后门程序介绍


【明慧网2000年12月17日】 首先,我们先来谈谈个人电脑入侵的原理。我们可以把一台已联网的个人电脑当做是一台几乎所有常用端口(Telnet、FTP等)都被封闭的服务器。那么从攻击手段上来讲,常用的端口查询法就失灵了。但是,由于服务器的端口最大可以有65535个。实际上常用的端口才几十个,可以看出未定义端口相当的多。这就表示我们可以采用某种方法定义出一个特殊的端口来达到入侵的目的。为了定义出这个端口,就要依靠某种程序在机器启动之前自动加载到内存,强行控制机器打开那个特殊的端口。这个程序就是“后门”程序。简单的说,我们先通过某种手段在一台个人电脑中植入一个程序,使这台机器变成一台开放性极高(用户拥有极高权限)的FTP服务器,然后就可以达到侵入的目的。

很明显,光有“后门”程序是不够的。一个好的控制工具一般分成两个部分:一个是Client,也就是客户服务程序,我们用它来控制已经打开后门的机器;另一个是Trojan/Host,也就是“后门”程序了,我们用它来开放某台机器。假设我们想控制机器A。那么我们通过一些手段来把“后门”程序传到机器A上并使其运行之,这样A就变成了一台特殊FTP的服务器。然后我们使用Client程序就可以控制A了。

当然了,后门程序如果不运行也就无法发挥作用。因此,我们再来讲讲如何“诱骗”他人使用后门程序。如果是朋友,去他机器偷偷地装上就行了。但是,我们主要的对象是不熟悉的人,那就需要一些方法了。第一、我们先要和他搞好关系,然后就可以问他:“我有一个不错的程序要不要看看?”或者“给你一张我的照片怎么样?”,当那个可怜的人说“行呀!给我传过来吧!”我们的第一步就达成了:)。第二步就是伪装术了。简单一些的话是直接把后门程序改名,改成一些常见的名称如ICQNuke、Readme等或者更改后缀,变成TXT或者图片文件格式。这样当他双击这些伪装的程序后就达到了运行的目的了。复杂一些的方法是利用Winzip的SelfExtrator软件把后门程序和一些其它的东西一起制作成一个自解压的压缩包,然后利用设定解压后自动运行Setup程序的功能来运行指定的“后门”程序。这样当他双击自解压程序后,还没等回过味来,程序就已经运行完了。对于高手来说,他们经常会编写一些程序,把“后门”藏在其中。

最后,当你知道了他的IP后,就可以利用客户服务程序去接管目标机器了。
  
   预防和检查

   在上文,我们已经知道了常用的“诱骗”方法,那么该如何预防后门程序的植入呢?第一,不要随便接受陌生人发来的电子邮件、文件。第二,喜欢聊天的朋友不要轻易暴露自己的IP(大部分人上网的IP都是动态分配的,因此,只要不随便暴露IP,就能较为有效地防止他人入侵)。第三,不要用Windows自带的密码记忆功能来存放你ISP的密码,这种密码保存在Windows\目录下后缀是PWL的文件中。

   如果你运行了某个程序之后,发现它没有任何反应或自动消失了,就要考虑是不是已经运行了“后门”程序。

   处理

   了解到上述的侵入原理之后,就可以知道一点:为了控制某台机器,必须使后门程序在该机器操作系统启动或者Windows初始化之后就开始运行。既然叫黑客工具,当然不会傻乎乎地放在启动栏内让你看到了:)。因此,它通常是先把自身放入较敏感的目录如Windows和Win-dows\Syetem中,因为一般人都不会轻易地删除那里的文件。然后再直接加到注册表里。打开注册表编辑器,看看\HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run和RunServices下有没有奇怪的键名和程序,如果发现有诸如Netspy.exe、Patch.exe、.exe(文件名为空格)时,删除其键值,然后删除相应的程序,再重新启动机器即可。如果你嫌麻烦的话,在这里向大家推荐The Cleaner3(下载网址是http://www.moosoft.com/download.php),它可以自动检查并清除包括Happy99和Picture在内的100多种黑客后门程序。它的操作十分简单,只要在File中的Option(选项)里选中AutoScan(自动检查)和AutoClean(自动清除)就可以了。它的界面分成左右两部分,左边是特洛伊程序列表,右边是相应程序的说明。如果你点击列表中的某个程序,右边就会显示该程序在电脑中的位置和功能以及处理方法,这样还可以增长很多知识呢:)。当然了,也可以使用诸如KVW3000之类的即时监查程序防止黑客程序的入侵。

   黑客工具

   最后我们来详细谈谈几种富有代表性的后门程序。

   俗称“BO”的它是号称突破微软安全限制的黑客程序,目前被炒得沸沸扬扬。它的Trojan是Boserve.exe,使用的端口是31337。运行后会自动删除自身,然后在Windows\System下加入一个 .EXE的程序(注意是文件名是空格,在DOS下是EXEC~1.exe),大小为122KB,而且这个程序没有图标。近来BO还有一个新型的Trojan,它隐藏在一个用锤子打小熊的游戏当中,当你运行游戏时就会自动运行这个程序。这个Trojan程序更名成Sys.exe,使用的端口为31666。在注册表中的位置是\HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVer-sion\RunServices,子键为默认( .exe)。

   功能十分强劲的后门程序,比起前者一点也不逊色。它的Trojan是Patch.exe,运行后将同名文件加载到Windows\目录下。V1.60版的图标是一个底色为蓝色的火炬,大小为461KB;V1.70版的图标是一个发射塔,大小为483KB。在注册表中的位置是\HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run的同名子键。要注意的是它可以随便改名,最简单的删除方法是运行Patch/remove卸载。如果你发现鼠标莫名其妙的调换了左右键,或者是光驱托架自动弹入弹出时,就要当心了。

   网络精灵,这是国人自制的程序。它的Trojan是Netspy.exe,大小136KB。运行后的文件为Wind-ows\System下的netspy.exe。在注册表中的位置是\HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run的同名子键中。其插件的Trojan是ProcSpy(29KB)和xspy(118KB)。它的特殊功能是能在目标机器上显示信息并且执行各种已注册类型的文件以及察看和关闭目标机器的进程。

   名副其实的后门。它的Trojan是Icqnuke.exe(10KB)和Readme.exe(100KB)。运行后会在Windows\下生成一个notpa.exe的文件。在注册表中的位置是HKEY_LO-CAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Run,子键为Notepad(c:\windows\notpa.exe /o=yes)。

  实际上的特洛伊程序逾以百种,每天都会有新版本程序推出,因此无法尽列。要想得到更多关于此方面的内容,欢迎与我联系(jiangnan@public1.tpt.tj.cn)。

  注:写此文的目的是为了帮助大家了解黑客侵入的原理、更好的避免他人恶意地侵入你的电脑,而不是鼓励大家使用本文讲述的各种手段和方法来侵入别人的机器。这样做所产生的一切后果均由个人承担,本人概不负责。

摘自 China Byte