利用rcmdsvc.exe伪装“合法”系统后门实现入侵
2010-09-30 16:54:02 来源:WEB开发网核心提示:rcmdsvc.exe是Windows 2000 Resource Kit(资源工具包)中的一个小工具,是用来开启Remote Command Service(远程命令服务)服务用的,利用rcmdsvc.exe伪装“合法”系统后门实现入侵,这个服务开启的端口是445,与Windows 2000系统的Microsoft-
rcmdsvc.exe是Windows 2000 Resource Kit(资源工具包)中的一个小工具,是用来开启Remote Command Service(远程命令服务)服务用的,这个服务开启的端口是445,与Windows 2000系统的Microsoft-DS服务开的端口一样。
因为是Microsoft发布的服务,所以根本没有杀毒软件会认为这是病毒或者木马,因此不少入侵者都把这个服务作为入侵后留下的后门使用。
下面我就详细的讲一下如何安装和伪装这个服务。
安装:假设入侵服务器后,入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盘根目录下,在cmd窗口里输入:rcmdsvc –install,回车后,即可看到Remote Command Service服务安装成功的提示,如图一:
这时在“控制面板”――“管理工具”――“服务”里,就可以看到这个服务了,如图二选取的暗条就是还没有伪装过的rcmdsvc服务。
从图二可以看到该服务并没有启动,还需要我们来启动该服务,启动这个服务我们可以使用系统自带的net命令,在cmd窗口里输入:net start rcmdsvc,回车,我们可以看到Remote Command Service服务开始启动和成功,如图三:
[]
更多精彩
赞助商链接