windows自帶的rcmd使用方法整理
2024-07-16 17:01:22
供稿:網(wǎng)友
rcmdsvc.exe是Windows 2000 Resource Kit中的一個(gè)小工具,是用來開啟Remote Command Service服務(wù)的。這個(gè)服務(wù)開啟的端口是445,與Windows 2000系統(tǒng)的Microsoft-DS服務(wù)開的端口一樣。因?yàn)槭荕icrosoft發(fā)布的服務(wù),所以根本沒有殺毒 軟件會(huì)認(rèn)為這是病毒或者木馬,因此不少入侵者都把這個(gè)服務(wù)作為入侵后的后門使用。
下面將從入侵者的角度講一下這個(gè)服務(wù)的安裝、使用方法以及如何偽裝成另外一個(gè)服務(wù),從而讓大家知道該如何防范。
rcmdsvc.exe安裝
假設(shè)服務(wù)器被入侵后,入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盤根目錄下,在cmd窗口里輸入:rcmdsvc -install,回車后,即可看到Remote Command Service服務(wù)安裝成功的提示,
這時(shí)在“控制面板”→“管理工具”→“服務(wù)”里,就可以看到這個(gè)服務(wù)了。
從圖1可以看到該服務(wù)并沒有啟動(dòng),還需要我們來啟動(dòng)該服務(wù),可以使用系統(tǒng)自帶的net命令,在cmd窗口里輸入:net start rcmdsvc,回車,我們可以看到Remote Command Service服務(wù)開始啟動(dòng)和成功。
rcmdsvc.exe使用方法
下面我們就可以用Windows 2000 Resource Kit中的rcmd.exe小工具進(jìn)行遠(yuǎn)程連接了,并且連接后擁有管理員權(quán)限,可以添加管理員用戶。
rcmdsvc.exe偽裝
下面該sc.exe(Service Control的縮寫)出場(chǎng)了,這個(gè)工具是在命令行方式下管理系統(tǒng)中的服務(wù)的,在Windows 2000 Resource Kit或者Windows XP中都可以找到該工具。來看一下sc.exe是如何把Remote Command Service服務(wù)偽裝成Messenger這個(gè)服務(wù)的。
1.刪除Messenger服務(wù)。在cmd窗口里輸入:sc delete Messenger,回車,可以看到命令完成。
2.把Remote Command Service服務(wù)改名為Messenger,在進(jìn)行這步前,需要重新啟動(dòng)一下。在cmd窗口里輸入:sc config rcmdsvc DisplayName= Messenger,回車,可以看到命令完成。這時(shí)候我們到“控制面板”→“管理工具”→“服務(wù)”里,就可以看到Remote Command Service服務(wù)名變成了Messenger。但是“描述”的內(nèi)容為空。為了使這個(gè)服務(wù)看起來更“合法”,我們把Messenger的“描述”也加上,在cmd窗口里輸入:sc description rcmdsvc 發(fā)送和接收系統(tǒng)管理員或者“警報(bào)器”服務(wù)傳遞的消息。我們到“服務(wù)”里就可以看到rcmdsvc的“描述”被加上了Messenger的描述。只不過服務(wù)名稱還是rcmdsvc。
3.再重新用net start命令啟動(dòng)一下rcmdsvc服務(wù),就可以用rcmd.exe進(jìn)行連接了。
為了避免電腦被入侵,把不需要的服務(wù)都關(guān)閉掉,經(jīng)常檢查一下開啟的服務(wù)和端口,如果您經(jīng)過檢查發(fā)現(xiàn)您的電腦有rcmdsvc服務(wù),或者該服務(wù)被偽裝成了別的服務(wù),那就要小心了,說明電腦很可能被入侵了,并被別人安裝上了殺毒 軟件無法查出的“合法”后門
