Board logo

标题: 木马与后门的定义 [打印本页]
作者: qq2008444     时间: 2007-8-11 10:00    标题: 木马与后门的定义

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法.在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷,但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门,那么他就会造成隐患,容易被黑客进行漏洞攻击.传统意义上的后门程序往往只能给黑客取得一个SHELL,通过这个SHELL进而进行一些远程控制操作.
大家都知道,一台计算机上有65535个端口,那么如果把计算机看作是一间屋子,那么这65535个端口就可以它看做是计算机为了与外界连接所开的65535扇门。为什么需要那么多扇门呢?因为主人的事务很繁忙,它为了同时处理很多应酬,就决定每扇门只对一项应酬的工作。所以有的门是主人特地打开迎接客人的(提供服务),有的门是主人为了出去访问客人而开设的(访问远程服务)——理论上,剩下的其他门都该是关闭着的,但偏偏因为各种原因,有的门在主人都不知道的情形下,却被悄然开启。于是就有好事者进入,主人的隐私被刺探,生活被打扰,甚至屋里的东西也被搞得一片狼迹。这扇悄然被开启的门——就是今天我们要讲的“后门”。当然,这只是一个比喻,事实上除了通过端口连接外,也可以通过串/并口,无线设备连接的方式进行入侵
当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。在程序开发期间,后门的存在是为了便于测试、更改和增强模块的功能。当然,程序员一般不会把后门记入软件的说明文档,因此用户通常无法了解后门的存在。
按照正常操作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。
这样,后门就可能被程序的作者所秘密使用,也可能被少数别有用心的人用穷举搜索法发现利用。


而木马的特征为:
1. 隐蔽性。木马类的软件的server端在运行的时候应用各种手段隐藏自己,例如大家所熟悉的修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式。有些把server端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用trojan化的程式时,木马也入侵了系统,甚至我听说有个程式能把exe文件和图片文件绑定,在你看图片的时候,木马也侵入了你的系统。
还有些木马可以自定义通信端口,当然这样可以是木马更加隐秘。更改server端的图标,让它看起来象个zip或图片文件,如果你一不当心,那么就糟了。
2. 功能特殊性。通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令,设置口令,扫描ip发现中招的机器,键盘记录,远程注册表的操作,以及颠倒屏幕,锁定鼠标等功能比较特殊的操作,而远程控制软件的功能当然不会有这么多的特殊功能,毕竟远程控制软件是用来控制的,并非hack的。
这里谈的只是很大一部分的木马工具,但还有些木马工具的功能比较“专”,而且工作的方式也不是client/server的方式,例如passwd sender(中译名:口令邮差)的功能就是潜伏在目标机器里,搜集各种口令的信息,在目标上网的时候,秘密发送到指定的邮箱。在unix下,还有些 hacker们修改ps的原代码,让ps在使用时故意不显示某特殊的进程名,譬如说在系统内的sniffer等,还有些hacker则修改login, passwd,su等软件完成一些搜集口令信息或者开放一个后门等功能,这些程序,我们都称之为木马。
木马的发展方向:
1. 跨平台性:主要是针对windows系统而言,木马的使用者当然认为一个木马可以在95/98下使用在NT,windows2000下也可以使用更好。在95/98下也许大家没感觉,但NT和windows2000都具有了权限的概念,这和95/98是不同的,黑客NT,windows2000的木马需要更高的手段,如控制进程等,现在的一些木马也的确做到了这一点。
2. 模块化设计:似乎模块化设计是一种潮流,winamp就是模块化的典范,现在的木马也有了模块化设计的概念,象bo,netbus,sub7等经典木马都有一些优秀的插件在纷纷问世就是一个很好的说明。
3. 更新更强的感染模式:传统的修改ini文件和注册表的手法已经不能适应更加隐秘的需要,目前的很多的木马的感染方式已经开始在悄悄转变,象前一阶段的YAI事件就给了我们很多的启发,象病毒一样的感染,感染windows下的文件,我认为这件事对木马设计者们有很多的启发。
4. 即时通知:木马是否已经装入?目标在哪里?如果中招的人是使用固定ip的话,还好说,如果目标使用的是动态ip那么怎么办,扫描?太慢,现在的木马已经有了即时通知的功能,如IRC,ICQ通知等,但还是太少,我不使用ICQ,也不是每次都用IRC,但是以后会更加的完善的,也许说不定某天木马们的即时通知功能变成了一个专门的软件也说不定。
木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。

后门程序和木马有联系也有区别.联系在于都是隐藏在用户系统中向外发送信息,而且本身具有一些权限,以便远程控制机器,区别在于木马是一个非常完整的工具集合,而后门较小且功能单一,所以后门提供的功能小于木马.

[ Last edited by qq2008444 on 2007-8-11 at 10:11 ]
作者: qq2008444     时间: 2007-8-11 10:04
这一部分是我个人的未成熟意见
所以就不把这部分一起贴到LZ的位置上

根据以上描述
我们是不是发现了平常对它们的定义错误呢?
举个例子:灰鸽子这类软件
因为功能单一
应该归入后门程序
但是平常情况下我们却将它们归入木马一类
它们说得好听叫远程控制程序
说得难听就叫后门
___________________________________
以上纯属个人意见
如果有异议欢迎指正

[ Last edited by qq2008444 on 2007-8-11 at 14:38 ]
作者: qq2008444     时间: 2007-8-11 10:10
近日见到了上海少年儿童图书馆参考咨询里的这句话:
后门程序又称特洛依木马,其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。
发现现在有许多人无法区分木马和后门
才写了上面的东西
仅博各位一笑而已
作者: digua008     时间: 2007-8-11 13:17
说得浅显易懂.学习了.
作者: ljl80799     时间: 2007-8-11 13:50    标题: 顺便给防毒软件下个定义

防止未领绿卡就踏入他人领地并随意动作的工具。:P
作者: qq2008444     时间: 2007-8-13 20:16
哎...真奇怪自己的帖子总没人顶
作者: 反黑先锋     时间: 2007-8-13 20:26
楼主辛苦啊要支持



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn