后门电脑病毒运行介绍
当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。下面由学习啦小编给你做出详细的后门电脑病毒运行介绍!希望对你有帮助!欢迎回访学习啦网站,谢谢!
后门电脑病毒运行介绍:
在程序开发期间,后门的存在是为了便于测试、更改和增强模块的功能。当然,程序员一般不会把后门记入软件的说明文档,因此用户通常无法了解后门的存在。
按照正常操作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。
这样,后门就可能被程序的作者所秘密使用,也可能被少数别有用心的人用穷举搜索法发现利用。
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门。本文将讨论许多常见的后门及其检测方法。更多的焦点放在Unix系统的后门,同时讨论一些未来将会出现Windows NT的后门。本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识。当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后,将更主动于预防第一次入侵。
大多数入侵者的后门实现以下二到三个目的:
即使管理员通过改变所有密码类似的方法来提高安全性,仍然能再次侵入。使再次侵入被发现的可能性减至最低。大多数后门设法躲过日志,大多数情况下即使入侵者正在使用系统也无法显示他已在线。一些情况下,如果入侵者认为管理员可能会检测到已经安装的后门,他们以系统的脆弱性作为唯一的后门,重而反复攻破机器。这也不会引起管理员的注意。所以在这样的情况下,一台机器的脆弱性是它唯一未被注意的后门。
运行编辑
IRC病毒集黑客、蠕虫、后门功能于一体,通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典,用户如不设置密码或密码过于简单都会使系统易受病毒影响。
病毒运行后将自己拷贝到系统目录下(Win2K/NT/XP操作系统为系统盘的system32,win9x为系统盘的system),文件属性隐藏,名称不定,这里假设为xxx.exe,一般都没有图标。病毒同时写注册表启动项,项名不定,假设为yyy。病毒不同,写的启动项也不太一样,但肯定都包含这一项:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/yyy:xxx.exe
其他可能写的项有:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/yyy:xxx.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/yyy:xxx.exe
也有少数会写下面两项:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy:xxx.exe
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy:xxx.exe
此外,一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。
病毒每隔一定时间会自动尝试连接特定的IRC服务器频道,为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令,病毒就会在本地执行不同的操作,并将本地系统的返回信息发回聊天室,从而造成用户信息的泄漏。
这种后门控制机制是比较新颖的,即时用户觉察到了损失,想要追查黑客也是非常困难。病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源,容易造成局域网阻塞,国内不少企业用户的业务均因此遭受影响。
出于保护被IRC病毒控制的计算机的目的,一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己,而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。
看过“ 后门电脑病毒运行介绍”人还看了:
