第二步:找关联——后门服务

　　要让explorer服务正常运行，还必须在注册表中指定该服务对应的应用程序。运行Regedit.exe，打开“注册表编辑器”，依次展开如下子键:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]，在该子键下找到并右击explorer(对应前面建立的服务名)，选择“新建”下的“项”，将其命名为Parameters。单击选定它，在右侧窗口中新建一个名为Application的字符串值，将其数值数据设置为explorer服务对应的应用程序绝对路径，比如:d:\Windows\gboor.exe。接着再新建两个字符串值:AppDirectory和AppParameters，AppDirectory指定程序所在的目录，AppParameters指明程序运行的参数(注意:可以不用设值)，如图1所示，最后关闭注册表编辑器。

　　接下来打开“服务”窗口，找到刚添加的explorer服务，打开其属性对话框，单击切换到“登录”选项页，在“登录身份”中选中“本地系统账户”，如图2，如果不想让服务在运行的时候弹出状态窗口，请不要勾选“允许服务与桌面交互”复选项，单击“确定”返回。至此，explorer服务已经全部配置好了。

　　最后，右击该服务，选择“启动”，这样该程序就会启动，而且以后也会在系统启动时自动以服务形式运行!

　　小提示

　　也可以通过命令来启动服务:net start explorer。

        ■赶走“后门服务”没商量
　　弄清了木马变服务的伎俩，解决起来就不难了。如果发现系统出现异常，可以到“服务”窗口中进行查看，一旦发现这种恶意的“后门服务”，驱鬼的也仅仅是两步:①停止服务。所用的命令是:net stop 服务名称，例如:net stop explorer。②彻底删除伪服务，把这些险恶的“后门服务”赶出家门，命令为:instsrv.exe 服务名称 remove，例如:nstsrv.exe explorer remove。

　　二、小心木马变服务的始作俑者

　　有些木马利用一款名为AppToService的小软件来变服务。该软件可以将任何应用程序作为 NT系统的服务来运行，而且操作起来更简单。

　　■变脸原理

　　安装好AppToService V2.7后，直接双击运行桌面上的快捷方式AppToService，即可按相应的提示进行操作。

　　举个例子，如果想要把程序d:\Windows\gdoor.exe添加成服务，并将其“服务类型”设置为“自动”，只要运行命令:Apptoservice /install /absname:"bd" /startup:A "d:\Windows\gdoor.exe"，就可成功新建bd服务。启用服务的方法相同即net start bd。

　　■以牙还牙制服“后门服务”

　　如果发现一些木马借AppToService变脸为服务，可以运行如下命令来停止全部AppToService服务:AppToService /StopAll。接着再来删除它，要删除某一服务，请运行命令:AppToService /Remove 当前已存在的某个服务名称，比如:AppToService /remove bd，删除全部AppToService服务的命令为:AppToService /RemoveAll。

　　AppToService服务指的是所有通过AppToService添加的服务，不是指系统原有服务。

　　怎么样?知道了木马变服务的真实内幕了吧，相信有了上面的知识，再遇到后门服务，应该是手到擒来了吧!

　　声明:本文分析木马变服务过程，仅为了找出相应的防范办法。请勿模仿。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点