WEB开发网
开发学院网络安全黑客技术 “后门”的攻击与防御 阅读

“后门”的攻击与防御

 2006-11-05 20:36:22 来源:WEB开发网   
核心提示: 接下来是后门程序的执行,除了普通的木马程序常见的执行方式,“后门”的攻击与防御(4),后门程序可以通过挂hook的方式加载,也可以通过在某公共程序中预留接口被用户很乐意地主动加载,导致外部对其某些端口的访问不被允许,那么就达到了禁止该后门的目的,前者在技术上比较先进,后者则是软件作者的&l

接下来是后门程序的执行,除了普通的木马程序常见的执行方式,后门程序可以通过挂hook的方式加载,也可以通过在某公共程序中预留接口被用户很乐意地主动加载。前者在技术上比较先进,后者则是软件作者的“原罪”。相比其他第三方程序实现的木马而言,这两类木马与系统结合地更加密切,在查找与杀除上更加困难。Hook方式可以通过挂接api,或加载dll,作为其他程序下属的线程的方式来加载;这样要杀这个子进程(线程)的后门程序则需要把主进程停止掉,而如果主进程是默认规定不允许kill掉的话就相当不方便查杀了,当然还有的做法就是运行2个子进程互相监视彼此,如果一个死了则另一个做相应处理,并把死掉的那个重新执行——如果有朋友是做服务器的,可以用类似服务界的ha方式来理解,“高可用”理论和实施真是无处不在啊。而后一类藏在程序中的后门,一般来说如果该程序不是特别重要的话,直接把该程序给删除掉,换一个同类功能的其他程序来用就行了。

不过……曾经有出现过内核级代码中出现后门的情形。遇到这样的情形一般就需要重新编译内核了,而如果内核是不开放源代码的则只能依靠商业公司的良心了。由于后门程序属于木马程序类,所以不具有病毒程序的感染二进制可执行文件的特征(但可能将其替换掉),所以一般来说去除方法都以删除该程序为主。关于后门程序的删除,可以参考各类木马程序删除的书籍文献来举一反三。

然后来看看后门程序的驻留。前面我们说过了,后门程序也是一个二进制程序,想要开启/监听/访问外部端口的时候,它必定是运行状态的。而程序的运行都是加载到系统进程之下,放置到内存中执行的。在这一部分中,随着后门程序的不断发展,目前的后门程序主要分为二大类:被动监听端口类、主动连接类。一般来说,常用的后门程序与我们运行的常规服务程序类似,都是后台运行,监听外部对某个端口的连接进而作出响应,这类后门程序从事实上讲就是一个服务程序,区别只在于不是由目标机合法用户所合法运行的而已。比如我私自在目标机上开一个ssh服务,而且想办法隐藏掉不被该机器的用户发现——那么这个原本用于远程登陆的利器,此刻就成为了我的一匹木马,而这个程序的称谓也变成了“后门软件”。另一类主动连接类的后门程序则是黑客思维的产物(打破常规思考的成果),普通情形下,由于目标机用户处于nat内,或使用了防火墙等软件,导致外部对其某些端口的访问不被允许,那么就达到了禁止该后门的目的。(如下图表示,虚线表示访问未遂)

上一页  1 2 3 4 5 6 7 8 9  下一页

Tags:后门 攻击 防御

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接