如发现有乱码，请点击下面链接浏览原文
正文摘录:

菜鸟的无问后门木马病毒横行网络，杀毒软件也在忙碌着四处封杀，再强悍的木马后门程序只要在网络上现过踪迹就很难逃脱杀毒软件的穷追猛打，虽然我们可以通过加壳、加花、修改特征码等方法来对程序进行免杀修改，但杀毒软件厂商对网上流行的病毒木马特征码的实时更新以及虚拟机等技术的应用都可以将加了壳的病毒木马从内存中抓出来。如果能拥有一个“无问后门”该多好啊?让我们辛辛苦苦抓到的肉鸡永远被控制在我们的无间炼狱里，这一直是广大菜鸟的梦想。下面我就给大家介绍一款系统中的无间间谍一rcmdsvc。先来认识一下rcmclsvc.exe，它是windows2000ResourceKit中的一个系统工具，是用来开启Remotecommandservice(远程命令服务)的。这个服务开启的端口是445，由于与系统服务使用相同的端口，所以是比较隐蔽不易被察觉的。最关键的是因为它是微软发布的系统服务工具，所以根本不可能有杀毒软件将其认为是病毒木马，这就使得它成为了不少高手所偏爱的后门程序。而它的功能就是远程执行cmd命令，虽然无法和功能强大的木马相比较，但将其作为一款简便快捷的后门还是很不错的。我将从入侵者的角度来详细讲一下这个系统服务的具体安装、使用方法以及如何伪装成另外的一个服务，从而让大家在入侵过程中能够灵活运用它。一，rcmdsVc的安装获得了一台肉鸡后，我们通常会把进一步入侵所需要的黑客工具上传到肉鸡上并将其隐藏。我们将rcm~lsvc：.exe上传到肉鸡的系统目录systelrl32F，然后在肉鸡的cmd窗口里输入rcmdsvc—install，回车后就会看到RemoteComman~1servi‘ceinstalled远程命令服务安装成功的提示了，如图l。图1来查看一下肉鸡上的服务列表，选择“开始”“控制面板”“管理工具”“服务”，就可以看到我们安装的服务了，如图2。从图中可以看到该服务已经安装成功但是却没有启动，这就需要启动该服务使其为我们工作了，可以追风少年@H4CK.CN使用系统自带的net命令来完成。继续在肉鸡的cmd窗口里输入netstartrcmdsvc，回车后可以在服务列表中看到RemoteCommanelService远程命令服务图3二.伪装成其它服务光是将rcmdsvc安装为Rcmotecomman~lservice远程命令服务还不够隐蔽，因为稍微有些经验的管理员在查看服务列表时就会很容易的发现这个服务。下面我们使用另一个好用的系统工具sc.exe(serViceContr01)，这个工具是在命令行方式下管理系统中的服务的，可以在windows2000ResourceKit或者windowsxP中找到该工具。我们要做的就是使用sc.exe把RemoteCommanclservice服务伪装成Mes—senger服务，当然也可以将其伪装成其它的服务。第一步：删除Messenger服务我们在cmd窗口里输人命令scdeIeteMessenger就可以将MesseFlger服务删除了。第二步：把Rerrlotecomiliandservice服务改名为Messenger在cmd窗口里输入命令sc~onT’igrcmdsvcDispIayName=Messenger，就可以将显示的服务名更改为