后门程序

来自站长百科
跳转至: 导航、​ 搜索

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击。

概述[ ]

后门程序又称特洛伊木马,其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其他电脑。后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。

后门包括从简单到奇特,有很多的类型。简单的后门可能只是建立一个新的账号,或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序,你当输入特定的密码时,你就能以管理员的权限来存取系统。后门能相互关联,而且这个技术被许多黑客所使用。例如,黑客可能使用密码破解一个或多个账号密码,黑客可能会建立一个或多个账号。一个黑客可以存取这个系统,黑客可能使用一些技术或利用系统的某个漏洞来提升权限。黑客可能会对系统的配置文件进行小部分的修改,以降低系统的防卫性能。也可能会安装一个木马程序,使系统打开一个安全漏洞,以利于黑客完全掌握系统。

与木马的关系[ ]

后门程序,跟我们通常所说的"木马"有联系也有区别.

  • 联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制.
  • 区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一.

而且,在病毒命名中,后门一般带有backdoor字样,而木马一般则是trojan字样.

后门的分类[ ]

后门可以按照很多方式来分类,标准不同自然分类就不同,为了便于大家理解,我们从技术方面来考虑后门程序的分类方法:

网页后门[ ]

此类后门程序一般都是服务器上正常的web服务来构造自己的连接方式,比如现在非常流行的ASP、cgi脚本后门等。

线程插入后门[ ]

利用系统自身的某个服务或者线程,将后门程序插入到其中。这也是现在最流行的一个后门技术。

扩展后门[ ]

所谓的“扩展”,是指在功能上有大的提升,比普通的单一功能的后门有很强的使用性,这种后门本身就相当于一个小的安全工具包,能实现非常多的常驻见安全功能,适合新手使用.

c/s后门[ ]

和传统的木马程序类似的控制方法,采用“客户端/服务端”的控制方式,通过某种特定的访问方式来启动后门进而控制服务器。

root kit 6o f3H 3B[ ]

root kit 的出现大大改变了后门程序的思维角度和使用理念,可以说一个好的root kit就是一个完全的系统杀手!

上面是按照技术做的分类,除了这些方面,正向连接后门、反向连接后门等分类也是很常见的,其实如何分类是编程者考虑的事,广大的使用者就不用考虑那么多了,我们看重的,只是功能!

快速识别后门程序[ ]

如何检测自己所使用的工具中是否含有后门呢?对于有一定经验的高手而言可以使用WSockExpert进行网络数据抓包,如果系统中没有WSockExpert,可以使用Netstat命令,用于显示协议统计信息和当前TCP/IP网络连接及端口占用信息。

  • 关闭系统中所有可能连接网络的程序,然后只登录某个程序,打开命令提示符,输入并执行"Netstat -an>C:\NET1.TXT"命令,将未运行木马前的网络连接状态保存在C:\NET1.TXT之中,关闭程序。
  • 运行“后门,配置并生成木马程序。
  • 运行生成的QQ木马程序后重新登录程序。打开命令提示符,输入并执行"Netstat -an>C:\NET2.TXT"命令,将运行木马后的网络连接保存在C:\NET2.TXT中。
  • 比较NET1.TXT和NET2.TXT我们会发现在NET2.TXT中多出了几个网络地址,而除了我们配置得到木马的连接地址外,其它就是后门了。

在用Netstat进行后门测试时要注意:Netstat并不能立即返回当前的网络连接状态,会有延迟,也就是说我们执行Netstat后看到的网络连接状态很可能是3秒钟以前的,不过这并不影响我们对后门的测试。

并不是所有的程序都能通过这种方式检测,比如扫描类工具,面对很多动态网络环境的操作,会造成多个变化的网络地址加入到程序中来。

最著名的后门程序[ ]

WIndows update.jpg

最著名的后门程序,该算是微软的Windows Update了。Windows Update的动作不外乎以下三个:开机时自动连上微软的网站,将电脑的现况报告给网站以进行处理,网站通过Windows Update程序通知使用者是否有必须更新的文件,以及如何更新。如果我们针对这些动作进行分析,则“开机时自动连上微软网站”的动作就是后门程序特性中的“潜伏”,而“将电脑现况报告”的动作是“搜集信息”。因此,虽然微软“信誓旦旦”地说它不会搜集个人电脑中的信息,但如果我们从Windows Update来进行分析的话,就会发现它必须搜集个人电脑的信息才能进行操作,所差者只是搜集了哪些信息而已。

相关条目[ ]

参考来源[ ]