rcmdsvc.exe是Windows 2000 Resource Kit(资源工具包)中
个小工具
是用来开启Remote Command Service(远程命令服务)服务用这个服务开启端口是445和Win2k系统Microsoft-DS服务开端口样
是Microsoft发布服务所以根本没有杀毒软件Software会认为这是病毒或者木马因此不少入侵者都把这个服务作为入侵后留下后门使用
下面我就详细讲下如何安装和伪装这个服务安装:假设入侵服务器后
入侵者把以后需要用到rcmdsvc.exe等些工具都放到了C盘根目录下在cmd窗口里输入:rcmdsvc –
回车后即可看到Remote Command Service服务安装成功提示如图:这时在“控制面板”---“管理工具”---“服务”里
就可以看到这个服务了如图 2:图 2 图中选取
暗条就是还没有伪装过rcmdsvc服务 从图 2可以看到该服务并没有启动
还需要我们来启动该服务启动这个服务我们可以使用系统自带net命令在cmd窗口里输入:net start rcmdsvc回车我们可以看到Remote Command Service服务开始启动和成功如图 3:下面我们就可以用Windows 2000 Resource Kit中
rcmd.exe小工具进行远程连接了并且连接后拥有管理员权限可以添加管理员用户如图 4:下面该sc.exe(Service Control
缩写)出场了这个工具是在命令行方式下管理系统中服务在Windows 2000 Resource Kit或者Winxp中都可以找到该工具来看下sc.exe是如何把Remote Command Service服务伪装成Messenger这个服务:1、 删除Messenger服务
在cmd窗口里输入:sc delete Messenger回车可以看到命令完成如图 5:篇文章: ARP Sinffer用户攻防例子详解篇文章: BBSGood.Speed Version 4.0注入漏洞
最新评论