什么是后門程序？

 

　　后門程序是指能夠以管理員身份訪問計算機或網(wǎng)絡(luò)的程序。后門程序能夠訪問系統(tǒng)的BIOS而且并不總是出于惡意設(shè)計的。但是BIOS后門攻擊能導(dǎo)致硬件驅(qū)動器被擦除和被重新映像。

 

　　事實上，后門程序的源頭可能令人震驚，而且可能像病毒和間諜軟件那樣給我們帶來麻煩。Sysinternals安全專家Mark Russinovich曾經(jīng)發(fā)現(xiàn)索尼音頻CD上的數(shù)字版權(quán)管理(DRM)組件在他的計算機上安裝了一個后門程序。

 

　　F-Secure 芬蘭公司的反病毒研究主管Mikko Hypponen說，“這為病毒制造者創(chuàng)造了機會。這些后門程序可能被任意惡意軟件利用，當出現(xiàn)這一局面時，對于像我們這樣的公司來說，在正當?shù)能浖�與惡意軟件之間做出區(qū)分將變得更加困難。”

 

　　事實已經(jīng)證明，除了64位Windows操作系統(tǒng)，虛擬機和智能手機容易遭受后門程序的攻擊，因此學(xué)習(xí)并應(yīng)用后門程序檢測以及移除的最佳實踐將是個不錯的主意。

 

　　如何發(fā)現(xiàn)后門程序？

 

　　后門程序已經(jīng)在很多產(chǎn)品中出現(xiàn)了，包括商業(yè)安全產(chǎn)品以及看似沒有問題的第三方應(yīng)用擴展。并沒有一門非常精確的科學(xué)能夠找到并移除后門程序，這是因為后門程序可以通過多種方式安裝在計算機上。沒有單一的工具能夠正確地識別所有的后門程序以及類似后門的行為。

 

　　為了判斷后門程序是否正在運行，可以使用系統(tǒng)進程分析器比如Sysinternals公司的ProcessExplorer或者效果更好的網(wǎng)絡(luò)分析器。你可能將會對程序所做的一切以及網(wǎng)絡(luò)適配器上的流量感到吃驚。你可能還會發(fā)現(xiàn)負荷過重的系統(tǒng)運行在只有很少內(nèi)存或者硬盤驅(qū)動器碎片非常嚴重的機器上。檢查一下系統(tǒng)的配置然后運行后門掃描程序。

 

　　1.掃描系統(tǒng)內(nèi)存。當進程被調(diào)用時，對所有的入口點進行監(jiān)控，對可能被欺騙或者重定向到其他函數(shù)的輸入類庫(來自于動態(tài)鏈接庫)調(diào)用進行追蹤，加載設(shè)備驅(qū)動器，等等。采用這種方法檢測后門程序的缺點是單調(diào)乏味，消耗時間而且無法計算后門程序被引入到系統(tǒng)中的所有可能的方式。

 

　　2.尋求真相——揭露API欺詐。針對Windows的一個后門檢測應(yīng)用是由Windows安全分析師Bryce Cogswell和Mark Russinovich開發(fā)的。這一輕量級的二進制程序監(jiān)視文件系統(tǒng)位置以及注冊表配置單元，尋找隱藏在Windows API背后的信息：主文件表和活動索引。除此之外，《顛覆Windows內(nèi)核：后門程序》一書的作者開發(fā)了稱為VICE的工具，能夠調(diào)用表和函數(shù)指針，系統(tǒng)地捕獲API中的欺詐。

 

　　3.了解最新的防病毒以及惡意軟件防護程序。安全廠商比如F-Secure提供了單獨的后門程序檢測工具。微軟已經(jīng)在其自己的惡意軟件清除工具中實現(xiàn)了后門程序檢測特性。選擇最好的掃描工具進行后門程序檢測，并將其作為整體安全防護的一部分是非常重要的，但是你可能還需要進行手動的搜索。

