後門程序介紹


【明慧網2000年12月17日】 首先,我們先來談談個人電腦入侵的原理。我們可以把一台已聯網的個人電腦當做是一台幾乎所有常用端口(Telnet、FTP等)都被封閉的服務器。那麼從攻擊手段上來講,常用的端口查詢法就失靈了。但是,由於服務器的端口最大可以有65535個。實際上常用的端口才幾十個,可以看出未定義端口相當的多。這就表示我們可以採用某種方法定義出一個特殊的端口來達到入侵的目的。為了定義出這個端口,就要依靠某種程序在機器啟動之前自動加載到內存,強行控制機器打開那個特殊的端口。這個程序就是「後門」程序。簡單的說,我們先通過某種手段在一台個人電腦中植入一個程序,使這台機器變成一台開放性極高(用戶擁有極高權限)的FTP服務器,然後就可以達到侵入的目的。

很明顯,光有「後門」程序是不夠的。一個好的控制工具一般分成兩個部份:一個是Client,也就是客戶服務程序,我們用它來控制已經打開後門的機器;另一個是Trojan/Host,也就是「後門」程序了,我們用它來開放某台機器。假設我們想控制機器A。那麼我們通過一些手段來把「後門」程序傳到機器A上並使其運行之,這樣A就變成了一台特殊FTP的服務器。然後我們使用Client程序就可以控制A了。

當然了,後門程序如果不運行也就無法發揮作用。因此,我們再來講講如何「誘騙」他人使用後門程序。如果是朋友,去他機器偷偷地裝上就行了。但是,我們主要的對像是不熟悉的人,那就需要一些方法了。第一、我們先要和他搞好關係,然後就可以問他:「我有一個不錯的程序要不要看看?」或者「給你一張我的照片怎麼樣?」,當那個可憐的人說「行呀!給我傳過來吧!」我們的第一步就達成了:)。第二步就是偽裝術了。簡單一些的話是直接把後門程序改名,改成一些常見的名稱如ICQNuke、Readme等或者更改後綴,變成TXT或者圖片文件格式。這樣當他雙擊這些偽裝的程序後就達到了運行的目的了。複雜一些的方法是利用Winzip的SelfExtrator軟件把後門程序和一些其它的東西一起製作成一個自解壓的壓縮包,然後利用設定解壓後自動運行Setup程序的功能來運行指定的「後門」程序。這樣當他雙擊自解壓程序後,還沒等回過味來,程序就已經運行完了。對於高手來說,他們經常會編寫一些程序,把「後門」藏在其中。

最後,當你知道了他的IP後,就可以利用客戶服務程序去接管目標機器了。
  
   預防和檢查

   在上文,我們已經知道了常用的「誘騙」方法,那麼該如何預防後門程序的植入呢?第一,不要隨便接受陌生人發來的電子郵件、文件。第二,喜歡聊天的朋友不要輕易暴露自己的IP(大部份人上網的IP都是動態分配的,因此,只要不隨便暴露IP,就能較為有效地防止他人入侵)。第三,不要用Windows自帶的密碼記憶功能來存放你ISP的密碼,這種密碼保存在Windows\目錄下後綴是PWL的文件中。

   如果你運行了某個程序之後,發現它沒有任何反應或自動消失了,就要考慮是不是已經運行了「後門」程序。

   處理

   了解到上述的侵入原理之後,就可以知道一點:為了控制某台機器,必須使後門程序在該機器操作系統啟動或者Windows初始化之後就開始運行。既然叫黑客工具,當然不會傻乎乎地放在啟動欄內讓你看到了:)。因此,它通常是先把自身放入較敏感的目錄如Windows和Win-dows\Syetem中,因為一般人都不會輕易地刪除那裏的文件。然後再直接加到註冊表裏。打開註冊表編輯器,看看\HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run和RunServices下有沒有奇怪的鍵名和程序,如果發現有諸如Netspy.exe、Patch.exe、.exe(文件名為空格)時,刪除其鍵值,然後刪除相應的程序,再重新啟動機器即可。如果你嫌麻煩的話,在這裏向大家推薦The Cleaner3(下載網址是http://www.moosoft.com/download.php),它可以自動檢查並清除包括Happy99和Picture在內的100多種黑客後門程序。它的操作十分簡單,只要在File中的Option(選項)裏選中AutoScan(自動檢查)和AutoClean(自動清除)就可以了。它的界面分成左右兩部份,左邊是特洛伊程序列表,右邊是相應程序的說明。如果你點擊列表中的某個程序,右邊就會顯示該程序在電腦中的位置和功能以及處理方法,這樣還可以增長很多知識呢:)。當然了,也可以使用諸如KVW3000之類的即時監查程序防止黑客程序的入侵。

   黑客工具

   最後我們來詳細談談幾種富有代表性的後門程序。

   俗稱「BO」的它是號稱突破微軟安全限制的黑客程序,目前被炒得沸沸揚揚。它的Trojan是Boserve.exe,使用的端口是31337。運行後會自動刪除自身,然後在Windows\System下加入一個 .EXE的程序(注意是文件名是空格,在DOS下是EXEC~1.exe),大小為122KB,而且這個程序沒有圖標。近來BO還有一個新型的Trojan,它隱藏在一個用錘子打小熊的遊戲當中,當你運行遊戲時就會自動運行這個程序。這個Trojan程序更名成Sys.exe,使用的端口為31666。在註冊表中的位置是\HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVer-sion\RunServices,子鍵為默認( .exe)。

   功能十分強勁的後門程序,比起前者一點也不遜色。它的Trojan是Patch.exe,運行後將同名文件加載到Windows\目錄下。V1.60版的圖標是一個底色為藍色的火炬,大小為461KB;V1.70版的圖標是一個發射塔,大小為483KB。在註冊表中的位置是\HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run的同名子鍵。要注意的是它可以隨便改名,最簡單的刪除方法是運行Patch/remove卸載。如果你發現鼠標莫名其妙的調換了左右鍵,或者是光驅托架自動彈入彈出時,就要當心了。

   網絡精靈,這是國人自製的程序。它的Trojan是Netspy.exe,大小136KB。運行後的文件為Wind-ows\System下的netspy.exe。在註冊表中的位置是\HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run的同名子鍵中。其插件的Trojan是ProcSpy(29KB)和xspy(118KB)。它的特殊功能是能在目標機器上顯示信息並且執行各種已註冊類型的文件以及察看和關閉目標機器的進程。

   名副其實的後門。它的Trojan是Icqnuke.exe(10KB)和Readme.exe(100KB)。運行後會在Windows\下生成一個notpa.exe的文件。在註冊表中的位置是HKEY_LO-CAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Run,子鍵為Notepad(c:\windows\notpa.exe /o=yes)。

  實際上的特洛伊程序逾以百種,每天都會有新版本程序推出,因此無法盡列。要想得到更多關於此方面的內容,歡迎與我聯繫(jiangnan@public1.tpt.tj.cn)。

  注:寫此文的目的是為了幫助大家了解黑客侵入的原理、更好的避免他人惡意地侵入你的電腦,而不是鼓勵大家使用本文講述的各種手段和方法來侵入別人的機器。這樣做所產生的一切後果均由個人承擔,本人概不負責。

摘自 China Byte