當黑客入侵一臺主機后，為了不讓這臺“肉雞”跑掉，經常會在肉雞上種下木馬。木馬通常會在啟動項和注冊表中動手腳，以跟隨系統(tǒng)一同啟動，這樣很容易暴露自己。因此，黑客就想出了更為陰險的辦法，那就是將一個正常的系統(tǒng)服務替換為木馬的服務，由于人們在檢查系統(tǒng)時一般不會深入到系統(tǒng)服務，因此黑客就達到長期控制主機的目的。本文將帶大家深入了解這種技術，教大家找出隱藏在系統(tǒng)中的木馬服務。

在Windows 2000/XP/2003系統(tǒng)中，服務是指執(zhí)行指定系統(tǒng)功能的程序、例程或進程，以便支持其它程序，尤其是底層(接近硬件)的程序。網絡提供服務時，服務可以在Active Directory(活動目錄)中發(fā)布，從而促進了以服務為中心的管理和使用。木馬如果用服務來啟動自身，不僅會很隱蔽，而且更為穩(wěn)定和安全。

雖然有些木馬默認就以服務的方式啟動，但是多一項服務就會增加被暴露的幾率，因此替換系統(tǒng)本身就有的服務成了木馬隱蔽自己的最好選擇。那么黑客是如何替換系統(tǒng)服務的呢?

說到替換服務，就不得不提到SC這款著名的服務管理工具，它幾乎可以完成對服務的所有操作，正因為它功能強大，因此也成為了黑客的最愛。用它來替換系統(tǒng)的服務簡直就是小菜一碟。

替換服務首先要找到一個目標服務，這個服務一定要是用戶不太會用到的服務，這樣在替換服務后才不至于導致系統(tǒng)出現問題。比如ClipBook服務(剪切板查看器)，相信很少有人會用到；Event Log(日志記錄)，同樣也鮮有人去查看系統(tǒng)日志。有很多服務都是我們平常用不到的，這些就成了黑客替換服務的目標。

找到目標服務后，就可以動手了。以ClipBook服務為例，在命令提示符中運行SC程序，輸入命令“SC qcClipSrv”，其中“ClipSrv”是服務名，回車后即可查看該服務的信息。在“START_TYPE”一欄中的參數為“DEMAND START”，即表示服務的啟動方式為手動，如果要讓木馬隨系統(tǒng)啟動，這里當然不能是手動，因此我們來把它改為自動，輸入命令“sc config clipsrv start=auto”，回車后該服務的啟動方式就被設為自動了。

從sc的qc命令中我們可以得知ClipBook服務的可執(zhí)行文件路徑為C:\\windows\\system32\\clipsrv.exe，我們將木馬文件放置于c:\\windows\\system32目錄，這樣做的目的是為了增強木馬文件的隱蔽性。繼續(xù)在命令提示符中輸入命令“sc config clipsrv binpath=\"c:\\winnt\\system32\\muma.exe”回車后，ClipBook服務的可執(zhí)行文件就被換成了muma.exe，我們可以再次使用qc命令確認。至此，系統(tǒng)服務的替換就完成了。

如果你對服務不是很了解，并不代表就對黑客替換的系統(tǒng)服務無能為力，借助一些安全工具，還是可以將被替換的服務找出來的。我們可以借助“超級巡警”這款安全工具查找被替換的服務。運行程序，點擊工具欄上的“高級”按鈕，接著打開“服務管理”標簽，如果系統(tǒng)中有服務被替換，在這里會以黃色的條目標出，哪些服務有問題一眼便知。找出被替換的服務后，用右鍵點擊它，選擇“編輯服務”，將可執(zhí)行文件的路徑改回來即可，最后別忘了將藏在系統(tǒng)中的木馬刪除喲。