鲁达 电脑后门一般是指那些绕过安全性控制而获取对程序或系统访问权的程序。在软件的开发阶段,程序员常常会创建后门以便修改程序。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门,那么它就成了安全风险,容易被hacker当成漏洞进行攻击。
认识电脑后门
后门程序就是指在计算机系统中的供某些特殊使用者通过某种特殊方式控制计算机系统的途径。下面介绍电脑后门程序的基础知识。
1.后门程序与木马病毒的关系
后门程序与通常所说的"木马"有联系,也有区别。联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一一定权限,以便远程机器对本机的控制。区别在于:木马是一个完整的软件, 而后门的体积较小且功能单一。 后门程序类似于木马,都是潜伏在电脑中搜集信息或便于hacker进入。
后门程序和电脑病毒最大的差别是:后门程序不一定有自我复制的动作,也就是说后门程序不一定会"感染"其他电脑。
后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
在病毒命名时,后门一般带有backdoor字样,而木马般带有Trojan字样。
2.后门程序的特点
后门有很多类型。简单的后门可能只是建立一个新的帐号, 或者接管一个很少使用的帐号; 复杂的后门(包括木马)可能会绕过系统的安全认证,进而对系统有安全存取权。例如,当输入特定的密码时,-个login程序就能以管理员的权限来存取系统。
后门能相互关联,而且这个技术被许多hacker使用。例如,hacker可能使用密码破解一个或多个帐号和密码;可能建立一个或多个帐号;可能存取这个系统,使用一些技术或利用系统的某个漏洞来提升权限;可能会对系统的配置文件进行小部分的修改,以降低系统的防卫性能;可能安装一个木马程序,使系统打开一个安全漏洞,以利于hacker完全掌握系统。
3.后门程序的分类
后门可以按照多种形式进行划分。从技术的角度,可以分为以下几种。
1.网页后门
此类后门程序一般是由服务器上正常的Web服务来构造自己的连接方式,如非常流行的ASP、cgi脚本后门等。
网络上针对系统漏洞的攻击事件渐渐少了,因为用户认识到了网络安全的重要性,并且及时升级查杀软件。所以系统漏洞以后存活的周期会越来越短。近期,脚本漏洞已经取代了系统漏洞的地位,非常多的人开始研究脚本漏洞。sq|注入也开始成为各大安全站点的首要关注热点,旨在找到提升权限的突破口,进而拿到服务器的系统权限。
asp、CGI、PHP这三个脚本大类在网络上的普遍运用带来了脚本后门在这三方面的发展。
2.扩展后门
在普通意义上理解,扩展后门可以看成是将非常多的功能集成到了后门里,后门本身就可以实现很多功能,方便直接控制肉鸡或者服务器。通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能,这类后门非常受初学者喜爱。该类后门本身就是个小的工具包,功能强大。
3. C/S后门
传统的木马程序常常使用C/S构架,这样的构架便于控制,也在一定程度上避免了"万能密码"的出现,对后门私有化有一定的贡献。 这方面的分类比较模糊,很多后门可以归到此类中,如ICMP Door.
ICMP Door利用ICMP通道进行通信,所以不开任何端口,利用系统本身的ICMP包控制安装成系统服务后,开机自动运行,可以穿透很多防火墙。它的最大特点是:不开任何端口,只通过ICMP控制。和上面任何一-款后门程序相比,它的控制方式都是很特殊的,连80端口都不用开放,不得不佩服务程序编写人员独特的思维角度和眼光。
4.帐号后门
帐号后门技术是指hacker为了长期控制目标计算机,通过后门在目标计算机中建立一个备用管理员帐户的技术。一般采用克隆帐户技术。克隆帐户一般有两种方式,一个是手动克隆帐户,一个是使用克隆工具。
5.线程插入后门
这种后门在运行时没有进程,所有网络操作均插入其他应用程序的进程中完成。也就是说,即使受控制端安装的防火墙拥有" 应用程序访问权限"的功能,也不能对这样的后门进行有效的警告和拦截,也就使防火墙形同虚设了。对它的查杀比较困难,这种后门本身的功能比较强大。