什么是后門(mén)程序？

 

　　后門(mén)程序是指能夠以管理員身份訪問(wèn)計(jì)算機(jī)或網(wǎng)絡(luò)的程序。后門(mén)程序能夠訪問(wèn)系統(tǒng)的BIOS而且并不總是出于惡意設(shè)計(jì)的。但是BIOS后門(mén)攻擊能導(dǎo)致硬件驅(qū)動(dòng)器被擦除和被重新映像。

 

　　事實(shí)上，后門(mén)程序的源頭可能令人震驚，而且可能像病毒和間諜軟件那樣給我們帶來(lái)麻煩。Sysinternals安全專(zhuān)家Mark Russinovich曾經(jīng)發(fā)現(xiàn)索尼音頻CD上的數(shù)字版權(quán)管理(DRM)組件在他的計(jì)算機(jī)上安裝了一個(gè)后門(mén)程序。

 

　　F-Secure 芬蘭公司的反病毒研究主管Mikko Hypponen說(shuō)，“這為病毒制造者創(chuàng)造了機(jī)會(huì)。這些后門(mén)程序可能被任意惡意軟件利用，當(dāng)出現(xiàn)這一局面時(shí)，對(duì)于像我們這樣的公司來(lái)說(shuō)，在正當(dāng)?shù)能浖c惡意軟件之間做出區(qū)分將變得更加困難。”

 

　　事實(shí)已經(jīng)證明，除了64位Windows操作系統(tǒng)，虛擬機(jī)和智能手機(jī)容易遭受后門(mén)程序的攻擊，因此學(xué)習(xí)并應(yīng)用后門(mén)程序檢測(cè)以及移除的最佳實(shí)踐將是個(gè)不錯(cuò)的主意。

 

　　如何發(fā)現(xiàn)后門(mén)程序？

 

　　后門(mén)程序已經(jīng)在很多產(chǎn)品中出現(xiàn)了，包括商業(yè)安全產(chǎn)品以及看似沒(méi)有問(wèn)題的第三方應(yīng)用擴(kuò)展。并沒(méi)有一門(mén)非常精確的科學(xué)能夠找到并移除后門(mén)程序，這是因?yàn)楹箝T(mén)程序可以通過(guò)多種方式安裝在計(jì)算機(jī)上。沒(méi)有單一的工具能夠正確地識(shí)別所有的后門(mén)程序以及類(lèi)似后門(mén)的行為。

 

　　為了判斷后門(mén)程序是否正在運(yùn)行，可以使用系統(tǒng)進(jìn)程分析器比如Sysinternals公司的ProcessExplorer或者效果更好的網(wǎng)絡(luò)分析器。你可能將會(huì)對(duì)程序所做的一切以及網(wǎng)絡(luò)適配器上的流量感到吃驚。你可能還會(huì)發(fā)現(xiàn)負(fù)荷過(guò)重的系統(tǒng)運(yùn)行在只有很少內(nèi)存或者硬盤(pán)驅(qū)動(dòng)器碎片非常嚴(yán)重的機(jī)器上。檢查一下系統(tǒng)的配置然后運(yùn)行后門(mén)掃描程序。

 

　　1.掃描系統(tǒng)內(nèi)存。當(dāng)進(jìn)程被調(diào)用時(shí)，對(duì)所有的入口點(diǎn)進(jìn)行監(jiān)控，對(duì)可能被欺騙或者重定向到其他函數(shù)的輸入類(lèi)庫(kù)(來(lái)自于動(dòng)態(tài)鏈接庫(kù))調(diào)用進(jìn)行追蹤，加載設(shè)備驅(qū)動(dòng)器，等等。采用這種方法檢測(cè)后門(mén)程序的缺點(diǎn)是單調(diào)乏味，消耗時(shí)間而且無(wú)法計(jì)算后門(mén)程序被引入到系統(tǒng)中的所有可能的方式。

 

　　2.尋求真相——揭露API欺詐。針對(duì)Windows的一個(gè)后門(mén)檢測(cè)應(yīng)用是由Windows安全分析師Bryce Cogswell和Mark Russinovich開(kāi)發(fā)的。這一輕量級(jí)的二進(jìn)制程序監(jiān)視文件系統(tǒng)位置以及注冊(cè)表配置單元，尋找隱藏在Windows API背后的信息：主文件表和活動(dòng)索引。除此之外，《顛覆Windows內(nèi)核：后門(mén)程序》一書(shū)的作者開(kāi)發(fā)了稱(chēng)為VICE的工具，能夠調(diào)用表和函數(shù)指針，系統(tǒng)地捕獲API中的欺詐。

 

　　3.了解最新的防病毒以及惡意軟件防護(hù)程序。安全廠商比如F-Secure提供了單獨(dú)的后門(mén)程序檢測(cè)工具。微軟已經(jīng)在其自己的惡意軟件清除工具中實(shí)現(xiàn)了后門(mén)程序檢測(cè)特性。選擇最好的掃描工具進(jìn)行后門(mén)程序檢測(cè)，并將其作為整體安全防護(hù)的一部分是非常重要的，但是你可能還需要進(jìn)行手動(dòng)的搜索。

 

　　4.防火墻防護(hù)升級(jí)。請(qǐng)記住，潛在的攻擊可能相當(dāng)隱蔽，一旦服務(wù)器被盜用，黑客一定能夠重新登錄到這臺(tái)機(jī)器上。盡管防火墻對(duì)應(yīng)用級(jí)的風(fēng)險(xiǎn)毫無(wú)辦法，但當(dāng)禁止重新登錄到被攻擊的機(jī)器將給黑客構(gòu)成重大的挑戰(zhàn)。

 

　　5.對(duì)工作站或服務(wù)器進(jìn)行加固，應(yīng)對(duì)攻擊。首先，這一前瞻性的手段避免了黑客在工作站或服務(wù)器上安裝后門(mén)程序。可以參考美國(guó)國(guó)家安全局發(fā)布的對(duì)Windows系統(tǒng)進(jìn)行加固的指南。

 

　　如何移除后門(mén)程序？

 

　　在受害主機(jī)上安裝后門(mén)程序相對(duì)容易。為上傳后門(mén)程序，黑客可能做任何事去找到Windows的脆弱性來(lái)破解密碼甚至獲得物理系統(tǒng)的訪問(wèn)權(quán)。他們甚至能夠進(jìn)行釣魚(yú)式攻擊，此時(shí)黑客引誘用戶(hù)打開(kāi)附件中的可執(zhí)行文件或者點(diǎn)擊郵件或即時(shí)消息中的超鏈接。一旦用戶(hù)執(zhí)行這些操作，就很難擺脫后門(mén)程序了。

 

　　由于后門(mén)程序的威脅并不像病毒和間諜軟件那樣普遍，因此移除后門(mén)程序主要是一個(gè)應(yīng)對(duì)過(guò)程。一旦發(fā)現(xiàn)了惡意軟件，你需要清除被感染的Windows文件并在移除后門(mén)程序后進(jìn)行二次檢查。

 

　　有哪些后門(mén)移除工具？

 

　　微軟的Windows加密、微軟安全軟件Microsoft Security Essentials以及Windows BitLocker驅(qū)動(dòng)器加密能夠?yàn)橐瞥箝T(mén)程序提供幫助。此外，據(jù)微軟所說(shuō)，Windows 8將包括增強(qiáng)安全性的特性。

 

　　除了上文提及的Sysinternals以及F-Secure安全產(chǎn)品外，還有一些第三方的套件能夠移除Windows系統(tǒng)中的后門(mén)程序。

 

　　例如，Sophos Anti-Rootkit有一個(gè)安裝程序，必須手動(dòng)運(yùn)行。這款程序能夠與用戶(hù)進(jìn)行更多的交互，但是它掃描系統(tǒng)的速度也更慢。另一個(gè)后門(mén)程序掃描程序就是Rootkit Hook Analyzer。你可以試用上述所有產(chǎn)品了解哪款產(chǎn)品最符合你的需求。

 

　　為什么移除后門(mén)程序前要進(jìn)行備份？

 

　　不要忘了在移除后門(mén)程序和僵尸網(wǎng)絡(luò)前進(jìn)行合理的備份，這讓恢復(fù)系統(tǒng)變得更加簡(jiǎn)單。據(jù)安全專(zhuān)家Kevin Beaver所說(shuō)，使用清潔工具移除后門(mén)程序后，可能使Windows處于不穩(wěn)定或者不可操作的狀態(tài)，這取決于被感染的文件以及隨后進(jìn)行的清除操作。也許更加糟糕的是，編碼良好的后門(mén)可能會(huì)檢測(cè)到移除進(jìn)程而自我銷(xiāo)毀，將系統(tǒng)中的數(shù)據(jù)一同毀滅。

 

　　閱讀用戶(hù)指南，以確定你的掃描工具在移除后門(mén)程序過(guò)程中需要哪些特殊操作。發(fā)現(xiàn)并清除后門(mén)程序、重新啟動(dòng)Windows操作系統(tǒng)之后，重新對(duì)系統(tǒng)進(jìn)行掃描，再次檢查確保系統(tǒng)是干凈的，惡意軟件沒(méi)有重新出現(xiàn)。

 

　　此外，解除Windows安全威脅的最佳方法是阻止惡意軟件影響企業(yè)系統(tǒng)和連接到企業(yè)網(wǎng)絡(luò)的重要系統(tǒng)。

 

　　仍舊對(duì)后門(mén)程序感染有些偏執(zhí)？想確定你的系統(tǒng)足夠干凈？最好也是最可靠的方式就是重新分區(qū)，重新格式化并重新裝載Windows操作系統(tǒng)�；謴�(fù)Windows系統(tǒng)很痛苦，但確實(shí)需要關(guān)閉無(wú)法移除的后門(mén)程序時(shí)這將是最好的方式。
 

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206