广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 1829 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 对付假扮系统服务木马的有效解决办法
对付假扮系统服务木马的有效解决办法
  有些木马为了免遭杀毒软体的查杀,经常将自己摇身一变,扮成系统服务,让其随系统启动自动执行,不知不觉地长久控制你的机器。让我们以牙还牙,来驱赶险恶的“后门服务”。

  小知识 什么是服务

  服务是一种应用程式类型,它在后台执行。要管理系统服务,请执行services.msc,打开“服务”对话视窗,这里可以看到当前系统中的所有服务。双击某一服务,在弹出的“内容”对话方块的“常规”选项页中的“服务状态”栏可以看到此服务当前状态。单击“启动类型”下拉功能表,可以将该服务设定为自动启动、手动启动或禁用。

  有道是:知己知彼方能百战百胜,要想应付这类木马,就得知道它是如何变脸为服务,来长期潜伏作恶的。一般说来,根据木马变脸的方法不同,通常可以从两方面去做相应防范:

  一、小心Windows成为木马的帮凶

  Windows的“服务”工具是不能新增/移删服务的,但可以利用Windows提供的资源工具包中的Instsrv.exe和Srvany.exe来实现。其中,Instsrv.exe可以给系统安装和删除服务,Srvany.exe可以让程式以服务的方式执行。

  ★变脸原理

  第一步:报户口——注册服务名称

  这里就以建立一个名为explorer的服务为例来说明,首先将Instsrv.exe和Srvany.exe存放到一个比较方便的地方,建议放到系统安装目录中(笔者的Windows XP安装目录为D:\Windows)。执行cmd.exe,进入“命令提示符”视窗,执行命令:cd d:\Windows,进入系统安装目录。执行命令:

  Instsrv explorer d:\Windows\srvany.exe

  好了,这条命令的成功执行,已经在系统中注册了一个名叫explorer的服务,快到“服务”中看看一下检验检验吧!

  小提示

  ★注册服务:instsrv :这里的可任意取名,前面必须带上该档的绝对路径,如:D:\Windows\srvany.exe。

  ★删除服务:instsrv remove

  第二步:找关联——后门服务
  要让explorer服务正常执行,还必须在登录档中指定该服务对应的应用程式。执行Regedit.exe,打开“登录档编辑器”,依次展开如下子键:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services],在该子键下找到并右击explorer(对应前面建立的服务名),选择“新建”下的“项”,将其命名为Parameters。单击选定它,在右侧视窗中新建一个名为Application的字串值,将其数值资料设定为explorer服务对应的应用程式绝对路径,比如:d:\Windows\gboor.exe。接着再新建两个字串值:AppDirectory和AppParameters,AppDirectory指定程式所在的目录,AppParameters指明程式执行的参数(注意:可以不用设值),最后关闭登录档编辑器。

  接下来打开“服务”视窗,找到刚添加的explorer服务,打开其内容对话方块,单击切换到“登录”选项页,在“登录身份”中选中“本地系统帐户”,如图2,如果不想让服务在执行的时候弹出状态视窗,请不要勾选“允许服务与桌面交互”复选项,单击“确定”返回。至此,explorer服务已经全部配置好了。

  最后,右击该服务,选择“启动”,这样该程式就会启动,而且以后也会在系统启动时自动以服务形式执行!
  小提示

  也可以通过命令来启动服务:net start explorer。

  ★赶走“后门服务”没商量

  弄清了木马变服务的伎俩,解决起来就不难了。如果发现系统出现异常,可以到“服务”视窗中进行查看,一旦发现这种恶意的“后门服务”,驱鬼的也仅仅是两步:①停止服务。所用的命令是:net stop 服务名称,例如:net stop explorer。②彻底删除伪服务,把这些险恶的“后门服务”赶出家门,命令为:instsrv.exe 服务名称 remove,例如:nstsrv.exe explorer remove。

  二、小心木马变服务的始作俑者

  有些木马利用一款名为AppToService的小软体来变服务。该软体可以将任何应用程式作为 NT系统的服务来执行,而且操作起来更简单。

  ★变脸原理

  安装好AppToService V2.7后,直接双击执行桌面上的快捷方式AppToService,即可按相应的提示进行操作。

  举个例子,如果想要把程式d:\Windows\gdoor.exe添加成服务,并将其“服务类型”设定为“自动”,只要执行命令:Apptoservice /install /absname:"bd" /startup:A "d:\Windows\gdoor.exe",就可成功新建bd服务。启用服务的方法相同即net start bd。

  ★以牙还牙制服“后门服务”

  如果发现一些木马借AppToService变脸为服务,可以执行如下命令来停止全部AppToService服务:AppToService /StopAll。接着再来删除它,要删除某一服务,请执行命令:AppToService /Remove 当前已存在的某个服务名称,比如:AppToService /remove bd,删除全部AppToService服务的命令为:AppToService /RemoveAll。

  小提示

  AppToService服务指的是所有通过AppToService添加的服务,不是指系统原有服务。

  怎么样?知道了木马变服务的真实内幕了吧,相信有了上面的知识,再遇到后门服务,应该是手到擒来了吧!

  声明:本文分析木马变服务过程,仅为了找出相应的防范办法。切勿模仿!



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-12-21 05:26 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.011816 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言