测试小记：关闭和打开RPC服务

最近利用RPC漏洞越来越厉害，比如“冲击波”蠕虫以及其变种，受到攻击的WindowsNT/2000/XP/2003用户，普遍出现蓝屏、重启、剪贴板出错、自动关机等现象，目前解决办法有1：安装微软官方补丁；2：使用网络防火墙或者TCP/IP筛选，屏闭TCP135、4444以及UDP69等端口；3：关闭RPC服务。推荐同时使用解决办法1和2，第3种方法最彻底但不可取。

今天因为测试关闭RPC服务下Blaster.Worm感染的情况，但该文主要是说Windows 2000 服务器下关闭RPC服务出现的问题以及恢复：关闭RPC--管理工具--服务--Remote Procedure Call，其默认启动类别是自动，大家可以通过属性来修改启动类型的。另外从依存关系可以发现很多依赖Remote Procedure Call的其它服务。

关闭RPC服务后，重新启动后发现系统日志报错，查看该事件的属性无法打开，关闭事件查看器，同时提示说关闭所有属性页，但看不到该页面...干完该干的事情后，开始恢复RPC服务吧，晕，竟然同样无法从属性里边恢复了（打不开属性页面），尝试其它一些恢复办法，如安全模式、CMD下，还是不行，注册表又没备份，真麻烦呀，只好打开注册表，之间用了N分钟，终于找到了“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs”，将里边的“Start”的值由0x00000004编辑为0x00000002后，重新启动电脑，OK，一切恢复正常了。

测试结果是关闭RPC服务后系统没有发现受到蠕虫感染的现象，哈哈，其实是大家都知道的。

参考:RPC 接口中的缓冲区溢出可能允许执行代码 (823980) http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
参考:symantec公司W32.Blaster.Worm病毒资料http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html