引言：在日常的工作中，经常会用到各种远程控制软件，让用户可以毫不费力的对远程主机进行控制操作。在系统安全领域，木马对用户的威胁很大。其实，将正常的远控软件和木马进行比较，可以发现两者存在一定共同点。

在日常的工作中，经常会用到各种远程控制软件，让用户可以毫不费力的对远程主机进行控制操作。在系统安全领域，木马对用户的威胁很大。其实，将正常的远控软件和木马进行比较，可以发现两者其实存在一定的共同点。例如，都可以对远程主机进行控制，数据传输等操作。但是，正常的远控软件以光明正大的身份运行，而木马却是偷偷摸摸的运行，前者帮助用户工作，后者是黑客盗窃用户数据的爪牙。俗话说，善恶只在一念间。黑客不仅仅利用木马对用户主机进行渗透，还将邪恶的目光盯在了正常的远控软件上，于是经过黑客的“精心改装”，原本正常的远控软件却成了黑客的得力帮手，这不得不引起我们的警惕！

清除暗中潜伏的Radmin

提起远控软件，Remote Administrator显得颇有名气。该工具的最大特点是体积精巧，连接速度快，设置简单，操作起来很顺手，成为很多用户的得力工具。俗话说，树大招风。正是因为Radmin性能优秀，也成了黑客觊觎的对象。经过黑客的“精心”设计，Radmin就变成了黑客实现入侵的“利器”。

例如，笔者朋友管理的某台服务器，最近遭到黑客的入侵，其网站主页被恶意修改，嵌入了网马，数据库被破坏，但是经过常规病毒扫描，却没有发现木马或病毒。笔者对其查看，运行“netstat”命令，在网络连接列表中发现TCP 3389端口处于监听状态。但是经询问，该机并没有开启终端服务。经过查询域该端口关联的进程号，在任务管理器中，发现该服务对应的名称为“r_server.exe”，其对应的用户名为“SYSTEM”，这表明其是由某个系统服务启动的。

看到这里，笔者就明白了，原来这就是Radmin这款远控在起作用。朋友告诉笔者，该网站采用的是PHP+MySQL结构，因为网站程序设计存在问题，存在注入漏洞，造成黑客利用数据库注入方法，在网站中植入了一句话木马，之后黑客使用专用工具对其进行连接，可以获得具有SYSTEM权限的WebShell接口，在其中可以随意执行各种命令。当发现网站漏洞后，对其进行了适当的修补，清理了被黑客破坏的网页文件。但是黑客已经通过建立反弹连接，文件上传等手段，将精心伪装的后门程序传送到了服务器中并将其激活运行。

在系统目录中经过搜索，发现名为“winregsvr.exe”的文件很可疑，但是对其扫描却发现没有问题。经过检测，这是一个经过特殊处理的WinRAR自解压包，但是在其右键菜单中却没有发现“解压到”等项目。将其逆向修复并解压后，发现其中包含“install.bat”，“install.reg”，“r_server.exe”，“rassrv.exe”，“admdll.dll”等文件，打开“install.bat”文件，其内容包含“regedit /s install.reg”，“r_server.exe”，“r_server.exe /silent /install”，“del install.reg”，“del install.bat”等语句，对其中的“install.reg”分析，发现这是一个保存Radmin注册表配置信息的文件，当将其悄悄的导入到注册表之后，就会自动完成Radmin配置的设置操作，其功能包括将Radmin端口改为3389，用来迷惑用户，隐藏任务栏图标，添加连接密码等项目。之后的程序语句的作用是隐蔽安装Radmin服务，并删除自身文件等。

当Radmin远控服务激活后，黑客就可以随时对其进行连接，来控制本机了。不难看出，原本正常的Radmin远控软件，到了黑客手里，却变成了入侵工具。因为其本身是合法的程序，所以使用杀软自然无法清除。解决的方法很简单，执行“r_server.exe /stop”命令，关闭Radmin远控服务，执行“sc dekete r_server”，删除该服务项目，并将上述相关的文件全部删除，就可以彻底关闭Radmin远控服务。

