什麼是後門程式?
2014-02-12 20:47
什麼是後門程式?
2014-02-10 22:23
一、
|
前言 |
|
MS Windows 是大多數個人平台所使用的作業系統,雖然 Windows 系統 出現安全漏洞,多半也只會立即影響到個人,但是也可能會因此而影響 到別人(例如 DDoS 分散式阻絕攻擊、病毒等等)。
在本文中,我們要談談一些日漸盛行的後門程式,這些程式多半只影響 個人,但是對於個人隱私卻有相當大的影響。 |
二、
|
後門簡介 |
後門程式的起源有兩種,一種是不懷善意的後門程式,另一種是遠端管 理程式。雖然遠端管理程式一開始的立意是為了方便遠端管理,但是如 果以不正當的手法、或是不懷好意的心態來使用的話,就變成了後門程式。比方說像Back Orifice 或是國人自產的 BirdSpy 也都是為了遠端管理而開發的,但是卻有太多人拿來當後門程式使用。 目前 Windows 上的後門程式約有三十幾種,多半是真的後門程式,而少部分(一開始)是遠端管理程式,例如比較常見的 Netbus、Bo2k、 Netspy、Netbuster、BirdSpy、Sub 7...等等。這些後門程式最基本的可以偷偷你的密碼或個人資料,幫你開、關機,增、刪你的檔案,比較強大的(遠端管理程式)還可以監看你的螢幕,記錄你的 key stroke ,幫你執行程式,幫你打打字等等,就好像遙控者坐在你的電腦前面一 樣。 遙控者可以利用後門程式的 client,透過預先定義好的 port 來控制受害者的機器,甚至有的後門程式會透過電子郵件、IRC 或其他方式來 散佈受害者的上網 IP,以避免撥接者 IP 動態改變的問題。 |
|
三、
|
散播途徑 |
這些後門程式大多數是藉由類似病毒感染的方式傳遞,例如夾帶在電子郵件中,夾帶在軟體中,當你享受朋友分享的軟體或電子郵件的同時,後門程式就悄悄的進駐了。也有些人在幫人家裝電腦或是修電腦的時候 ,就會附贈後門程式,以提供更完善的「服務」,尤其是幫女生裝的電腦。(曾有人在網路上提到,用 portscan 工具往女舍一掃,超過 60%的女生電腦有裝 bo 之類的後門)
|
|
四、
|
防制之道(一)
|
有些後門程式已經被病毒檢查軟體列為病毒來偵測,因此安裝防毒程式 並每月更新病毒定義碼是一個防制方式。此外,有些後門程式使用固定的 port 來做通訊之用,有些通訊檢查軟體(例如 LockDown)可以做 一點基本的防護。 |
|
五、
|
防制之道(二)
|
由於後門程式通常會使用(bind、listen)某些 port,所以你可以自己來檢查看看你有哪些 port 正在使用中。
首先,我們開啟一個 DOS Command 視窗,並且輸入: C:\> netstat -a | more 你會看到類似以下的畫面:(最前面的行號不算) 1. TCP me:4950 ME:0 LISTENING 2. TCP me:nbsession ME:0 LISTENING 3. TCP me:1061 www.cert.org.tw:970 ESTABLISHED 4. TCP me:9780 11.22.33.44:40964 ESTABLISHED 5. TCP me:137 ME:0 LISTENING 6. TCP me:138 ME:0 LISTENING 7. TCP me:4576 152.163.243.114:5190 ESTABLISHED 8. UDP me:nbname *:* 9. UDP me:nbdatagram *:* 1. 以第 1 行來說,有一個程式正在 port 4950 等待連線(listen) 2. 以第 3 行來說,有一個連線從我的電腦 port 1061 連到 www.cert .org.tw 的 port 970,這是一個 SNP telnet 的連線 。 3. 以第 2、5、6、8、9 行來說,這是 Windows 資源分享的 ports。 4. 你可能會看到一大堆不知道是什麼東西的 port,沒關係,再往下看。 請關掉「所有的連線」,例如 Netterm、Outlook、MSIE、ICQ 等等,然後再執行一次 netstat -a,看看是否還有 ESTABLISHED 的連線,如果有的話,表示尚有不明的連線正在進行中,你可以請教比較瞭解的人這些 ESTABLISHED port 是做什麼用的。如果你有 UNIX 或是相關的nslookup、dig 工具,可以看看對方的 IP 對應到什麼 hostname,如果是莫名其妙的機器就要小心了。 解決了 ESTABLISHED 之後,我們再來看看 LISTENING 的 port,這些正在等待連線中的 port 就很有可能是後門程式的 port,你可以把它們記下來問比較清楚的人,或是到 security 版上發問。 PS. 這裡有一份常見的後門程式 port 列表: https://www.simovits.com/nyheter9902.html |
|
六、
|
結語
|
目前對於 Windows 後門程式並無絕對有效的防制之道,端看使用者本身的習慣是否良好,例如不隨便使用來路不明的軟體,不隨便開啟來路不明的信件。此外,要看使用者的人緣,會不會受到朋友的「特別照顧」,幫你裝了一些有的沒有的後門。
雖然如此,有裝防毒軟體或是網路通訊檢查軟體還是略有小用,可以擋掉一些無謂的小騷擾,正所謂沒有魚、蝦也好。 當然對於一個躲在設定良好防火牆後面的 Windows 主機來說,這些後門程式大多無用武之地,但畢竟在一般的情形之下,大多數的 Windows機器都是單獨暴露在 Internet 之上,所以在此提到防火牆就有多此一 舉之嫌了。 |
|
來源:https://192.83.193.18/dorm/know-backdoor.html |
閱讀更多: https://play-computer.webnode.tw/news/%e4%bb%80%e9%ba%bc%e6%98%af%e5%be%8c%e9%96%80%e7%a8%8b%e5%bc%8f-/
免費設立自己的網站: https://www.webnode.tw