返回
各种后门的检测与清除方法

各种后门的检测与清除方法

ID:32335084

大小:46.24 KB

页数:3页

时间:2019-02-03

各种后门的检测与清除方法_第1页
各种后门的检测与清除方法_第2页
各种后门的检测与清除方法_第3页
资源描述:

《各种后门的检测与清除方法》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、首先我们要认识一下什么是后门程序?  在网络上常见的对“后门”的解释,其实我们可以用很简单的一句话来概括它:后门就是留在计算机系统中,供某位特殊使用都通过某种特殊方式控制计算机系统的途径!!——很显然,掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡,让它永远飞不出你的五指山!  正因如此所以后门技术与反后门的检测技术也成为了黑客攻防战的焦点。正所谓知己知彼,百战不殆。要了解反后门技术那么我们就要更多的深入去学习与了解后门知识。  后门的分类  后门可以按照很多方式来分类,标准不同自然分类就不同,为了便于大家理解,我们从技术方面来

2、考虑后门程序的分类方法:  前面讲了这么多理论知识是不是觉得有点头大了呢?下面我们来讲讲一些常见的后门工具吧  1.网页后门  此类后门程序一般都是服务器上正常的web服务来构造自己的连接方式,比如现在非常流行的ASP、cgi脚本后门等。  典型后门程序:海洋顶端,红粉佳人个人版,后来衍生出来很多版本的这类网页后门,编写语言asp,aspx,jsp,php的都有种类比较繁多。  2.线程插入后门  利用系统自身的某个服务或者线程,将后门程序插入到其中,这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。  典型后门程序:代表BITS,还有我

3、在安全焦点上看到的xdoor(首款进程插入后门)也属于进程插入类后门。  3.扩展后门  所谓的扩展后门,在普通意义上理解,可以看成是将非常多的功能集成到了后门里,让后门本身就可以实现很多功能,方便直接控制肉鸡或者服务器,这类的后门非常受初学者的喜爱,通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能,本身就是个小的工具包,功能强大。  典型后门程序:Wineggdroupshell  4.C/S后门  这个后门利用ICMP通道进行通信,所以不开任何端口,只是利用系统本身的ICMP包进行控制安装成系统服务后,开机自动

4、运行,可以穿透很多防火墙——很明显可以看出它的最大特点:不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比,它的控制方式是很特殊的,连80端口都不用开放,不得不佩服务程序编制都在这方面独特的思维角度和眼光.  典型后门程序:ICMPDoor  5.rootkit  好多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后,如果他还没有获得r

5、oot权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。  典型后门程序:hackerdefender  以上是我在网上搜集的前人总结,值得指出的是这些分类还不够完善,还没有真正指出后门的强大。  下面我继续补充点我更新黑基技术文章时看到的一些比较少见的后门技术。  6BootRoot  通过在Window

6、s内核启动过程中额外插入第三方代码的技术项目,即为“BootRoot”。国外组织eBye在通过这种新的Rootkit启动技术,并赋予这种无需依赖Windows内核启动过称去加载自身代码的技术及其衍生品——“BootKit”,即“BootRootkit”。  Mebroot是如何实现MBR感染与运作的  Mebroot比Windows还要早一步启动,然后将自身驱动代码插入内核执行,从而绕过了注册表HIVE检测的缺陷。同时采用的底层技术让大部分Anti-Rootkit工具失明——因为它根本没有在系统内留下任何启动项目。检测工具自然会检测失效。然后通过DLL远程注入

7、用户进程,为系统打开后门并下载木马运行。在这非传统的渗透思路下,反Rootkit工具是无法根除它的看到以上这么多可怕的后门知识是不是对这些有所了解了呢?————————————————————————————————————————————————  下面我们来谈谈如何检测后门  1.简单手工检测法  凡是后门必然需要隐蔽的藏身之所,要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处,如自启动项,据不完全统计,自启动项目有近80多种。用AutoRuns检查系统启动项。观察可疑启动服务,可疑启动程序路径,如一些常见系统路径一般在system32下,如果执

8、行路径种在非系统的system32目录

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。