怎样预防和检査网络上的后门程序
后门(backdoor)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在开发软件时,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除,那么它就成了安全隐患。
所谓后门程序,一般是指利用后门漏洞的木马程序,它是一种带有恶意性质的远程控制软件。分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件,而是通过执行攻击者下达的命令,如下载敏感数据和资料,盗取银行账号密码等个人信息、破坏系统等方式以达到攻击者的目的。
操作方法
- 01
查看系统进程 在Windows系统中,可执行文件主要是EXE和COM文件,这两种文件在运行时都有一个共同点,会生成一个独立的进程。对于一般病毒而言,都逃不过Windows的任务管理器,同时按【Ctrl+Alt+Delete】组合键或 者在任务栏上右击,执行【任务管理器】命令,在任务管理器对话框中选择【进程】选项卡,查看是否有陌生进程或服务,如图1所示。 图1 在任务管理器中查看 但是,还有一种后门程序是不会在任务管理器中显示出来的,那就是DLL (动态链接库)注入的后门程序。它随着系统文件的调用而运行,对于此类后门程序,需要用杀毒软件或专杀工具进行査杀。
- 02
查看系统启动项当感觉到系统中有后门程序时,可通过査看系统启动项来判断系统是否中了木马程序。
- 03
执行【开始】,【运行】命令,在ghost xp弹出的对话框中输入msconfig,弹出【系统配置实用程序】对话框.选择【启动】选项卡,査看系统启动项中是否有可疑的启动项。在启动项中禁用不熟悉的项和可疑项,单击【应用】按钮,在弹出的对话框中确认信息并重新启动计算机,如图2所示。 图2 査看系统启动信息
- 04
选择【BOOT.INI】选项卡,査看在default-后面是否有可疑信息,如图3所示。 图3 査看default值 3、用命令查看 当没有其他杀毒工具或软件时,可通过 使用几个常用命令来查看端口和服务情况。
- 05
执行【开始】丨【运行】命令,在弹出的对话框中输入cmd,打开MS-DOS命令窗口,在窗口中输入netstat -an査看所有 和本地计算机建立连接的IP地址,如图4所示。 图4 查看连接情况
- 06
很多时候攻击者会利用合法手段入侵的计算机都开启了特殊服务,如IIS服务等杀毒软件是不会对系统服务进行査杀的.通过使用net start命令査看系统开启了哪些服务,并使用net stop server结束服务,如图5所示。 图5 査看服务 在查看后门程序的过程中,还应该注意查看注册表中相应的系统启动项和程序项。