对付假扮系统服务木马的有效解决办法

  有些木马为了免遭杀毒软件的查杀，每每将本身摇身一变，扮成系统办事，让其随系统启动自动运转，不知不觉地恒久控制你的呆板。让我们以牙还牙，来驱逐邪恶的“后门办事”。
  小知识 什么是办事
  办事是一种使用步伐范例，它在后台运转。要办理系统办事，请运转services.msc，翻开“办事”对话窗口，这里可以看到以后系统中的所有办事。双击某一办事，在弹出的“属性”对话框的“常规”选项页中的“办事状态”栏可以看到此办事以后状态。单击“启动范例”下拉菜单，可以将该办事设置为自动启动、手动启动或禁用。
  有道是:知己知彼方能势如破竹，要想应付这类木马，就得知道它是如何变脸为办事，来恒久潜伏作恶的。一般说来，根据木马变脸的方法差别，通常可以从两方面去做相应防备:
  一、小心Windows成为木马的帮凶
  Windows的“办事”工具是不克不及添加/删除办事的，但可以利用Windows提供的资源工具包中的Instsrv.exe和Srvany.exe来完成。其中，Instsrv.exe可以给系统安置和删除办事，Srvany.exe可以让步伐以办事的方法运转。
  ★变脸原理
  第一步:报户口——注册办事名称
  这里就以建立一个名为explorer的办事为例来阐明，首先将Instsrv.exe和Srvany.exe存放到一个比力方便的中央，发起放到系统安置目次中(笔者的Windows XP安置目次为D:\Windows)。运转cmd.exe，进入“下令提示符”窗口，实行下令:cd d:\Windows，进入系统安置目次。运转下令:
  Instsrv explorer d:\Windows\srvany.exe
  好了，这条下令的成功运转，曾经在系统中注册了一个名叫explorer的办事，快到“办事”中看看一下检验检验吧!
  小提示
  ★注册办事:instsrv :这里的可恣意取名，后面必须带上该文件的绝对路径，如:D:\Windows\srvany.exe。
  ★删除办事:instsrv remove
  第二步:找关联——后门办事
  要让explorer办事正常运转，还必须在注册表中指定该办事对应的使用步伐。运转Regedit.exe，翻开“注册表编辑器”，依次睁开如下子键:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]，在该子键下找到并右击explorer(对应后面建立的办事名)，选择“新建”下的“项”，将其定名为Parameters。单击选定它，在右侧窗口中新建一个名为Application的字符串值，将其数值数据设置为explorer办事对应的使用步伐绝对路径，比如:d:\Windows\gboor.exe。接着再新建两个字符串值:AppDirectory和AppParameters，AppDirectory指定步伐所在的目次，AppParameters指明步伐运转的参数(细致:可以不消设值)，如图1所示，最后封闭注册表编辑器。
  接上去翻开“办事”窗口，找到刚添加的explorer办事，翻开其属性对话框，单击切换到“登录”选项页，在“登录身份”中选中“当地系统账户”，如图2，要是不想让办事在运转的时候弹出状态窗口，请不要勾选“容许办事与桌面交互”复选项，单击“确定”返回。至此，explorer办事曾经全部配置好了。
  最后，右击该办事，选择“启动”，这样该步伐就会启动，而且以后也会在系统启动时自动以办事情势运转!
  小提示
  也可以通过下令来启动办事:net start explorer。
  ★赶走“后门办事”没商量
  弄清了木马变办事的本领，办理起来就不难了。要是发现系统出现异常，可以到“办事”窗口中举行检察，一旦发现这种恶意的“后门办事”，驱鬼的也仅仅是两步:①制止办事。所用的下令是:net stop 办事名称，例如:net stop explorer。②彻底删除伪办事，把这些邪恶的“后门办事”赶出家门，下令为:instsrv.exe 办事名称 remove，例如:nstsrv.exe explorer remove。
  二、小心木马变办事的始作俑者
  有些木马利用一款名为AppToService的小软件来变办事。该软件可以将任何使用步伐作为 NT系统的办事来运转，而且操作起来更简单。
  ★变脸原理
  安置好AppToService V2.7后，间接双击运转桌面上的快捷方法AppToService，即可按相应的提示举行操作。
  举个例子，要是想要把步伐d:\Windows\gdoor.exe添加成办事，并将其“办事范例”设置为“自动”，只要运转下令:Apptoservice /install /absname:"bd" /startup:A "d:\Windows\gdoor.exe"，就可成功新建bd办事。启用办事的方法雷同即net start bd。
  ★以牙还牙制服“后门办事”
  要是发现一些木马借AppToService变脸为办事，可以运转如下下令来制止全部AppToService办事:AppToService /StopAll。接着再来删除它，要删除某一办事，请运转下令:AppToService /Remove 以后已存在的某个办事名称，比如:AppToService /remove bd，删除全部AppToService办事的下令为:AppToService /RemoveAll。
  小提示
  AppToService办事指的是所有通过AppToService添加的办事，不是指系统原有办事。
  怎样样?知道了木马变办事的真实内幕了吧，信赖有了上面的知识，再遇到后门办事，应该是手到擒来了吧!
  声明:本文阐发木马变办事历程，仅为了找出相应的防备办法。切勿模仿!
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：