 

　　4.防火墻防護升級。請記住，潛在的攻擊可能相當隱蔽，一旦服務(wù)器被盜用，黑客一定能夠重新登錄到這臺機器上。盡管防火墻對應(yīng)用級的風(fēng)險毫無辦法，但當禁止重新登錄到被攻擊的機器將給黑客構(gòu)成重大的挑戰(zhàn)。

 

　　5.對工作站或服務(wù)器進行加固，應(yīng)對攻擊。首先，這一前瞻性的手段避免了黑客在工作站或服務(wù)器上安裝后門程序�？梢詤⒖济绹鴩�家安全局發(fā)布的對Windows系統(tǒng)進行加固的指南。

 

　　如何移除后門程序？

 

　　在受害主機上安裝后門程序相對容易。為上傳后門程序，黑客可能做任何事去找到Windows的脆弱性來破解密碼甚至獲得物理系統(tǒng)的訪問權(quán)。他們甚至能夠進行釣魚式攻擊，此時黑客引誘用戶打開附件中的可執(zhí)行文件或者點擊郵件或即時消息中的超鏈接。一旦用戶執(zhí)行這些操作，就很難擺脫后門程序了。

 

　　由于后門程序的威脅并不像病毒和間諜軟件那樣普遍，因此移除后門程序主要是一個應(yīng)對過程。一旦發(fā)現(xiàn)了惡意軟件，你需要清除被感染的Windows文件并在移除后門程序后進行二次檢查。

 

　　有哪些后門移除工具？

 

　　微軟的Windows加密、微軟安全軟件Microsoft Security Essentials以及Windows BitLocker驅(qū)動器加密能夠為移除后門程序提供幫助。此外，據(jù)微軟所說，Windows 8將包括增強安全性的特性。

 

　　除了上文提及的Sysinternals以及F-Secure安全產(chǎn)品外，還有一些第三方的套件能夠移除Windows系統(tǒng)中的后門程序。

 

　　例如，Sophos Anti-Rootkit有一個安裝程序，必須手動運行。這款程序能夠與用戶進行更多的交互，但是它掃描系統(tǒng)的速度也更慢。另一個后門程序掃描程序就是Rootkit Hook Analyzer。你可以試用上述所有產(chǎn)品了解哪款產(chǎn)品最符合你的需求。

 

　　為什么移除后門程序前要進行備份？

 

　　不要忘了在移除后門程序和僵尸網(wǎng)絡(luò)前進行合理的備份，這讓恢復(fù)系統(tǒng)變得更加簡單。據(jù)安全專家Kevin Beaver所說，使用清潔工具移除后門程序后，可能使Windows處于不穩(wěn)定或者不可操作的狀態(tài)，這取決于被感染的文件以及隨后進行的清除操作。也許更加糟糕的是，編碼良好的后門可能會檢測到移除進程而自我銷毀，將系統(tǒng)中的數(shù)據(jù)一同毀滅。

 

　　閱讀用戶指南，以確定你的掃描工具在移除后門程序過程中需要哪些特殊操作。發(fā)現(xiàn)并清除后門程序、重新啟動Windows操作系統(tǒng)之后，重新對系統(tǒng)進行掃描，再次檢查確保系統(tǒng)是干凈的，惡意軟件沒有重新出現(xiàn)。

 

　　此外，解除Windows安全威脅的最佳方法是阻止惡意軟件影響企業(yè)系統(tǒng)和連接到企業(yè)網(wǎng)絡(luò)的重要系統(tǒng)。

 

　　仍舊對后門程序感染有些偏執(zhí)？想確定你的系統(tǒng)足夠干凈？最好也是最可靠的方式就是重新分區(qū)，重新格式化并重新裝載Windows操作系統(tǒng)�；謴�(fù)Windows系統(tǒng)很痛苦，但確實需要關(guān)閉無法移除的后門程序時這將是最好的方式。
 

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206