Board logo

標題: 種毒 [打印本頁]
作者: wan5611     時間: 2008-3-31 07:01 PM    標題: 種毒

請問在不用防毒程式後門程式要怎麼找
作者: netstat2147     時間: 2008-4-1 12:48 PM
使用觀看PORT的軟體來看
作者: 布爾喬亞     時間: 2008-4-6 11:21 AM
後門程式的起源有兩種,一種是不懷善意的後門程式,另一種是遠端管 理程式。雖然遠端管理程式一開始的立意是為了方便遠端管理,但是如 果以不正當的手法、或是不懷好意的心態來使用的話,就變成了後門程式。比方說像Back Orifice 或是國人自產的 BirdSpy 也都是為了遠端管理而開發的,但是卻有太多人拿來當後門程式使用。

目前 Windows 上的後門程式約有三十幾種,多半是真的後門程式,而少部分(一開始)是遠端管理程式,例如比較常見的 Netbus、Bo2k、 Netspy、Netbuster、BirdSpy、Sub 7...等等。這些後門程式最基本的可以偷偷你的密碼或個人資料,幫你開、關機,增、刪你的檔案,比較強大的(遠端管理程式)還可以監看你的螢幕,記錄你的 key stroke ,幫你執行程式,幫你打打字等等,就好像遙控者坐在你的電腦前面一 樣。

遙控者可以利用後門程式的 client,透過預先定義好的 port 來控制受害者的機器,甚至有的後門程式會透過電子郵件、IRC 或其他方式來 散佈受害者的上網 IP,以避免撥接者 IP 動態改變的問題。
作者: 布爾喬亞     時間: 2008-4-6 11:23 AM
這些後門程式大多數是藉由類似病毒感染的方式傳遞,例如夾帶在電子郵件中,夾帶在軟體中,當你享受朋友分享的軟體或電子郵件的同時,後門程式就悄悄的進駐了。也有些人在幫人家裝電腦或是修電腦的時候 ,就會附贈後門程式,以提供更完善的「服務」,尤其是幫女生裝的電腦。(曾有人在網路上提到,用 portscan 工具往女舍一掃,超過 60%的女生電腦有裝 bo 之類的後門)

有些後門程式已經被病毒檢查軟體列為病毒來偵測,因此安裝防毒程式 並每月更新病毒定義碼是一個防制方式。此外,有些後門程式使用固定的 port 來做通訊之用,有些通訊檢查軟體(例如 LockDown)可以做 一點基本的防護。

但是....

1. 由於後門程式的原始程式碼大多數是公開的,只要有心人拿來改一改,就可以換到不同的 port 以避開  LockDown,或是變換程式碼以避開防毒軟體。

2. 防毒程式只能針對已知的程式碼進行篩檢,而 LockDown 這種軟體也只能偵測已知的 port(但不會偵測通訊內 容,只要相關的port 遭到連線就會發出笨笨的警告)。
作者: 布爾喬亞     時間: 2008-4-6 11:28 AM
由於後門程式通常會使用(bind、listen)某些 port,所以你可以自己來檢查看看你有哪些 port 正在使用中。

首先,我們開啟一個 DOS Command 視窗,並且輸入:
C:\> netstat -a | more

你會看到類似以下的畫面:(最前面的行號不算)

1. TCP me:4950 ME:0 LISTENING
2. TCP me:nbsession ME:0 LISTENING
3. TCP me:1061 www.cert.org.tw:970 ESTABLISHED
4. TCP me:9780 11.22.33.44:40964 ESTABLISHED
5. TCP me:137 ME:0 LISTENING
6. TCP me:138 ME:0 LISTENING
7. TCP me:4576 152.163.243.114:5190 ESTABLISHED
8. UDP me:nbname *:*
9. UDP me:nbdatagram *:*

1. 以第 1 行來說,有一個程式正在 port 4950 等待連線(listen)
2. 以第 3 行來說,有一個連線從我的電腦 port 1061 連到 www.cert .org.tw 的 port 970,這是一個 SNP telnet 的連線 。
3. 以第 2、5、6、8、9 行來說,這是 Windows 資源分享的 ports。
4. 你可能會看到一大堆不知道是什麼東西的 port,沒關係,再往下看。

請關掉「所有的連線」,例如 Netterm、Outlook、MSIE、ICQ 等等,然後再執行一次 netstat -a,看看是否還有 ESTABLISHED 的連線,如果有的話,表示尚有不明的連線正在進行中,你可以請教比較瞭解的人這些 ESTABLISHED port 是做什麼用的。如果你有 UNIX 或是相關的nslookup、dig 工具,可以看看對方的 IP 對應到什麼 hostname,如果是莫名其妙的機器就要小心了。

解決了 ESTABLISHED 之後,我們再來看看 LISTENING 的 port,這些正在等待連線中的 port 就很有可能是後門程式的 port,你可以把它們記下來問比較清楚的人,或是到 security 版上發問。

PS. 這裡有一份常見的後門程式 port 列表: http://www.simovits.com/nyheter9902.html



歡迎光臨 網際論壇 (http://centurys.net/) Powered by Discuz! 2.5