廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1840 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 對付假扮系統服務木馬的有效解決辦法
對付假扮系統服務木馬的有效解決辦法
  有些木馬為了免遭殺毒軟體的查殺,經常將自己搖身一變,扮成系統服務,讓其隨系統啟動自動執行,不知不覺地長久控制你的機器。讓我們以牙還牙,來驅趕險惡的“後門服務”。

  小知識 什麼是服務

  服務是一種應用程式類型,它在後臺執行。要管理系統服務,請執行services.msc,打開“服務”對話視窗,這裏可以看到當前系統中的所有服務。雙擊某一服務,在彈出的“內容”對話方塊的“常規”選項頁中的“服務狀態”欄可以看到此服務當前狀態。單擊“啟動類型”下拉功能表,可以將該服務設定為自動啟動、手動啟動或禁用。

  有道是:知己知彼方能百戰百勝,要想應付這類木馬,就得知道它是如何變臉為服務,來長期潛伏作惡的。一般說來,根據木馬變臉的方法不同,通常可以從兩方面去做相應防範:

  一、小心Windows成為木馬的幫兇

  Windows的“服務”工具是不能新增/移刪服務的,但可以利用Windows提供的資源工具包中的Instsrv.exe和Srvany.exe來實現。其中,Instsrv.exe可以給系統安裝和刪除服務,Srvany.exe可以讓程式以服務的方式執行。

  ★變臉原理

  第一步:報戶口——註冊服務名稱

  這裏就以建立一個名為explorer的服務為例來說明,首先將Instsrv.exe和Srvany.exe存放到一個比較方便的地方,建議放到系統安裝目錄中(筆者的Windows XP安裝目錄為D:\Windows)。執行cmd.exe,進入“命令提示符”視窗,執行命令:cd d:\Windows,進入系統安裝目錄。執行命令:

  Instsrv explorer d:\Windows\srvany.exe

  好了,這條命令的成功執行,已經在系統中註冊了一個名叫explorer的服務,快到“服務”中看看一下檢驗檢驗吧!

  小提示

  ★註冊服務:instsrv :這裏的可任意取名,前面必須帶上該檔的絕對路徑,如:D:\Windows\srvany.exe。

  ★刪除服務:instsrv remove

  第二步:找關聯——後門服務
  要讓explorer服務正常執行,還必須在登錄檔中指定該服務對應的應用程式。執行Regedit.exe,打開“登錄檔編輯器”,依次展開如下子鍵:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services],在該子鍵下找到並右擊explorer(對應前面建立的服務名),選擇“新建”下的“項”,將其命名為Parameters。單擊選定它,在右側視窗中新建一個名為Application的字串值,將其數值資料設定為explorer服務對應的應用程式絕對路徑,比如:d:\Windows\gboor.exe。接著再新建兩個字串值:AppDirectory和AppParameters,AppDirectory指定程式所在的目錄,AppParameters指明程式執行的參數(注意:可以不用設值),最後關閉登錄檔編輯器。

  接下來打開“服務”視窗,找到剛添加的explorer服務,打開其內容對話方塊,單擊切換到“登錄”選項頁,在“登錄身份”中選中“本地系統帳戶”,如圖2,如果不想讓服務在執行的時候彈出狀態視窗,請不要勾選“允許服務與桌面交互”複選項,單擊“確定”返回。至此,explorer服務已經全部配置好了。

  最後,右擊該服務,選擇“啟動”,這樣該程式就會啟動,而且以後也會在系統啟動時自動以服務形式執行!
  小提示

  也可以通過命令來啟動服務:net start explorer。

  ★趕走“後門服務”沒商量

  弄清了木馬變服務的伎倆,解決起來就不難了。如果發現系統出現異常,可以到“服務”視窗中進行查看,一旦發現這種惡意的“後門服務”,驅鬼的也僅僅是兩步:①停止服務。所用的命令是:net stop 服務名稱,例如:net stop explorer。②徹底刪除偽服務,把這些險惡的“後門服務”趕出家門,命令為:instsrv.exe 服務名稱 remove,例如:nstsrv.exe explorer remove。

  二、小心木馬變服務的始作俑者

  有些木馬利用一款名為AppToService的小軟體來變服務。該軟體可以將任何應用程式作為 NT系統的服務來執行,而且操作起來更簡單。

  ★變臉原理

  安裝好AppToService V2.7後,直接雙擊執行桌面上的快捷方式AppToService,即可按相應的提示進行操作。

  舉個例子,如果想要把程式d:\Windows\gdoor.exe添加成服務,並將其“服務類型”設定為“自動”,只要執行命令:Apptoservice /install /absname:"bd" /startup:A "d:\Windows\gdoor.exe",就可成功新建bd服務。啟用服務的方法相同即net start bd。

  ★以牙還牙制服“後門服務”

  如果發現一些木馬借AppToService變臉為服務,可以執行如下命令來停止全部AppToService服務:AppToService /StopAll。接著再來刪除它,要刪除某一服務,請執行命令:AppToService /Remove 當前已存在的某個服務名稱,比如:AppToService /remove bd,刪除全部AppToService服務的命令為:AppToService /RemoveAll。

  小提示

  AppToService服務指的是所有通過AppToService添加的服務,不是指系統原有服務。

  怎麼樣?知道了木馬變服務的真實內幕了吧,相信有了上面的知識,再遇到後門服務,應該是手到擒來了吧!

  聲明:本文分析木馬變服務過程,僅為了找出相應的防範辦法。切勿模仿!



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-21 05:26 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.049681 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言