科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道rcmdsvc 伪装"合法"的系统后门(1)

rcmdsvc 伪装"合法"的系统后门(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

rcmdsvc.exe是Windows 2000 Resource Kit(资源工具包)中的一个小工具,是用来开启Remote Command Service(远程命令服务)服务用的,这个服务开启的端口是445

作者:论坛整理 来源:zdnet网络安全 2007年12月25日

关键字: 后门 病毒 系统安全 病毒专杀

  • 评论
  • 分享微博
  • 分享邮件
rcmdsvc.exe是Windows 2000 Resource Kit(资源工具包)中的一个小工具,是用来开启Remote Command Service(远程命令服务)服务用的,这个服务开启的端口是445,与Win2k系统的Microsoft-DS服务开的端口一样,因为是Microsoft发布的服务,所以根本没有杀毒软件会认为这是病毒或者木马,因此不少入侵者都把这个服务作为入侵后留下的后门使用。下面我就详细的讲一下如何安装和伪装这个服务。
安装:假设入侵服务器后,入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盘根目录下,在cmd窗口里输入:rcmdsvc –install,回车后,即可看到Remote Command Service服务安装成功的提示,如图一:



这时在“控制面板”---“管理工具”---“服务”里,就可以看到这个服务了,如图二:



图二  图中选取的暗条就是还没有伪装过的rcmdsvc服务

    从图二可以看到该服务并没有启动,还需要我们来启动该服务,启动这个服务我们可以使用系统自带的net命令,在cmd窗口里输入:net start rcmdsvc,回车,我们可以看到Remote Command Service服务开始启动和成功,如图三:



    下面我们就可以用Windows 2000 Resource Kit中的rcmd.exe小工具进行远程连接了,并且连接后拥有管理员权限,可以添加管理员用户,如图四:




   下面该sc.exe(Service Control的缩写)出场了,这个工具是在命令行方式下管理系统中的服务的,在Windows 2000 Resource Kit或者Winxp中都可以找到该工具,来看一下sc.exe是如何把Remote Command Service服务伪装成Messenger这个服务的:

     1、 删除Messenger服务。在cmd窗口里输入:sc delete Messenger,回车,可以看到命令完成,如图五:

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章