后門電腦病毒運(yùn)行介紹
后門電腦病毒運(yùn)行介紹
當(dāng)一個(gè)訓(xùn)練有素的程序員設(shè)計(jì)一個(gè)功能較復(fù)雜的軟件時(shí),都習(xí)慣于先將整個(gè)軟件分割為若干模塊,然后再對(duì)各模塊單獨(dú)設(shè)計(jì)、調(diào)試,而后門則是一個(gè)模塊的秘密入口。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的后門電腦病毒運(yùn)行介紹!希望對(duì)你有幫助!歡迎回訪學(xué)習(xí)啦網(wǎng)站,謝謝!
后門電腦病毒運(yùn)行介紹:
在程序開發(fā)期間,后門的存在是為了便于測(cè)試、更改和增強(qiáng)模塊的功能。當(dāng)然,程序員一般不會(huì)把后門記入軟件的說明文檔,因此用戶通常無法了解后門的存在。
按照正常操作程序,在軟件交付用戶之前,程序員應(yīng)該去掉軟件模塊中的后門,但是,由于程序員的疏忽,或者故意將其留在程序中以便日后可以對(duì)此程序進(jìn)行隱蔽的訪問,方便測(cè)試或維護(hù)已完成的程序等種種原因,實(shí)際上并未去掉。
這樣,后門就可能被程序的作者所秘密使用,也可能被少數(shù)別有用心的人用窮舉搜索法發(fā)現(xiàn)利用。
從早期的計(jì)算機(jī)入侵者開始,他們就努力發(fā)展能使自己重返被入侵系統(tǒng)的技術(shù)或后門。本文將討論許多常見的后門及其檢測(cè)方法。更多的焦點(diǎn)放在Unix系統(tǒng)的后門,同時(shí)討論一些未來將會(huì)出現(xiàn)Windows NT的后門。本文將描述如何測(cè)定入侵者使用的方法這樣的復(fù)雜內(nèi)容和管理員如何防止入侵者重返的基礎(chǔ)知識(shí)。當(dāng)管理員懂的一旦入侵者入侵后要制止他們是何等之難以后,將更主動(dòng)于預(yù)防第一次入侵。
大多數(shù)入侵者的后門實(shí)現(xiàn)以下二到三個(gè)目的:
即使管理員通過改變所有密碼類似的方法來提高安全性,仍然能再次侵入。使再次侵入被發(fā)現(xiàn)的可能性減至最低。大多數(shù)后門設(shè)法躲過日志,大多數(shù)情況下即使入侵者正在使用系統(tǒng)也無法顯示他已在線。一些情況下,如果入侵者認(rèn)為管理員可能會(huì)檢測(cè)到已經(jīng)安裝的后門,他們以系統(tǒng)的脆弱性作為唯一的后門,重而反復(fù)攻破機(jī)器。這也不會(huì)引起管理員的注意。所以在這樣的情況下,一臺(tái)機(jī)器的脆弱性是它唯一未被注意的后門。
運(yùn)行編輯
IRC病毒集黑客、蠕蟲、后門功能于一體,通過局域網(wǎng)共享目錄和系統(tǒng)漏洞進(jìn)行傳播。病毒自帶有簡(jiǎn)單的口令字典,用戶如不設(shè)置密碼或密碼過于簡(jiǎn)單都會(huì)使系統(tǒng)易受病毒影響。
病毒運(yùn)行后將自己拷貝到系統(tǒng)目錄下(Win2K/NT/XP操作系統(tǒng)為系統(tǒng)盤的system32,win9x為系統(tǒng)盤的system),文件屬性隱藏,名稱不定,這里假設(shè)為xxx.exe,一般都沒有圖標(biāo)。病毒同時(shí)寫注冊(cè)表啟動(dòng)項(xiàng),項(xiàng)名不定,假設(shè)為yyy。病毒不同,寫的啟動(dòng)項(xiàng)也不太一樣,但肯定都包含這一項(xiàng):
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/yyy:xxx.exe
其他可能寫的項(xiàng)有:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/yyy:xxx.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/yyy:xxx.exe
也有少數(shù)會(huì)寫下面兩項(xiàng):
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy:xxx.exe
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy:xxx.exe
此外,一些IRC病毒在2K/NT/XP下還會(huì)將自己注冊(cè)為服務(wù)啟動(dòng)。
病毒每隔一定時(shí)間會(huì)自動(dòng)嘗試連接特定的IRC服務(wù)器頻道,為黑客控制做好準(zhǔn)備。黑客只需在聊天室中發(fā)送不同的操作指令,病毒就會(huì)在本地執(zhí)行不同的操作,并將本地系統(tǒng)的返回信息發(fā)回聊天室,從而造成用戶信息的泄漏。
這種后門控制機(jī)制是比較新穎的,即時(shí)用戶覺察到了損失,想要追查黑客也是非常困難。病毒會(huì)掃描當(dāng)前和相鄰網(wǎng)段內(nèi)的機(jī)器并猜測(cè)登陸密碼。這個(gè)過程會(huì)占用大量網(wǎng)絡(luò)帶寬資源,容易造成局域網(wǎng)阻塞,國(guó)內(nèi)不少企業(yè)用戶的業(yè)務(wù)均因此遭受影響。
出于保護(hù)被IRC病毒控制的計(jì)算機(jī)的目的,一些IRC病毒會(huì)取消匿名登陸功能和DCOM功能。取消匿名登陸可阻止其他病毒猜解密碼感染自己,而禁用DCOM功能可使系統(tǒng)免受利用RPC漏洞傳播的其他病毒影響。
看過“ 后門電腦病毒運(yùn)行介紹”人還看了: