科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道知道哪些系统服务会使你身处险境吗(3)

知道哪些系统服务会使你身处险境吗(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

谁是网络中随时可能暴发的蠕虫的下一个目标?谁是黑客眼中随时可以用来做垃圾邮件服务器、入侵替罪羊的“肉鸡”?谁的隐私荡然无存,连银行账号这样的重要数据都“暴露”在网络中?

来源:论坛整理 2008年6月16日

关键字: 安全技术 系统安全 系统服务

  • 评论
  • 分享微博
  • 分享邮件

常常做“替罪羊”的打印服务
涉及服务:Print Spooler  危害:拖慢系统
系统速度突然变得很慢,打开“任务管理器”查看进程后竟然发现有一个spoolsv.exe的服务占用了大多数的CPU资源。在命令提示符中用“tasklist /svc”命令看了一下,发现这个进程竟然属于Print Spooler服务(见图6)。中毒了?还真说不好,虽然有病毒冒充这个服务进程,但如果你的杀毒软件稍微挣气一点点、偶尔升级一下下的话,这种甲骨文(别误会,此处并没有偷偷说Oracle的坏话)级别的病毒肯定不会存在于你的系统。刚才还说微软不傻,可现在实在忍不住要鄙视一下他们,直到今天,仍然有这么多人因为Windows XP中的低级Bug造成系统缓慢。故障出现的原因是系统没有及时删除打印后台文件,因此在向打印机发送打印作业时,后台的打印服务就会反复尝试对此打印作业进行后台处理(简而言之——死循环)。


微软原来想干嘛:通过打印池服务管理和控制打印队列。
黑客是怎么干的:黑客这回什么也没干,我们错怪他了……
安全建议:如果出现spoolsv.exe占用大量系统资源的状况,首先确保杀毒软件仍在正常工作中,然后尝试删除“%Systemroot%\System32\Spool\Printers”目录下的所有文件,并重启打印服务。如果你有打印机,那么强烈建议不要为了这点小事把此服务禁用,否则你就什么都打印不了了。

小提示
只有Windows XP以上的系统可以使用“tasklist /svc”命令,单独的“tasklist”命令可以列出系统中当前的所有进程,而加参数“svc”后就能显示所有的服务进程和它们对应的服务。

可以理解为“微软后门”的远程注册表服务
涉及服务:Remote Registry 危害:啥都危害了
比尔大叔可能以为每个普通用户都会在远程管理自己的电脑,所以他把这个服务设定为系统默认启动。尽管如此,我们也不能因为要告诉读者此服务有危险就信口开河,把它说成网络中的每个用户都能访问的东西。远程注册表操作,还是需要IPC登录的管理员权限才行(如果有人会问IPC登录的游客权限账户行不行,我会告诉他们:“扯淡!除了管理员,压根没别人能登录IPC。”)。对弱口令的用户来说,这个漏洞是致命的,黑客很容易就能在你系统的注册表里做点手脚,木马、后门,啥都来了。

微软原来想干嘛:让用户远程管理本地系统中的注册表,这……这实在太扯了。
黑客是怎么干的:穷举弱口令,找出管理员账户密码并登录IPC,然后打开“注册表编辑器”,通过远程功能连接到受害者系统中的注册表(见图7),然后在自启动项里加点木马和后门,在文件关联里再加一道木马的生存保险,最后顺便瞄一眼播放器在注册表里的历史记录,看看受害者最近在看什么新片……
安全建议:如果你没有什么奇特的使用需求,强烈建议将此服务设为“禁用”,这本该是Windows自己做的。

你凭什么成为别人的文件服务器
涉及服务:Server  危害:信息泄露
花了半年早饭钱买回来的数百GB大硬盘,却在沦为别人的文件服务器,这种事谁能接受!?身在学校、公司等局域网环境的朋友注意了,如果你平时就讨厌把硬盘里的东西共享给别人,那就干脆把这个服务给禁用了。又是IPC登录后闹的(这个理由我都有些厌倦了),说来说去,弱口令是万万不可取的!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章