被黑客恶意控制的TeamViewer

在众多的远控软件中，功能最全面强悍的莫过 于TeamViewer莫属。TeamViewer具有很多其他远控工具无法比拟的功能，例如，其本身支持VPN连接，可以摆脱内网的限制，无需配置反弹连接域名转发等操作，就可以轻松遥控内网主机。正因为如此，其安全性较高，在VPN连接中可以保护连接者的IP地址。一旦这样的远控利器被黑客恶意利用，其危害无疑是很大的。

例如，笔者同事管理的网站前些天遭到黑客入侵，因为该服务器上运行了MSSQL服务器，因为SA账户的密码设置的比较弱，加之网页代码存在漏洞，被黑客破译后，通过Sqltool等工具执行非法连接，并添加了黑客账户。因为该机开启了终端服务，所以黑客轻易的控制了该机。当发现问题后，管理员立即关闭了终端服务，清除了黑客账户，并修复了各种漏洞。原以为这样就可以避开黑客的袭击，不过，黑客依然可以继续对该机进行非法破坏操作。

笔者分析，黑客一定在该机中留有后门。但是，经过仔细搜寻，例如，查看进程列表，网络连接信息等，都没有发现可疑踪迹。运行XueTr，在进程列表中发现以红色显示的名为“teamviewer.exe”的隐藏进程，笔者似乎看出了些许端倪。原以为根据其映像路径信息，可以找到目标程序。但是进入对应磁盘后，却无法找到相关的目录和文件。即使在文件夹选项窗口中选择“显示隐藏的文件，文件夹和驱动器”项，取消“隐藏受保护的操作系统文件”项的选择状态，依然无法显示这些文件。

笔者觉得这些可疑程序文件一定被专用的RootKit工具处理过，处于隐藏状态。在XueTr的“文件”面板中搜索，才发现其踪迹。因为Xuetr运行在Ring0级别，可以破解RootKit隐藏的文件。经过查看，这些文件其实就是TeamViewer的运行文件，只是经过了明显的精简处理，例如删除了“uninstall.exe”，“license.txt”，“unicows.dll”等。 很显然，黑客这样做的目的就是为了减小TeamViewer的体积。估计黑客没有使用最新版的TeamViewer，而是采用了版本较低较为成熟的绿色版的TeamViewer，例如TeamViewer3.6等。

同原始的“team viewer..exe”文件相比，黑客使用的“teamviewer..exe”文件体积明显变小，显然黑客使用了PEexplorer，Rescope等工具，对其进行了精简，删除了不必要的资源。或者使用加壳工具，对其进行了压缩处理。因为TeamViewer的连接密码是不固定的，所以黑客为了便于使用，会设置固定连接密码。例如在TeamViewer3.6中，只需在其中点击菜单“额外”-“选项”项，在其中的“常规”选择让TeamViewer自动运行，并设置连接密码，黑客就可以顺利连接被控机。为了保证TeamViewer稳定运行，可以在“安全”面板中禁止关闭TeamViewer，或者让管理员用户才可以更改配置信息。通过在“入站访问控制”栏中选择“完全控制”项，黑客就可以彻底控制被控机。

TeamViewer具有导出配置信息的功能，可到便于黑客导入导出配置信息。例如黑客可以在本机上配置好TeamViewer各项参数，之后在被控机上直接导入，就可以完成配置操作。即使是内网主机，利用TeamViewer内置的VPN连接工具，黑客也可以轻松创建VPN功能，让其和黑客主机处于VPN虚拟网中，遥控起来毫不费力。根据以上分析，黑恶的入侵手法是先通话各种漏洞，通过终端服务控制目标机，为了实现稳妥的远控操作，避免管理员发现入侵痕迹后关闭终端服务，导致入侵无法进行，因此黑客将精心配置的TeamViewer传送到该机上。这样，即使终端服务被关闭，黑客照样可以利用隐藏的TeamViewer来远控本机。为了隐蔽运行，黑客会借助于AFX Windows Rootkit等工具，对其TeamViewer的存储目录进行RootKit隐藏处理，之后隐形运行TeamViewer，不仅其存储位置无法被用户发现，而且其进程，端口，注册表信息也处于隐藏状态难以发现。

这样，当管理员关闭了终端服务后，黑客依然可以利用潜伏的TeamViewer，来对被控机进行遥控。了解了黑客的手法后，可以在XueTr中强制关停TeamView进程并删除关联文件，并在其文件面板中删除强制删除相关文件，彻底关闭黑客开启的后门。