“后门”的攻击与防御

另外一些当年为局域网开启的协议也在安全验证方面存在很多疏忽，比如netbeui、netbios等原本用于“可信任”的局域网络的协议，将它放置在商业化的“不可信任”的互联网络中则是不明智的。我们以netbios进行简单分析：netbios主要是用来在网络上鉴别资源的，程序使用这些名称开始和结束会话。这个协议的特点是简单高效，缺点则是不验证对方身份就可以获得信息。而在windows系统中，smb和nbt（tcp/ip上的netbios）是紧密捆绑在一起工作的，使用的都是137、138、139端口：137是netbios名称，138端口是netbios数据报文，139端口是netbios会话——我们常用的“网络邻居”就需要这个协议。由于原本这个协议考虑的是如何最高效率地传输数据，向其他机器广播自己的存在，因此对于安全验证方面相对薄弱，许多病毒都是通过共享途径传播的，例如爱情后门、欢乐时光等等。这就是天缘从一直以来在文章都推荐大家放弃“网络共享”改用ftp的原因。将此类不够安全的协议放置于不安全网络之上，就是为攻击者准备好了一扇虚掩着的门。

后门程序如何隐藏的？

判断题：后门程序是不是程序？是不是具有可执行程序的通性？？

答案自然是肯定的。打开后门的端口其实就是木马程序在机器上所开的，为的是方便该程序在不为目标机用户所知的情况下被攻击者访问/控制所用。好了，到了这里，问题被转换成了——后门程序的放置、执行、驻留、开放端口、隐藏自身信息、远远程连接的实现。

首先是放置，与病毒程序类似，后门程序也是通过操作系统漏洞、程序bug、协议安全漏洞传播、社会工程学传播为主，不过相比之下多了一个程序编写者预留。关于这一部分的知识，读者可以参考yesky上关于木马如何传播的介绍，也可参考天缘的另一则文章《安全宝典——病毒及攻击防御手册》。事实上后门程序可以看作是木马程序的一种，其他的木马程序还包括键盘/鼠标记录、隐私文件偷取等等方面的，后门则主要是专注于远程控制/访问这一部分。因此我们通常把后门程序看作是木马程序中的一个分支。从某种程度上来说，后门程序是技术含量相对较高的一类木马程序。