揪出系统中的内鬼

作者：李骏杰    来源：家用电脑    投递者：      [2007-12-29 18:44]      阅读：人

• 
  
  
  顶一下
• 你高枕无忧在享受系统吗？你知道他们心底的秘密吗？把这些内鬼揪出来或许才是安全之本!

Services（服务）是微软从Windows2000开始引入的一个概念.它们是一种后台处理或者后台帮助程序,主要用来协助调整系统的某项或某些功能(比如网络,打印等),以便使系统更好用更稳定。
    
在我们的Windows系统中存在很多的服务，一般用户都不会对服务进行设置，因为服务对系统的稳定运行有很大的作用，稍有不慎就会导致系统产生莫名其妙的问题甚至崩溃。正是这个原因，导致了我们在给系统做安全防护时忽略了重要的一块，那就是系统的服务安全。默认安装完系统后,里面会开启很多服务,其实很多服务家庭用户根本用不着,开启了只会浪费内存和资源,影响启动和运行速度。这些服务不仅会占用系统资源，甚至会给我们的系统带来严重的安全隐患，为黑客入侵提供方便。那么系统中哪些服务存在危险，这些服务在系统中起到什么作用，又会造成怎样的安全隐患呢？请看本文。

危险服务一：ClipBook
    
危险等级：★★★☆
    
服务简介：启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止，“剪贴簿查看器” 将无法与远程计算机共享信息。
    
这个服务的作用是可以让远程用户查看本机的剪切板内容。什么是“剪贴簿查看器”呢？进入系统目录的system32文件夹，在其中会存在一个名为clipbrd.exe的可执行文件，这就是“剪贴簿查看器”，双击运行一下后我们能够在其中看到当前剪切板的内容。想必有很多用户都不知道系统中还存在这样的一个小程序，也很少有人会利用到这个“剪贴簿查看器”，更别说提供给远程用户使用了。
    
对木马较为熟悉的朋友都知道，很多木马都有一项功能叫做“剪贴簿内容查看”，其实这项功能就是依赖于ClipBook服务的。在我们上网的过程中，不少用户嫌输入一长串密码太麻烦，就会把密码剪切粘贴以便输入，如果这时黑客利用ClipBook服务对用户的剪贴簿进行查看，那么我们的密码内容就暴露无疑了。
图1.剪贴簿查看器     dtc36

危险服务二：Messenger
    
危险等级：★★★★★
    
服务简介：传输客户端和服务器之间的 NET SEND 和 Alerter 服务消息。
    
该服务的作用是让处在网络中的计算机能够通过“net send”命令互相发送消息。假设网络中一台计算机A，其IP地址为192.168.1.1，计算机B的IP地址为192.168.1.2，那么我们在计算机A中点击其“开始”菜单→“运行”，输入命令“net send 192.168.1.2 你好吗？”并回车，那么在计算机B上就会弹出一条消息“你好吗？”。这就是Messenger服务的主要作用，Messenger服务通常用于局域网中的简要讯息传播。
    
Messenger服务虽然能够方便我们的信息传播，但是其带来的危害却比其好处要大得多。首先Messenger服务造成网络上垃圾信息泛滥，各种各样的广告消息铺天盖地。由于Messenger服务是系统安装好后默认开启的服务，这就让Windows系统像一款IM软件，用户安装完系统后就相当于登录了IM软件，而网友想发送消息给你是不需要通过你验证的，其结果可想而知。如果QQ发消息不用验证，那么可能你现在每收到两条消息，其中一条就是广告。目前利用Messenger服务进行广告传播的现象是很严重的，有兴趣的朋友可以试验一下，开启Messenger服务并让计算机连上互联网，不用一小时，你的桌面上就会塞满广告信息。
    
Messenger服务的危害还不止这些，它甚至存在溢出漏洞（MS03-043: Messenger服务中的缓冲区溢出可能允许执行代码），黑客可以利用此漏洞进行溢出功能，成功后可以获取计算机的最高权限，到时候黑客是想干啥就能干啥了。利用这个溢出漏洞的蠕虫病毒也在网络上肆虐，即使我们的计算机没被黑客盯上也过不了蠕虫病毒这一关。这个漏洞影响Windows 2000/xp/2003全系列操作系统，危害可谓十分巨大。
图2.通过Messenger服务发送的广告消息     dtc37