不知不覺地長(zhǎng)久控制你的機(jī)器。讓我們以牙還牙,來(lái)驅(qū)趕險(xiǎn)惡的“后門服務(wù)”。
小知識(shí) 什么是服務(wù)
服務(wù)是一種應(yīng)用程序類型,它在后臺(tái)運(yùn)行。要管理系統(tǒng)服務(wù),請(qǐng)運(yùn)行services.msc,打開“服務(wù)”對(duì)話窗口,這里可以看到當(dāng)前系統(tǒng)中的所有服務(wù)。雙擊某一服務(wù),在彈出的“屬性”對(duì)話框的“常規(guī)”選項(xiàng)頁(yè)中的“服務(wù)狀態(tài)”欄可以看到此服務(wù)當(dāng)前狀態(tài)。單擊“啟動(dòng)類型”下拉菜單,可以將該服務(wù)設(shè)置為自動(dòng)啟動(dòng)、手動(dòng)啟動(dòng)或禁用。
有道是:知己知彼方能百戰(zhàn)百勝,要想應(yīng)付這類木馬,就得知道它是如何變臉為服務(wù),來(lái)長(zhǎng)期潛伏作惡的。一般說(shuō)來(lái),根據(jù)木馬變臉的方法不同,通常可以從兩方面去做相應(yīng)防范:
一、小心Windows成為木馬的幫兇
Windows的“服務(wù)”工具是不能添加/刪除服務(wù)的,但可以利用Windows提供的資源工具包中的Instsrv.exe和Srvany.exe來(lái)實(shí)現(xiàn)。其中,Instsrv.exe可以給系統(tǒng)安裝和刪除服務(wù),Srvany.exe可以讓程序以服務(wù)的方式運(yùn)行。
★變臉原理
第一步:報(bào)戶口——注冊(cè)服務(wù)名稱
這里就以建立一個(gè)名為explorer的服務(wù)為例來(lái)說(shuō)明,首先將Instsrv.exe和Srvany.exe存放到一個(gè)比較方便的地方,建議放到系統(tǒng)安裝目錄中(筆者的Windows XP安裝目錄為D:Windows)。運(yùn)行cmd.exe,進(jìn)入“命令提示符”窗口,執(zhí)行命令:cd d:Windows,進(jìn)入系統(tǒng)安裝目錄。運(yùn)行命令:
Instsrv explorer d:Windowssrvany.exe
好了,這條命令的成功運(yùn)行,已經(jīng)在系統(tǒng)中注冊(cè)了一個(gè)名叫explorer的服務(wù),快到“服務(wù)”中看看一下檢驗(yàn)檢驗(yàn)吧!
小提示
★注冊(cè)服務(wù):instsrv
★刪除服務(wù):instsrv
第二步:找關(guān)聯(lián)——后門服務(wù)
要讓explorer服務(wù)正常運(yùn)行,還必須在注冊(cè)表中指定該服務(wù)對(duì)應(yīng)的應(yīng)用程序。運(yùn)行Regedit.exe,打開“注冊(cè)表編輯器”,依次展開如下子鍵:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices],在該子鍵下找到并右擊explorer(對(duì)應(yīng)前面建立的服務(wù)名),選擇“新建”下的“項(xiàng)”,將其命名為Parameters。單擊選定它,在右側(cè)窗口中新建一個(gè)名為Application的字符串值,將其數(shù)值數(shù)據(jù)設(shè)置為explorer服務(wù)對(duì)應(yīng)的應(yīng)用程序絕對(duì)路徑,比如:d:Windowsgboor.exe。接著再新建兩個(gè)字符串值:AppDirectory和AppParameters,AppDirectory指定程序所在的目錄,AppParameters指明程序運(yùn)行的參數(shù)(注意:可以不用設(shè)值),最后關(guān)閉注冊(cè)表編輯器。
接下來(lái)打開“服務(wù)”窗口,找到剛添加的explorer服務(wù),打開其屬性對(duì)話框,單擊切換到“登錄”選項(xiàng)頁(yè),在“登錄身份”中選中“本地系統(tǒng)賬戶”,如果不想讓服務(wù)在運(yùn)行的時(shí)候彈出狀態(tài)窗口,請(qǐng)不要勾選“允許服務(wù)與桌面交互”復(fù)選項(xiàng),單擊“確定”返回。至此,explorer服務(wù)已經(jīng)全部配置好了。
最后,右擊該服務(wù),選擇“啟動(dòng)”,這樣該程序就會(huì)啟動(dòng),而且以后也會(huì)在系統(tǒng)啟動(dòng)時(shí)自動(dòng)以服務(wù)形式運(yùn)行!
小提示
也可以通過(guò)命令來(lái)啟動(dòng)服務(wù):net start explorer。
★趕走“后門服務(wù)”沒(méi)商量
弄清了木馬變服務(wù)的伎倆,解決起來(lái)就不難了。如果發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常,可以到“服務(wù)”窗口中進(jìn)行查看,一旦發(fā)現(xiàn)這種惡意的“后門服務(wù)”,驅(qū)鬼的也僅僅是兩步:①停止服務(wù)。所用的命令是:net stop 服務(wù)名稱,例如:net stop explorer。②徹底刪除偽服務(wù),把這些險(xiǎn)惡的“后門服務(wù)”趕出家門,命令為:instsrv.exe 服務(wù)名稱 remove,例如:nstsrv.exe explorer remove。
二、小心木馬變服務(wù)的始作俑者
有些木馬利用一款名為AppToService的小軟件來(lái)變服務(wù)。該軟件可以將任何應(yīng)用程序作為 NT系統(tǒng)的服務(wù)來(lái)運(yùn)行,而且操作起來(lái)更簡(jiǎn)單。
★變臉原理
安裝好AppToService V2.7后,直接雙擊運(yùn)行桌面上的快捷方式AppToService,即可按相應(yīng)的提示進(jìn)行操作。
舉個(gè)例子,如果想要把程序d:Windowsgdoor.exe添加成服務(wù),并將其“服務(wù)類型”設(shè)置為“自動(dòng)”,只要運(yùn)行命令:Apptoservice /install /absname:"bd" /startup:A "d:Windowsgdoor.exe",就可成功新建bd服務(wù)。啟用服務(wù)的方法相同即net start bd。
★以牙還牙制服“后門服務(wù)”
如果發(fā)現(xiàn)一些木馬借AppToService變臉為服務(wù),可以運(yùn)行如下命令來(lái)停止全部AppToService服務(wù):AppToService /StopAll。接著再來(lái)刪除它,要?jiǎng)h除某一服務(wù),請(qǐng)運(yùn)行命令:AppToService /Remove 當(dāng)前已存在的某個(gè)服務(wù)名稱,比如:AppToService /remove bd,刪除全部AppToService服務(wù)的命令為:AppToService /RemoveAll。
小提示
AppToService服務(wù)指的是所有通過(guò)AppToService添加的服務(wù),不是指系統(tǒng)原有服務(wù)。
怎么樣?知道了木馬變服務(wù)的真實(shí)內(nèi)幕了吧,相信有了上面的知識(shí),再遇到后門服務(wù),應(yīng)該是手到擒來(lái)了吧!
聲明:本文分析木馬變服務(wù)過(guò)程,僅為了找出相應(yīng)的防范辦法。切勿模仿!