“后门”的攻击与防御

核心提示： 接下来是后门程序的执行，除了普通的木马程序常见的执行方式，“后门”的攻击与防御(4)，后门程序可以通过挂hook的方式加载，也可以通过在某公共程序中预留接口被用户很乐意地主动加载，导致外部对其某些端口的访问不被允许，那么就达到了禁止该后门的目的，前者在技术上比较先进，后者则是软件作者的&l

接下来是后门程序的执行，除了普通的木马程序常见的执行方式，后门程序可以通过挂hook的方式加载，也可以通过在某公共程序中预留接口被用户很乐意地主动加载。前者在技术上比较先进，后者则是软件作者的“原罪”。相比其他第三方程序实现的木马而言，这两类木马与系统结合地更加密切，在查找与杀除上更加困难。Hook方式可以通过挂接api，或加载dll，作为其他程序下属的线程的方式来加载；这样要杀这个子进程（线程）的后门程序则需要把主进程停止掉，而如果主进程是默认规定不允许kill掉的话就相当不方便查杀了，当然还有的做法就是运行2个子进程互相监视彼此，如果一个死了则另一个做相应处理，并把死掉的那个重新执行——如果有朋友是做服务器的，可以用类似服务界的ha方式来理解，“高可用”理论和实施真是无处不在啊。而后一类藏在程序中的后门，一般来说如果该程序不是特别重要的话，直接把该程序给删除掉，换一个同类功能的其他程序来用就行了。

不过……曾经有出现过内核级代码中出现后门的情形。遇到这样的情形一般就需要重新编译内核了，而如果内核是不开放源代码的则只能依靠商业公司的良心了。由于后门程序属于木马程序类，所以不具有病毒程序的感染二进制可执行文件的特征（但可能将其替换掉），所以一般来说去除方法都以删除该程序为主。关于后门程序的删除，可以参考各类木马程序删除的书籍文献来举一反三。

然后来看看后门程序的驻留。前面我们说过了，后门程序也是一个二进制程序，想要开启/监听/访问外部端口的时候，它必定是运行状态的。而程序的运行都是加载到系统进程之下，放置到内存中执行的。在这一部分中，随着后门程序的不断发展，目前的后门程序主要分为二大类：被动监听端口类、主动连接类。一般来说，常用的后门程序与我们运行的常规服务程序类似，都是后台运行，监听外部对某个端口的连接进而作出响应，这类后门程序从事实上讲就是一个服务程序，区别只在于不是由目标机合法用户所合法运行的而已。比如我私自在目标机上开一个ssh服务，而且想办法隐藏掉不被该机器的用户发现——那么这个原本用于远程登陆的利器，此刻就成为了我的一匹木马，而这个程序的称谓也变成了“后门软件”。另一类主动连接类的后门程序则是黑客思维的产物（打破常规思考的成果），普通情形下，由于目标机用户处于nat内，或使用了防火墙等软件，导致外部对其某些端口的访问不被允许，那么就达到了禁止该后门的目的。(如下图表示，虚线表示访问未遂)