伪装成系统服务木马的清除办法

   “服务”是一种应用程序类型，在后台运行。如果要对系统服务进行管理，请在运行中输入services.msc，这时会打开“服务”对话窗口，这里可以看到当前系统中的所有服务。双击某一服务，在弹出的“属性”对话框的“常规”选项页中的“服务状态”栏可以看到此服务当前状态。单击“启动类型”下拉菜单，可以将该服务设置为自动启动、手动启动或禁用。

    有些木马为了免遭杀毒软件的查杀，经常将自己摇身一变，扮成系统服务，让其随系统启动自动运行，不知不觉地长久控制你的机器。让我们以牙还牙，来驱赶险恶的“后门服务”。

　　有道是:知己知彼方能百战百胜，要想应付这类木马，就得知道它是如何变脸为服务，来长期潜伏作恶的。一般说来，根据木马变脸的方法不同，通常可以从两方面去做相应防范:

　　一、小心Windows成为木马的帮凶

　　Windows的“服务”工具是不能添加/删除服务的，但可以利用Windows提供的资源工具包中的Instsrv.exe和Srvany.exe来实现。其中，Instsrv.exe可以给系统安装和删除服务，Srvany.exe可以让程序以服务的方式运行。

　　■变脸原理

　　第一步:报户口——注册服务名称

　　这里就以建立一个名为explorer的服务为例来说明，首先将Instsrv.exe和Srvany.exe存放到一个比较方便的地方，建议放到系统安装目录中(笔者的Windows XP安装目录为D:\Windows)。运行cmd.exe，进入“命令提示符”窗口，执行命令:cd d:\Windows，进入系统安装目录。运行命令:

　　Instsrv explorer d:\Windows\srvany.exe

　　好了，这条命令的成功运行，已经在系统中注册了一个名叫explorer的服务，快到“服务”中看看一下检验检验吧!

    　■注册服务:instsrv :这里的可任意取名，前面必须带上该文件的绝对路径，如:D:\Windows\srvany.exe。

　　■删除服务:instsrv remove

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点