浅谈后门检测技术pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范浅谈后门检测技术

浅谈后门检测技术


2009/4/10  编辑:佚名 来源:本站整理

最先是我们我自己要认识一下什么是后门程序?

  就在网络net上常见的对“后门”的解释, 其实我们可以能够用很不复杂的一句话来概括它:后门就是留在电脑计算机系统system中, 供某位特殊使用都可以通过某种特殊方式控制计算机系统的途径!!——很显然, 掌握好后门技术是每个网络安全爱好者不可或缺的一项可以说是技能!它能让您牢牢抓住肉鸡, 让它永远飞不出你的五指山!

  正因如此所以后门技术与反后门的检测技术也成为了黑客功防战的焦点。 正所谓知己知彼, 百战不殆。 要了解反后门技术那么我们就要更多的深入去学习与了解后门知识。

  后门的分类

  后门可以按照很多方式来分类, 标准不同自然分类就不同, 为了便于大家理解, 我们从技术方面来考虑后门程序的分类方法:

  前面讲了这么多理论知识是不是觉得有点头大了呢?下面我们来讲讲一些常见的后门必备工具吧

  1.网页后门

  此类后门程序一般都是服务器上正常 的web服务来构造自己的连载方式, 比如现在非常流行的ASP、cgi脚本后门等。

  典型后门程序:海洋顶端, 红粉佳人个人版, 后来衍生出来很多版本的这类网页后门, 编写语言asp,aspx,jsp,php的都有种类比较繁多。

  2.线程插入后门

  利用系统自身的某个服务或者线程, 将后门程序插入到其中, 这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。

  典型后门程序:代表BITS, 还是有我在安全焦点上看到的xdoor(首款进程插入后门)也属于进程插入类后门。

  3.扩展后门

  所谓的扩展后门, 在普通意义上理解, 可以看成是将非常多的功能集成到了后门里, 让后门本身就可以实现很多功能, 方便直接控制肉鸡或者服务器, 这类的后门非常受初学者的喜爱, 通常集成了文件程序上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止stop服务等功能, 本身就是个小的工具包, 功能强大。

  典型后门程序:Wineggdroup shell

  4.C/S后门

  这个后门利用ICMP通道来进行通信, 所以不开任意一个端口, 只是利用系统本身的ICMP包进行控制安装成系统服务后, 开机全自动运行, 可以穿透很多防火墙——很明显可以看出它的最大特点:不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比, 它的控制方式是很特殊的, 连80端口都不用开放, 不得不佩服务程序编制都在这方面独特的思维角度和眼光.

  典型后门程序:ICMP Door

  5.root kit

  好多人有一个误解, 他们认为rootkit是用作获得系统root访问权限的工具。 实际上, rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。 通常, 攻击者通过远程攻击获得root访问权限, 或者第一步密码猜测或者密码强制破译的方式获得系统的访问权限。 进入系统后, 如果他还没有获得root权限, 再通过某些安全漏洞获得系统的root权限。 接着, 攻击者会在侵入的主机中安装rootkit, 之后他将经常通过rootkit的后门检查系统是否有其他的用户登录, 如果只有自己, 攻击者就现在开始着手清理日志中的有关联信息。 通过rootkit的嗅探器获得其它系统的用户和密码之后, 攻击者就一定会利用这些信息侵入其它的系统。

  典型后门程序:hacker defender

  上面是我在网上搜集的前人总结, 值得指出的是这些分类还不够完善, 还没有真正指出后门的强大。

  下面我继续补充点我更新黑基技术文章时看到的一些比较少见的后门技术。

  6 BootRoot

  通过在Windows内核启动过程中额外插入第三方代码的技术项目, 即为“BootRoot”。 国外组织eBye在通过这种新的Rootkit启动技术, 并赋予这种无需依赖Windows内核启动过称去加载自身代码的技术及其衍生品——“BootKit”, 即“Boot Rootkit”。

  Mebroot是怎么才能实现MBR感染与运作的

  Mebroot比Windows还要早一步启动, 然后将自身驱动代码插入内核执行, 从而绕过了注册表HIVE检测的缺陷。 同一个时间采用的底层技术让大部分Anti-Rootkit工具失明——因为它根本没有在系统内留下任何启动项目。 检测工具自然会检测失效。 然后通过DLL远程注入用户进程, 为系统打开后门并下载木马运行。 在这非传统的渗透思路下, 反Rootkit工具是再也不能够根除它的。

  看到以上这么多可怕的后门知识是不是对这些有所了解了呢?

  下面我们来谈谈如何检测后门

  1.简单手工检测法

  凡是后门必然有请求需要隐蔽的藏身之所, 要去寻找到这些程序那就需要仔细查找系统中每个有可能存在的可疑之处, 如自启动项, 据不完全统计, 自启动项目有近80多种。

  用AutoRuns检查系统启动项。 观察可疑启动服务, 可疑启动程序路径, 如一些常见系统路径一般在system32下, 如果执行路径种在非系统的system32目录下发现
notepad
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
spoolsv.exe
这类进程出现2个那你的电脑很可能已经中毒了。


如果是网页后门程序一般是检查最近被修改过的文件, 当然就在目前一些高级webshell后门已经支持更改自身建造修改时间来迷惑管理员了。

  2.拥有反向连接的后门检测

  这类后门一般会监听某个指定断口, 要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口, 看是否有本地ip连接外网ip。

  3.无连接的系统后门

  如shift, 放大镜, 屏保后门, 这类后门一般都是修改了系统文件, 所以检测这类后门的方法就是对照他们的MD5值 如sethc.exe(shift后门)正常用加密工具检测的数值是

  MD5 : f09365c4d87098a209bd10d92e7a2bed

  如果数值不等于这个就说明被篡改过了。

  4.CA后门

  CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户, 用户组管理也不显示该用户, 手工检查一般是在sam里删除该帐号键值。 当然要小心, 没有经验的主张还是用工具。 当然CA有可能克隆的的是guest用户, 所以建议服务器最好把guest布置设置一个复杂密码。

  5.对于ICMP这种后门

  这种后门比较罕见, 如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。

  6.对于rootkit

  这类后门隐藏比较深, 从一篇安全焦点的文献我们可以了解到他的历史也非常长, 1989年发现首例在Unix上可以过滤自己进程被ps -aux 命令的查看的rootkit雏形。 此后这类高级隐藏工具会一直不断发展完整, 并在94年成功运用到了高级后门上并开始流行, 不断保持一直着后门的领先地位, 包括当前最新出现的Boot Root也是该后门的一个高级变种。 为了抵御这类高级后门国外也相续出现了这类查杀工具。 例如:荷兰的反Root Kit的工具Gmer,Rootkit Unhooker和RKU都可以检测并消除这些包括变种的RootKit.

相关文章
  • 浅谈ThinkPHP5.0版本和ThinkPHP3.2版本的区别
  • 浅谈:安卓4.4和安卓7.0的区别是什么?
  • 阿蛮带你上王者:浅谈王者荣耀的地图机制
  • 王者荣耀:浅谈辅助的S7赛季之路
  • 浅谈网赚新人赚不到钱的几个原因
  • CF穿越火线浅谈沙漠灰的一些打法
  • 浅谈增加网站外部链接的方法
  • dnf弹药专家浅谈将军的连招
  • 被降权问题 浅谈百度网页权重
  • 浅谈网赚的价值取向
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图