有些木馬為了免遭殺毒軟件的查殺，經常將自己搖身一變，扮成系統服務，讓其隨系統啟動自動運行，不知不覺地長久控制你的機器。讓我們以牙還牙，來驅趕險惡的“后門服務”。

　　小知識 什么是服務

　　服務是一種應用程序類型，它在后臺運行。要管理系統服務，請運行services.msc，打開“服務”對話窗口，這里可以看到當前系統中的所有服務。雙擊某一服務，在彈出的“屬性”對話框的“常規”選項頁中的“服務狀態”欄可以看到此服務當前狀態。單擊“啟動類型”下拉菜單，可以將該服務設置為自動啟動、手動啟動或禁用。

　　有道是:知己知彼方能百戰百勝，要想應付這類木馬，就得知道它是如何變臉為服務，來長期潛伏作惡的。一般說來，根據木馬變臉的方法不同，通常可以從兩方面去做相應防范:

　　一、小心Windows成為木馬的幫兇

　　Windows的“服務”工具是不能添加/刪除服務的，但可以利用Windows提供的資源工具包中的Instsrv.exe和Srvany.exe來實現。其中，Instsrv.exe可以給系統安裝和刪除服務，Srvany.exe可以讓程序以服務的方式運行。

　　★變臉原理

　　第一步:報戶口——注冊服務名稱

　　這里就以建立一個名為explorer的服務為例來說明，首先將Instsrv.exe和Srvany.exe存放到一個比較方便的地方，建議放到系統安裝目錄中(筆者的Windows XP安裝目錄為D:Windows)。運行cmd.exe，進入“命令提示符”窗口，執行命令:cd d:Windows，進入系統安裝目錄。運行命令:

　　Instsrv explorer d:Windowssrvany.exe

　　好了，這條命令的成功運行，已經在系統中注冊了一個名叫explorer的服務，快到“服務”中看看一下檢驗檢驗吧!

　　小提示

　　★注冊服務:instsrv :這里的可任意取名，前面必須帶上該文件的絕對路徑，如:D:Windowssrvany.exe。

　　★刪除服務:instsrv remove

　　第二步:找關聯——后門服務

　　要讓explorer服務正常運行，還必須在注冊表中指定該服務對應的應用程序。運行Regedit.exe，打開“注冊表編輯器”，依次展開如下子鍵:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]，在該子鍵下找到并右擊explorer(對應前面建立的服務名)，選擇“新建”下的“項”，將其命名為Parameters。單擊選定它，在右側窗口中新建一個名為Application的字符串值，將其數值數據設置為explorer服務對應的應用程序絕對路徑，比如:d:Windowsgboor.exe。接著再新建兩個字符串值:AppDirectory和AppParameters，AppDirectory指定程序所在的目錄，AppParameters指明程序運行的參數(注意:可以不用設值)，最后關閉注冊表編輯器。

　　接下來打開“服務”窗口，找到剛添加的explorer服務，打開其屬性對話框，單擊切換到“登錄”選項頁，在“登錄身份”中選中“本地系統賬戶”，如果不想讓服務在運行的時候彈出狀態窗口，請不要勾選“允許服務與桌面交互”復選項，單擊“確定”返回。至此，explorer服務已經全部配置好了。

　　最后，右擊該服務，選擇“啟動”，這樣該程序就會啟動，而且以后也會在系統啟動時自動以服務形式運行!

　　小提示

　　也可以通過命令來啟動服務:net start explorer。

　　★趕走“后門服務”沒商量

　　弄清了木馬變服務的伎倆，解決起來就不難了。如果發現系統出現異常，可以到“服務”窗口中進行查看，一旦發現這種惡意的“后門服務”，驅鬼的也僅僅是兩步:①停止服務。所用的命令是:net stop 服務名稱，例如:net stop explorer。②徹底刪除偽服務，把這些險惡的“后門服務”趕出家門，命令為:instsrv.exe 服務名稱 remove，例如:nstsrv.exe explorer remove。

　　二、小心木馬變服務的始作俑者

　　有些木馬利用一款名為AppToService的小軟件來變服務。該軟件可以將任何應用程序作為 NT系統的服務來運行，而且操作起來更簡單。

　　★變臉原理

　　安裝好AppToService V2.7后，直接雙擊運行桌面上的快捷方式AppToService，即可按相應的提示進行操作。

　　舉個例子，如果想要把程序d:Windowsgdoor.exe添加成服務，并將其“服務類型”設置為“自動”，只要運行命令:Apptoservice /install /absname:"bd" /startup:A "d:Windowsgdoor.exe"，就可成功新建bd服務。啟用服務的方法相同即net start bd。

　　★以牙還牙制服“后門服務”

　　如果發現一些木馬借AppToService變臉為服務，可以運行如下命令來停止全部AppToService服務:AppToService /StopAll。接著再來刪除它，要刪除某一服務，請運行命令:AppToService /Remove 當前已存在的某個服務名稱，比如:AppToService /remove bd，刪除全部AppToService服務的命令為:AppToService /RemoveAll。

　　小提示

　　AppToService服務指的是所有通過AppToService添加的服務，不是指系統原有服務。

　　怎么樣?知道了木馬變服務的真實內幕了吧，相信有了上面的知識，再遇到后門服務，應該是手到擒來了吧!

　　聲明:本文分析木馬變服務過程，僅為了找出相應的防范辦法。切勿模仿!