几招识别系统服务中的“间谍”

当黑客入侵一台主机后，为了不让这台肉鸡飞掉，经常会采用的手段是在肉鸡上种下木马，而木马一般都会在启动项或者注册表中动手脚，以跟随系统中，服务是指执行指定的服务简直就是小菜一碟。 　　 

启动，这里当然不能是手动，因此我们来把它改为自动，输入命令“sc config clipsrv start= auto”，回车后服务就被设为自动启动。

替换可执行文件路径 　　 

　　从sc的qc命令中我们可以得知ClipBook服务的可执行文件路径为C:/windows/system32/clipsrv.exe，我们将木 马文件放置于c:/windows/system32目录，这样做的目的是为了增加木马文件的隐蔽性。返回“命令提示符中”输入命令“sc config clipsrv binpath= "c:/winnt/system32/muma.exe”回车后，ClipBook服务的可执行文件就被我们换成了muma.exe，我们可以再次使用 qc命令进行确认。至此，系统服务的替换就完成了。 

　　 

　　揪出被替换的系统服务 　　 

　　如果你对服务不是很了解，并不代表就对黑客所替换的系统服务无能为力，借助一些安全工具，我们还是可以将被替换的服务找出来的。查找被替换的服务我们可以借助“超级巡警”这款安全工具，安装后运行其主文件，然后点击工具栏上的高级按钮，接着切换到“服务管理”标签，如果系统中有服务被替换，在这里会以黄色的条目标出，哪些服务有问题一眼便知。找出被替换的服务后，右键点击，选择“编辑服务”，将可执行文件的路径改回来即可，最后别忘了将藏在系统中的木马程序删除。