windows自帶的rcmd使用方法整理
2020-07-10 20:33:53
供稿:網(wǎng)友
rcmdsvc.exe是Windows 2000 Resource Kit中的一個(gè)小工具����,是用來開啟Remote Command Service服務(wù)的���。這個(gè)服務(wù)開啟的端口是445,與Windows 2000系統(tǒng)的Microsoft-DS服務(wù)開的端口一樣�����。因?yàn)槭荕icrosoft發(fā)布的服務(wù)����,所以根本沒有殺毒 軟件會(huì)認(rèn)為這是病毒或者木馬�����,因此不少入侵者都把這個(gè)服務(wù)作為入侵后的后門使用��。
下面將從入侵者的角度講一下這個(gè)服務(wù)的安裝、使用方法以及如何偽裝成另外一個(gè)服務(wù)����,從而讓大家知道該如何防范���。
rcmdsvc.exe安裝
假設(shè)服務(wù)器被入侵后��,入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盤根目錄下�����,在cmd窗口里輸入:rcmdsvc -install��,回車后��,即可看到Remote Command Service服務(wù)安裝成功的提示,
這時(shí)在“控制面板”→“管理工具”→“服務(wù)”里�����,就可以看到這個(gè)服務(wù)了��。
從圖1可以看到該服務(wù)并沒有啟動(dòng)��,還需要我們來啟動(dòng)該服務(wù),可以使用系統(tǒng)自帶的net命令�����,在cmd窗口里輸入:net start rcmdsvc����,回車��,我們可以看到Remote Command Service服務(wù)開始啟動(dòng)和成功�。
rcmdsvc.exe使用方法
下面我們就可以用Windows 2000 Resource Kit中的rcmd.exe小工具進(jìn)行遠(yuǎn)程連接了�,并且連接后擁有管理員權(quán)限����,可以添加管理員用戶。
rcmdsvc.exe偽裝
下面該sc.exe(Service Control的縮寫)出場(chǎng)了�,這個(gè)工具是在命令行方式下管理系統(tǒng)中的服務(wù)的�����,在Windows 2000 Resource Kit或者Windows XP中都可以找到該工具�����。來看一下sc.exe是如何把Remote Command Service服務(wù)偽裝成Messenger這個(gè)服務(wù)的�。
1.刪除Messenger服務(wù)。在cmd窗口里輸入:sc delete Messenger��,回車����,可以看到命令完成��。
2.把Remote Command Service服務(wù)改名為Messenger�,在進(jìn)行這步前�,需要重新啟動(dòng)一下�����。在cmd窗口里輸入:sc config rcmdsvc DisplayName= Messenger��,回車����,可以看到命令完成。這時(shí)候我們到“控制面板”→“管理工具”→“服務(wù)”里,就可以看到Remote Command Service服務(wù)名變成了Messenger�。但是“描述”的內(nèi)容為空。為了使這個(gè)服務(wù)看起來更“合法”��,我們把Messenger的“描述”也加上���,在cmd窗口里輸入:sc description rcmdsvc 發(fā)送和接收系統(tǒng)管理員或者“警報(bào)器”服務(wù)傳遞的消息。我們到“服務(wù)”里就可以看到rcmdsvc的“描述”被加上了Messenger的描述。只不過服務(wù)名稱還是rcmdsvc�����。
3.再重新用net start命令啟動(dòng)一下rcmdsvc服務(wù)��,就可以用rcmd.exe進(jìn)行連接了��。
為了避免電腦被入侵��,把不需要的服務(wù)都關(guān)閉掉����,經(jīng)常檢查一下開啟的服務(wù)和端口�����,如果您經(jīng)過檢查發(fā)現(xiàn)您的電腦有rcmdsvc服務(wù)��,或者該服務(wù)被偽裝成了別的服務(wù),那就要小心了�,說明電腦很可能被入侵了,并被別人安裝上了殺毒 軟件無法查出的“合法”后門
rcmdsvc.exe使用方法:
1����、rcmdsvc /install //安裝后的服務(wù)名為:Remote Command Service (rcmdsvc),建議上傳至windows目錄
怎么用命令行改服務(wù)名和描述:
sc //127.0.0.1 query rcmdsvc //查詢整個(gè)服務(wù)
sc //127.0.0.1 qdescription rcmdsvc //查詢服務(wù)的描述
sc //127.0.0.1 description rcmdsvc "管理和編錄可移動(dòng)媒
體并操作自動(dòng)化可移動(dòng)媒體設(shè)備���。如果這個(gè)服務(wù)被停止��,依賴可移動(dòng)存儲(chǔ)的程序����,如備份和
遠(yuǎn)程存儲(chǔ)將放慢速度�����。如果禁用這個(gè)服務(wù)��,所有專依賴這個(gè)服務(wù)的服務(wù)將無法啟動(dòng)。" //修改服務(wù)的描述
D:/pt007/f/Pstools2.11>psservice //127.0.0.1 setconfig rcmdsvc auto //設(shè)置服務(wù)為自動(dòng)啟動(dòng)
2�、net start rcmdsvc
3、rcmd //127.0.0.1 ver
