upside
反病毒 反诈骗 反虐犬
|
分享:
x0
|
[资讯教学] 对付假扮系统服务木马的有效解决办法
对付假扮系统服务木马的有效解决办法 有些木马为了免遭杀毒软体的查杀,经常将自己摇身一变,扮成系统服务,让其随系统启动自动执行,不知不觉地长久控制你的机器。让我们以牙还牙,来驱赶险恶的“后门服务”。
小知识 什么是服务
服务是一种应用程式类型,它在后台执行。要管理系统服务,请执行services.msc,打开“服务”对话视窗,这里可以看到当前系统中的所有服务。双击某一服务,在弹出的“内容”对话方块的“常规”选项页中的“服务状态”栏可以看到此服务当前状态。单击“启动类型”下拉功能表,可以将该服务设定为自动启动、手动启动或禁用。
有道是:知己知彼方能百战百胜,要想应付这类木马,就得知道它是如何变脸为服务,来长期潜伏作恶的。一般说来,根据木马变脸的方法不同,通常可以从两方面去做相应防范:
一、小心Windows成为木马的帮凶
Windows的“服务”工具是不能新增/移删服务的,但可以利用Windows提供的资源工具包中的Instsrv.exe和Srvany.exe来实现。其中,Instsrv.exe可以给系统安装和删除服务,Srvany.exe可以让程式以服务的方式执行。
★变脸原理
第一步:报户口——注册服务名称
这里就以建立一个名为explorer的服务为例来说明,首先将Instsrv.exe和Srvany.exe存放到一个比较方便的地方,建议放到系统安装目录中(笔者的Windows XP安装目录为D:\Windows)。执行cmd.exe,进入“命令提示符”视窗,执行命令:cd d:\Windows,进入系统安装目录。执行命令:
Instsrv explorer d:\Windows\srvany.exe
好了,这条命令的成功执行,已经在系统中注册了一个名叫explorer的服务,快到“服务”中看看一下检验检验吧!
小提示
★注册服务:instsrv :这里的可任意取名,前面必须带上该档的绝对路径,如:D:\Windows\srvany.exe。
★删除服务:instsrv remove
第二步:找关联——后门服务 要让explorer服务正常执行,还必须在登录档中指定该服务对应的应用程式。执行Regedit.exe,打开“登录档编辑器”,依次展开如下子键:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services],在该子键下找到并右击explorer(对应前面建立的服务名),选择“新建”下的“项”,将其命名为Parameters。单击选定它,在右侧视窗中新建一个名为Application的字串值,将其数值资料设定为explorer服务对应的应用程式绝对路径,比如:d:\Windows\gboor.exe。接着再新建两个字串值:AppDirectory和AppParameters,AppDirectory指定程式所在的目录,AppParameters指明程式执行的参数(注意:可以不用设值),最后关闭登录档编辑器。
接下来打开“服务”视窗,找到刚添加的explorer服务,打开其内容对话方块,单击切换到“登录”选项页,在“登录身份”中选中“本地系统帐户”,如图2,如果不想让服务在执行的时候弹出状态视窗,请不要勾选“允许服务与桌面交互”复选项,单击“确定”返回。至此,explorer服务已经全部配置好了。
最后,右击该服务,选择“启动”,这样该程式就会启动,而且以后也会在系统启动时自动以服务形式执行! 小提示
也可以通过命令来启动服务:net start explorer。
★赶走“后门服务”没商量
弄清了木马变服务的伎俩,解决起来就不难了。如果发现系统出现异常,可以到“服务”视窗中进行查看,一旦发现这种恶意的“后门服务”,驱鬼的也仅仅是两步:①停止服务。所用的命令是:net stop 服务名称,例如:net stop explorer。②彻底删除伪服务,把这些险恶的“后门服务”赶出家门,命令为:instsrv.exe 服务名称 remove,例如:nstsrv.exe explorer remove。
二、小心木马变服务的始作俑者
有些木马利用一款名为AppToService的小软体来变服务。该软体可以将任何应用程式作为 NT系统的服务来执行,而且操作起来更简单。
★变脸原理
安装好AppToService V2.7后,直接双击执行桌面上的快捷方式AppToService,即可按相应的提示进行操作。
举个例子,如果想要把程式d:\Windows\gdoor.exe添加成服务,并将其“服务类型”设定为“自动”,只要执行命令:Apptoservice /install /absname:"bd" /startup:A "d:\Windows\gdoor.exe",就可成功新建bd服务。启用服务的方法相同即net start bd。
★以牙还牙制服“后门服务”
如果发现一些木马借AppToService变脸为服务,可以执行如下命令来停止全部AppToService服务:AppToService /StopAll。接着再来删除它,要删除某一服务,请执行命令:AppToService /Remove 当前已存在的某个服务名称,比如:AppToService /remove bd,删除全部AppToService服务的命令为:AppToService /RemoveAll。
小提示
AppToService服务指的是所有通过AppToService添加的服务,不是指系统原有服务。
怎么样?知道了木马变服务的真实内幕了吧,相信有了上面的知识,再遇到后门服务,应该是手到擒来了吧!
声明:本文分析木马变服务过程,仅为了找出相应的防范办法。切勿模仿!
|