科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道rcmdsvc 伪装"合法"的系统后门(2)

rcmdsvc 伪装"合法"的系统后门(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

rcmdsvc.exe是Windows 2000 Resource Kit(资源工具包)中的一个小工具,是用来开启Remote Command Service(远程命令服务)服务用的,这个服务开启的端口是445

作者:论坛整理 来源:zdnet网络安全 2007年12月25日

关键字: 病毒专杀 病毒 后门 系统安全

  • 评论
  • 分享微博
  • 分享邮件
2、 把Remote Command Service服务该名为Messenger,在进行这步前,需要重新启动一下。在cmd窗口里输入:sc config rcmdsvc DisplayName= Messenger,回车,可以看到命令完成,如图六:



    这时候我们到“控制面板”---“管理工具”---“服务”里,就可以看到Remote Command Service服务名变成了Messenger,如图七:



    但是“描述”的内容为空,为了使这个服务看起来更“合法”,我们把Messenger的“描述”也加上,在cmd窗口里输入:sc description rcmdsvc 发送和接收系统管理员或者“警报器”服务传递的消息。我们到“服务”里就可以看到rcmdsvc 的“描述”被加上了Messenger的“描述”,如图八:



图八  伪装过的Remote Command Service服务
只不过服务名称还是rcmdsvc。

    3、再重新用net start命令启动一下rcmdsvc服务,就可以用rcmd.exe进行连接了。

    总结:由于被入侵方需要满足IPC$开启和没开防火墙等条件,而现在大多数的网络服务提供商已经把139和445端口屏蔽掉了,所以这种后门方式在局域网中比较常用。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章