網際論壇 - 寬頻使用 / 防毒防駭討論 - 種毒
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

作者:
標題: 種毒 上一主題 | 下一主題
  wan5611
  一般會員 
 



  積分 206
  發文 45
  註冊 2008-2-18
  狀態 離線
#1  種毒

請問在不用防毒程式後門程式要怎麼找

2008-3-31 07:01 PM
查看資料  發短消息   編輯文章  引用回覆
  netstat2147
  一般會員 
 


  積分 397
  發文 50
  註冊 2006-5-21
  來自 火星
  狀態 離線
#2  

使用觀看PORT的軟體來看

2008-4-1 12:48 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  布爾喬亞
  進階會員 
 


 
  積分 2350
  發文 451
  註冊 2005-9-6
  來自 未知的明天
  狀態 離線
#3  

後門程式的起源有兩種,一種是不懷善意的後門程式,另一種是遠端管 理程式。雖然遠端管理程式一開始的立意是為了方便遠端管理,但是如 果以不正當的手法、或是不懷好意的心態來使用的話,就變成了後門程式。比方說像Back Orifice 或是國人自產的 BirdSpy 也都是為了遠端管理而開發的,但是卻有太多人拿來當後門程式使用。

目前 Windows 上的後門程式約有三十幾種,多半是真的後門程式,而少部分(一開始)是遠端管理程式,例如比較常見的 Netbus、Bo2k、 Netspy、Netbuster、BirdSpy、Sub 7...等等。這些後門程式最基本的可以偷偷你的密碼或個人資料,幫你開、關機,增、刪你的檔案,比較強大的(遠端管理程式)還可以監看你的螢幕,記錄你的 key stroke ,幫你執行程式,幫你打打字等等,就好像遙控者坐在你的電腦前面一 樣。

遙控者可以利用後門程式的 client,透過預先定義好的 port 來控制受害者的機器,甚至有的後門程式會透過電子郵件、IRC 或其他方式來 散佈受害者的上網 IP,以避免撥接者 IP 動態改變的問題。




如果你看到一篇文章還值得一看再看的話,那麼你一定要回覆,
因為你的回覆會給人繼續前進的勇氣會給人很大的激勵。同時也會讓人感激你。
2008-4-6 11:21 AM
查看資料  發送郵件  訪問主頁  發短消息  QQ   編輯文章  引用回覆
  布爾喬亞
  進階會員 
 


 
  積分 2350
  發文 451
  註冊 2005-9-6
  來自 未知的明天
  狀態 離線
#4  

這些後門程式大多數是藉由類似病毒感染的方式傳遞,例如夾帶在電子郵件中,夾帶在軟體中,當你享受朋友分享的軟體或電子郵件的同時,後門程式就悄悄的進駐了。也有些人在幫人家裝電腦或是修電腦的時候 ,就會附贈後門程式,以提供更完善的「服務」,尤其是幫女生裝的電腦。(曾有人在網路上提到,用 portscan 工具往女舍一掃,超過 60%的女生電腦有裝 bo 之類的後門)

有些後門程式已經被病毒檢查軟體列為病毒來偵測,因此安裝防毒程式 並每月更新病毒定義碼是一個防制方式。此外,有些後門程式使用固定的 port 來做通訊之用,有些通訊檢查軟體(例如 LockDown)可以做 一點基本的防護。

但是....

1. 由於後門程式的原始程式碼大多數是公開的,只要有心人拿來改一改,就可以換到不同的 port 以避開  LockDown,或是變換程式碼以避開防毒軟體。

2. 防毒程式只能針對已知的程式碼進行篩檢,而 LockDown 這種軟體也只能偵測已知的 port(但不會偵測通訊內 容,只要相關的port 遭到連線就會發出笨笨的警告)。




如果你看到一篇文章還值得一看再看的話,那麼你一定要回覆,
因為你的回覆會給人繼續前進的勇氣會給人很大的激勵。同時也會讓人感激你。
2008-4-6 11:23 AM
查看資料  發送郵件  訪問主頁  發短消息  QQ   編輯文章  引用回覆
  布爾喬亞
  進階會員 
 


 
  積分 2350
  發文 451
  註冊 2005-9-6
  來自 未知的明天
  狀態 離線
#5  

由於後門程式通常會使用(bind、listen)某些 port,所以你可以自己來檢查看看你有哪些 port 正在使用中。

首先,我們開啟一個 DOS Command 視窗,並且輸入:
C:\> netstat -a | more

你會看到類似以下的畫面:(最前面的行號不算)

1. TCP me:4950 ME:0 LISTENING
2. TCP me:nbsession ME:0 LISTENING
3. TCP me:1061 www.cert.org.tw:970 ESTABLISHED
4. TCP me:9780 11.22.33.44:40964 ESTABLISHED
5. TCP me:137 ME:0 LISTENING
6. TCP me:138 ME:0 LISTENING
7. TCP me:4576 152.163.243.114:5190 ESTABLISHED
8. UDP me:nbname *:*
9. UDP me:nbdatagram *:*

1. 以第 1 行來說,有一個程式正在 port 4950 等待連線(listen)
2. 以第 3 行來說,有一個連線從我的電腦 port 1061 連到 www.cert .org.tw 的 port 970,這是一個 SNP telnet 的連線 。
3. 以第 2、5、6、8、9 行來說,這是 Windows 資源分享的 ports。
4. 你可能會看到一大堆不知道是什麼東西的 port,沒關係,再往下看。

請關掉「所有的連線」,例如 Netterm、Outlook、MSIE、ICQ 等等,然後再執行一次 netstat -a,看看是否還有 ESTABLISHED 的連線,如果有的話,表示尚有不明的連線正在進行中,你可以請教比較瞭解的人這些 ESTABLISHED port 是做什麼用的。如果你有 UNIX 或是相關的nslookup、dig 工具,可以看看對方的 IP 對應到什麼 hostname,如果是莫名其妙的機器就要小心了。

解決了 ESTABLISHED 之後,我們再來看看 LISTENING 的 port,這些正在等待連線中的 port 就很有可能是後門程式的 port,你可以把它們記下來問比較清楚的人,或是到 security 版上發問。

PS. 這裡有一份常見的後門程式 port 列表: http://www.simovits.com/nyheter9902.html




如果你看到一篇文章還值得一看再看的話,那麼你一定要回覆,
因為你的回覆會給人繼續前進的勇氣會給人很大的激勵。同時也會讓人感激你。
2008-4-6 11:28 AM
查看資料  發送郵件  訪問主頁  發短消息  QQ   編輯文章  引用回覆

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: