后門(mén)程序是指那些繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的程序方法。一般在軟件開(kāi)發(fā)時(shí)，程序員會(huì)在軟件中創(chuàng)建后門(mén)程序，這樣就可以修改程序設(shè)計(jì)中的缺陷。但是，如果這些后門(mén)被其他人知道，或是在發(fā)布軟件之前沒(méi)有刪除后門(mén)程序，那么它就成了安全風(fēng)險(xiǎn)，容易被黑客當(dāng)成漏洞進(jìn)行攻擊。通俗的講，后門(mén)程序就是留在計(jì)算機(jī)系統(tǒng)中，供某位特殊使用者通過(guò)某種特殊方式控制計(jì)算機(jī)系統(tǒng)的途徑。

一、遠(yuǎn)程控制的兩個(gè)通性

（1）任何一款的遠(yuǎn)程控制技術(shù)都必須與目標(biāo)（被控端）建立至少一個(gè)TCP或者UPD連接。如果黑客未上線，則會(huì)每隔30秒向黑客發(fā)起連接請(qǐng)求。

（2）任何一款遠(yuǎn)控木馬都會(huì)向系統(tǒng)寫(xiě)入至少一個(gè)隨機(jī)啟動(dòng)項(xiàng)、服務(wù)啟動(dòng)項(xiàng)，或者劫持某個(gè)系統(tǒng)必備的正常啟動(dòng)項(xiàng)。并且會(huì)在某個(gè)目錄中隱、釋放木馬。以方便隨機(jī)啟動(dòng)。

二、基于遠(yuǎn)控通性反遠(yuǎn)程控制法——兩條命令判斷是否被控制

1.最簡(jiǎn)單的方法就是通過(guò)兩條命令，一條是“netstat “ 。另一條就是“tasklist “命令，這兩條命令可真為是絕配的反黑客遠(yuǎn)控的方法啊。首先我們就在虛擬機(jī)中測(cè)試，在本機(jī)使用灰鴿子主控端生成一個(gè)木馬放入到虛擬機(jī)中運(yùn)行。

2.確認(rèn)虛擬機(jī)已經(jīng)中了我們的遠(yuǎn)控木馬之后我們開(kāi)始執(zhí)行第一條命令，首先大家先在聯(lián)網(wǎng)的情況，把所有聯(lián)網(wǎng)的程序都關(guān)閉，包括殺毒軟件、QQ、迅雷、等存在聯(lián)網(wǎng)的程序關(guān)閉，保存最原始的進(jìn)程。這樣很方便我們識(shí)別。再次打開(kāi)開(kāi)始菜單——運(yùn)行——輸入“cmd”。進(jìn)入到黑色的DOS窗口下，輸入命令“netstat -ano“。這條命令的意思是查看當(dāng)前網(wǎng)絡(luò)的連接狀態(tài)。輸入之后我們查看中主要看”state”的狀態(tài)，如果是“listenning”是端口的監(jiān)聽(tīng)這個(gè)可以放心，如果是“ESTABLISHED”可要注意了，這個(gè)狀態(tài)意思是正在連接！我們肯定會(huì)想，我們都沒(méi)開(kāi)任何程序在聯(lián)網(wǎng)，何來(lái)正在與遠(yuǎn)程主機(jī)連接呢？下面是中了遠(yuǎn)程控制木馬的虛擬機(jī)中網(wǎng)絡(luò)連接狀態(tài)。

3.此時(shí)捕捉到正在連接的狀態(tài)的最后一行PID值為：3920，這就是我們說(shuō)的遠(yuǎn)控至少與目標(biāo)建立一個(gè)TCP或UDP連接，而這里建立了一個(gè)TCP連接，并且仔細(xì)看下，“Foregin Address”意思是外網(wǎng)地址，這個(gè)IP地址可以百度進(jìn)行查詢(xún)下就可以知道是哪個(gè)地區(qū)的人在控制我們的電腦，再仔細(xì)看下IP地址后面的端口為：8000，現(xiàn)在很多主流的遠(yuǎn)程軟件都是8000或者80端口，這又更值得懷疑了。這樣我們就可以查看進(jìn)程，因?yàn)槟抉R要想進(jìn)行連接就必定會(huì)在內(nèi)存中進(jìn)行運(yùn)行，否則就無(wú)法進(jìn)行連接了，我們查看內(nèi)存中可疑的進(jìn)程，上面捕獲的連接PID為：3920。我們輸入命令“tasklist /svc“這條命令是查看當(dāng)前進(jìn)程與PID值和啟動(dòng)的服務(wù)。

4.通過(guò)上面的命令找到了網(wǎng)絡(luò)連接對(duì)應(yīng)的PID值進(jìn)程3920，并且發(fā)現(xiàn)該進(jìn)程名是一個(gè)IE的進(jìn)程，很明顯這就有問(wèn)題，因?yàn)槲覀兏緵](méi)打開(kāi)瀏覽器，何來(lái)IE進(jìn)程呢？果斷的就知道它的一個(gè)遠(yuǎn)程控制木馬偽裝的進(jìn)程。我們應(yīng)該馬上去進(jìn)行一個(gè)查殺掉該進(jìn)程，從內(nèi)存中干掉它。我們輸入命令“taskkill /f /pid 3920”  這條命令是強(qiáng)制結(jié)束PID值為3920的進(jìn)程。當(dāng)我們強(qiáng)制結(jié)束掉了木馬之后發(fā)現(xiàn)主控端遠(yuǎn)程控制軟件上的肉雞馬上就下線了。這樣黑客就無(wú)法進(jìn)行控制了。

5.在這里說(shuō)明，我們只是暫時(shí)現(xiàn)在已經(jīng)讓黑客無(wú)法控制我們的電腦，結(jié)束了它的遠(yuǎn)程控制的連接程序。但是我們要知道遠(yuǎn)程控制的第二個(gè)通性，就是遠(yuǎn)程控制軟件為了讓對(duì)方能夠重啟系統(tǒng)后繼續(xù)在黑客的遠(yuǎn)控軟件上面上線，就必須會(huì)在被控者的電腦上寫(xiě)入一個(gè)隨機(jī)啟動(dòng)項(xiàng)，這個(gè)隨機(jī)啟動(dòng)項(xiàng)就是當(dāng)系統(tǒng)啟動(dòng)的時(shí)候立馬運(yùn)行木馬，運(yùn)行了木馬就可以再次上線。所以我們還需要檢測(cè)我們的啟動(dòng)項(xiàng)。很多啟動(dòng)項(xiàng)都是寫(xiě)入注冊(cè)表的，我們這里給大家列出一些木馬可能寫(xiě)入的啟動(dòng)鍵值。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  下的shell鍵值

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows  下的load鍵值

以上是我們列舉出的木馬可能會(huì)存在自啟動(dòng)的注冊(cè)表鍵值，其中第一個(gè)可以通過(guò)運(yùn)行“msconfig”看到的。經(jīng)過(guò)我們的仔細(xì)查看了所有存在可能的隨機(jī)啟動(dòng)項(xiàng)發(fā)現(xiàn)沒(méi)有任何異常，此時(shí)我們就要注意，是否是以服務(wù)的方式啟動(dòng)呢？下面我們就去檢查可以的服務(wù)，經(jīng)過(guò)多次對(duì)服務(wù)的分析，我們查看到有一個(gè)名字為“Rising RavTask Manage.”的進(jìn)程可疑，因?yàn)檫^(guò)它的啟動(dòng)程序是藏在“C:\WINDOWS\Rising\svchot.exe”的程序，看過(guò)我前面的技術(shù)文章《Svchost.exe進(jìn)程的分析》就一下能判斷出這就是偽裝類(lèi)似svchost文件，我們找到該目錄后就會(huì)發(fā)現(xiàn)該文件還是個(gè)系統(tǒng)隱藏的文件，那就更可疑了，一個(gè)程序還設(shè)置為系統(tǒng)隱藏！可疑！正常情況下除去系統(tǒng)重要文件會(huì)隱藏，如果你對(duì)系統(tǒng)有足夠的了解，看的出非系統(tǒng)文件居然隱藏！絕對(duì)是很可疑的，這時(shí)候可以百度下這個(gè)文件??！

6.在CMD下切換到該目錄下進(jìn)程一個(gè)強(qiáng)制刪除吧，切換到目錄后輸入命令“del  /ah /f svchot.exe “ 就可以強(qiáng)制刪除隱藏的木馬了。

最新評(píng)論