5.检查系统服务
攻击者在攻克服务器后,往往会上传一个木马的服务端从而实现对服务器的远程控制。这些木马的服务端往往是以服务的形式随系统启动而运行的。对这木马服务端的检测,可以通过系统的“服务”工具实现。
运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetServices项进行查找,通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。
需要提醒的是,这些木马的服务端在生成之前都可以进行设置。比如服务端运行后进程的名称、释放的目录、服务器描述等,所以管理员一定要仔细辨别。(图8)
图8
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页
【责编:Zenghui】
相关文章
相关产品和培训
文章评论
专题推荐
今日更新 认证培训 频道精选
您现在的位置: 
佚名
2008-6-23
