有些木馬為了免遭殺毒軟件的查殺，經(jīng)常將自己搖身一變，扮成系統(tǒng)服務(wù)，讓其隨系統(tǒng)啟動自動運(yùn)行，不知不覺地長久控制你的機(jī)器。讓我們以牙還牙，來驅(qū)趕險(xiǎn)惡的“后門服務(wù)”。

　　小知識 什么是服務(wù)

　　服務(wù)是一種應(yīng)用程序類型，它在后臺運(yùn)行。要管理系統(tǒng)服務(wù)，請運(yùn)行services.msc，打開“服務(wù)”對話窗口，這里可以看到當(dāng)前系統(tǒng)中的所有服務(wù)。雙擊某一服務(wù)，在彈出的“屬性”對話框的“常規(guī)”選項(xiàng)頁中的“服務(wù)狀態(tài)”欄可以看到此服務(wù)當(dāng)前狀態(tài)。單擊“啟動類型”下拉菜單，可以將該服務(wù)設(shè)置為自動啟動、手動啟動或禁用。

　　有道是:知己知彼方能百戰(zhàn)百勝，要想應(yīng)付這類木馬，就得知道它是如何變臉為服務(wù)，來長期潛伏作惡的。一般說來，根據(jù)木馬變臉的方法不同，通常可以從兩方面去做相應(yīng)防范:

　　一、小心Windows成為木馬的幫兇

　　Windows的“服務(wù)”工具是不能添加/刪除服務(wù)的，但可以利用Windows提供的資源工具包中的Instsrv.exe和Srvany.exe來實(shí)現(xiàn)。其中，Instsrv.exe可以給系統(tǒng)安裝和刪除服務(wù)，Srvany.exe可以讓程序以服務(wù)的方式運(yùn)行。

　　★變臉原理

　　第一步:報(bào)戶口——注冊服務(wù)名稱

　　這里就以建立一個名為explorer的服務(wù)為例來說明，首先將Instsrv.exe和Srvany.exe存放到一個比較方便的地方，建議放到系統(tǒng)安裝目錄中(筆者的Windows XP安裝目錄為D:Windows)。運(yùn)行cmd.exe，進(jìn)入“命令提示符”窗口，執(zhí)行命令:cd d:Windows，進(jìn)入系統(tǒng)安裝目錄。運(yùn)行命令:

　　Instsrv explorer d:Windowssrvany.exe

　　好了，這條命令的成功運(yùn)行，已經(jīng)在系統(tǒng)中注冊了一個名叫explorer的服務(wù)，快到“服務(wù)”中看看一下檢驗(yàn)檢驗(yàn)吧!

　　小提示

　　★注冊服務(wù):instsrv :這里的可任意取名，前面必須帶上該文件的絕對路徑，如:D:Windowssrvany.exe。

　　★刪除服務(wù):instsrv remove

　　第二步:找關(guān)聯(lián)——后門服務(wù)

　　要讓explorer服務(wù)正常運(yùn)行，還必須在注冊表中指定該服務(wù)對應(yīng)的應(yīng)用程序。運(yùn)行Regedit.exe，打開“注冊表編輯器”，依次展開如下子鍵:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]，在該子鍵下找到并右擊explorer(對應(yīng)前面建立的服務(wù)名)，選擇“新建”下的“項(xiàng)”，將其命名為Parameters。單擊選定它，在右側(cè)窗口中新建一個名為Application的字符串值，將其數(shù)值數(shù)據(jù)設(shè)置為explorer服務(wù)對應(yīng)的應(yīng)用程序絕對路徑，比如:d:Windowsgboor.exe。接著再新建兩個字符串值:AppDirectory和AppParameters，AppDirectory指定程序所在的目錄，AppParameters指明程序運(yùn)行的參數(shù)(注意:可以不用設(shè)值)，最后關(guān)閉注冊表編輯器。

　　接下來打開“服務(wù)”窗口，找到剛添加的explorer服務(wù)，打開其屬性對話框，單擊切換到“登錄”選項(xiàng)頁，在“登錄身份”中選中“本地系統(tǒng)賬戶”，如果不想讓服務(wù)在運(yùn)行的時(shí)候彈出狀態(tài)窗口，請不要勾選“允許服務(wù)與桌面交互”復(fù)選項(xiàng)，單擊“確定”返回。至此，explorer服務(wù)已經(jīng)全部配置好了。

　　最后，右擊該服務(wù)，選擇“啟動”，這樣該程序就會啟動，而且以后也會在系統(tǒng)啟動時(shí)自動以服務(wù)形式運(yùn)行!

　　小提示

　　也可以通過命令來啟動服務(wù):net start explorer。

　　★趕走“后門服務(wù)”沒商量

　　弄清了木馬變服務(wù)的伎倆，解決起來就不難了。如果發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常，可以到“服務(wù)”窗口中進(jìn)行查看，一旦發(fā)現(xiàn)這種惡意的“后門服務(wù)”，驅(qū)鬼的也僅僅是兩步:①停止服務(wù)。所用的命令是:net stop 服務(wù)名稱，例如:net stop explorer。②徹底刪除偽服務(wù)，把這些險(xiǎn)惡的“后門服務(wù)”趕出家門，命令為:instsrv.exe 服務(wù)名稱 remove，例如:nstsrv.exe explorer remove。

　　二、小心木馬變服務(wù)的始作俑者

　　有些木馬利用一款名為AppToService的小軟件來變服務(wù)。該軟件可以將任何應(yīng)用程序作為 NT系統(tǒng)的服務(wù)來運(yùn)行，而且操作起來更簡單。

　　★變臉原理

　　安裝好AppToService V2.7后，直接雙擊運(yùn)行桌面上的快捷方式AppToService，即可按相應(yīng)的提示進(jìn)行操作。

　　舉個例子，如果想要把程序d:Windowsgdoor.exe添加成服務(wù)，并將其“服務(wù)類型”設(shè)置為“自動”，只要運(yùn)行命令:Apptoservice /install /absname:"bd" /startup:A "d:Windowsgdoor.exe"，就可成功新建bd服務(wù)。啟用服務(wù)的方法相同即net start bd。

　　★以牙還牙制服“后門服務(wù)”

　　如果發(fā)現(xiàn)一些木馬借AppToService變臉為服務(wù)，可以運(yùn)行如下命令來停止全部AppToService服務(wù):AppToService /StopAll。接著再來刪除它，要刪除某一服務(wù)，請運(yùn)行命令:AppToService /Remove 當(dāng)前已存在的某個服務(wù)名稱，比如:AppToService /remove bd，刪除全部AppToService服務(wù)的命令為:AppToService /RemoveAll。

　　小提示

　　AppToService服務(wù)指的是所有通過AppToService添加的服務(wù)，不是指系統(tǒng)原有服務(wù)。

　　怎么樣?知道了木馬變服務(wù)的真實(shí)內(nèi)幕了吧，相信有了上面的知識，再遇到后門服務(wù)，應(yīng)該是手到擒來了吧!

　　聲明:本文分析木馬變服務(wù)過程，僅為了找出相應(yīng)的防范辦法。切勿模仿!