文章来源:51cto.com
rcmdsvc.exe是Windows 2000 Resource Kit(资源工具包)中
![](/icons/58123de.gif)
![](/icons/58123yi.gif)
个小工具
![](/icons/58123dou.gif)
是用来开启Remote Command Service(远程命令服务)服务用
![](/icons/58123de.gif)
![](/icons/58123dou.gif)
这个服务开启
![](/icons/58123de.gif)
端口是445
![](/icons/58123dou.gif)
和Win2k系统
![](/icons/58123de.gif)
Microsoft-DS服务开
![](/icons/58123de.gif)
端口
![](/icons/58123yi.gif)
样
![](/icons/58123dou.gif)
![](/icons/58123yinwei.gif)
是Microsoft发布
![](/icons/58123de.gif)
服务
![](/icons/58123dou.gif)
所以根本没有杀毒软件Software会认为这是病毒或者木马
![](/icons/58123dou.gif)
因此不少入侵者都把这个服务作为入侵后留下
![](/icons/58123de.gif)
后门使用
![](/icons/58123dou2.gif)
下面我就详细
![](/icons/58123de.gif)
讲
![](/icons/58123yi.gif)
下如何安装和伪装这个服务
![](/icons/58123dou2.gif)
安装:假设入侵服务器后
![](/icons/58123dou.gif)
入侵者把以后需要用到
![](/icons/58123de.gif)
rcmdsvc.exe等
![](/icons/58123yi.gif)
些工具都放到了C盘根目录下
![](/icons/58123dou.gif)
在cmd窗口里输入:rcmdsvc –
![](/icons/58123install.gif)
![](/icons/58123dou.gif)
回车后
![](/icons/58123dou.gif)
即可看到Remote Command Service服务安装成功
![](/icons/58123de.gif)
提示
![](/icons/58123dou.gif)
如图
![](/icons/58123yi.gif)
:
这时在“控制面板”---“管理工具”---“服务”里
![](/icons/58123dou.gif)
就可以看到这个服务了
![](/icons/58123dou.gif)
如图 2:
图 2 图中选取
![](/icons/58123de.gif)
暗条就是还没有伪装过
![](/icons/58123de.gif)
rcmdsvc服务
从图 2可以看到该服务并没有启动
![](/icons/58123dou.gif)
还需要我们来启动该服务
![](/icons/58123dou.gif)
启动这个服务我们可以使用系统自带
![](/icons/58123de.gif)
net命令
![](/icons/58123dou.gif)
在cmd窗口里输入:net start rcmdsvc
![](/icons/58123dou.gif)
回车
![](/icons/58123dou.gif)
我们可以看到Remote Command Service服务开始启动和成功
![](/icons/58123dou.gif)
如图 3:
下面我们就可以用Windows 2000 Resource Kit中
![](/icons/58123de.gif)
rcmd.exe小工具进行远程连接了
![](/icons/58123dou.gif)
并且连接后拥有管理员权限
![](/icons/58123dou.gif)
可以添加管理员用户
![](/icons/58123dou.gif)
如图 4:
下面该sc.exe(Service Control
![](/icons/58123de.gif)
缩写)出场了
![](/icons/58123dou.gif)
这个工具是在命令行方式下管理系统中
![](/icons/58123de.gif)
服务
![](/icons/58123de.gif)
![](/icons/58123dou.gif)
在Windows 2000 Resource Kit或者Winxp中都可以找到该工具
![](/icons/58123dou.gif)
来看
![](/icons/58123yi.gif)
下sc.exe是如何把Remote Command Service服务伪装成Messenger这个服务
![](/icons/58123de.gif)
:
1、 删除Messenger服务
![](/icons/58123dou2.gif)
在cmd窗口里输入:sc delete Messenger
![](/icons/58123dou.gif)
回车
![](/icons/58123dou.gif)
可以看到命令完成
![](/icons/58123dou.gif)
如图 5:
上
篇文章: ARP Sinffer用户攻防例子详解
下
篇文章: BBSGood.Speed Version 4.0注入漏洞
延伸阅读
最新评论