当黑客入侵一台主机后，为了不让这台“肉鸡”跑掉，经常会在肉鸡上种下木马。木马通常会在启动项和注册表中动手脚，以跟随系统一同启动，这样很容易暴露自己。因此，黑客就想出了更为阴险的办法，那就是将一个正常的系统服务替换为木马的服务，由于人们在检查系统时一般不会深入到系统服务，因此黑客就达到长期控制主机的目的。本文将带大家深入了解这种技术，教大家找出隐藏在系统中的木马服务。
　　在Windows 2000/XP/2003系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其它程序，尤其是底层(接近硬件)的程序。网络提供服务时，服务可以在Active Directory(活动目录)中发布，从而促进了以服务为中心的管理和使用。木马如果用服务来启动自身，不仅会很隐蔽，而且更为稳定和安全。
　　虽然有些木马默认就以服务的方式启动，但是多一项服务就会增加被暴露的几率，因此替换系统本身就有的服务成了木马隐蔽自己的最好选择。那么黑客是如何替换系统服务的呢?
　　说到替换服务，就不得不提到SC这款著名的服务管理工具，它几乎可以完成对服务的所有操作，正因为它功能强大，因此也成为了黑客的最爱。用它来替换系统的服务简直就是小菜一碟。
　　替换服务首先要找到一个目标服务，这个服务一定要是用户不太会用到的服务，这样在替换服务后才不至于导致系统出现问题。比如ClipBook服务(剪切板查看器)，相信很少有人会用到；Event Log(日志记录)，同样也鲜有人去查看系统日志。有很多服务都是我们平常用不到的，这些就成了黑客替换服务的目标。
　　找到目标服务后，就可以动手了。以ClipBook服务为例，在命令提示符中运行SC程序，输入命令“SC qcClipSrv”，其中“ClipSrv”是服务名，回车后即可查看该服务的信息。在“START_TYPE”一栏中的参数为“DEMAND START”，即表示服务的启动方式为手动，如果要让木马随系统启动，这里当然不能是手动，因此我们来把它改为自动，输入命令“sc config clipsrv start=auto”，回车后该服务的启动方式就被设为自动了。
　　从sc的qc命令中我们可以得知ClipBook服务的可执行文件路径为C:windowssystem32clipsrv.exe，我们将木马文件放置于c:windowssystem32目录，这样做的目的是为了增强木马文件的隐蔽性。继续在命令提示符中输入命令“sc config clipsrv binpath="c:winntsystem32muma.exe”回车后，ClipBook服务的可执行文件就被换成了muma.exe，我们可以再次使用qc命令确认。至此，系统服务的替换就完成了。
　　如果你对服务不是很了解，并不代表就对黑客替换的系统服务无能为力，借助一些安全工具，还是可以将被替换的服务找出来的。我们可以借助“超级巡警”这款安全工具查找被替换的服务。运行程序，点击工具栏上的“高级”按钮，接着打开“服务管理”标签，如果系统中有服务被替换，在这里会以黄色的条目标出，哪些服务有问题一眼便知。找出被替换的服务后，用右键点击它，选择“编辑服务”，将可执行文件的路径改回来即可，最后别忘了将藏在系统中的木马删除哟。