rcmdsvc 伪装"合法"的系统后门(2)

2、 把Remote Command Service服务该名为Messenger，在进行这步前，需要重新启动一下。在cmd窗口里输入：sc config rcmdsvc DisplayName= Messenger，回车，可以看到命令完成，如图六：

    这时候我们到“控制面板”---“管理工具”---“服务”里，就可以看到Remote Command Service服务名变成了Messenger，如图七：

    但是“描述”的内容为空，为了使这个服务看起来更“合法”，我们把Messenger的“描述”也加上，在cmd窗口里输入：sc description rcmdsvc 发送和接收系统管理员或者“警报器”服务传递的消息。我们到“服务”里就可以看到rcmdsvc 的“描述”被加上了Messenger的“描述”，如图八：

图八  伪装过的Remote Command Service服务
只不过服务名称还是rcmdsvc。

    3、再重新用net start命令启动一下rcmdsvc服务，就可以用rcmd.exe进行连接了。

    总结：由于被入侵方需要满足IPC$开启和没开防火墙等条件，而现在大多数的网络服务提供商已经把139和445端口屏蔽掉了，所以这种后门方式在局域网中比较常用。