什么是"后门程序"

后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还 能挫败系统上各种增强的安全设置。

后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。

后门包括从简单到奇特，有很多的类型。简单的后门可能只是建立一个新的账号，或者接管一个很少使用的账号；复杂的后门（包括木马）可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序，你当输入特定的密码时，你就能以管理员的权限来存取系统。

后门能相互关联，而且这个 技术被许多黑客所使用。例如，黑客可能使用密码破解一个或多个账号密码，黑客可能会建立一个或多个账号。一个黑客可以存取这个系统，黑客可能使用一些 技术或利用系统的某个漏洞来提升权限。黑客可能使用一些技术或利用系统的某个漏洞庭湖来提升权限。黑客可能会对系统的配置文件进行小部分的修改，以降低系统的防卫性能。也可能会安装一个木马程序，使系统打开一个安全漏洞，以利于黑客完全掌握系统。

以上是在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径！——很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能！它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山！

下文将以笔者从事网络安全多年的工作经验为基础，给广大的网络初级安全爱好者讲解一些网络上常 用的后门的种类和使用方法以及技巧，希望大家能在最短的时间内学习到最好的技术，提升自己的网络安全技术水平！

后门的分类

后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：

1.网页后门

此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式，比如现在非常流行的asp、cgi脚本后门等。

2。线程插入后门

利用系统自身的某个服务或者线程，将后门程序插入到其中，具体原理原来《黑客防线》曾具体讲解过，感兴趣的朋友可以查阅。这也是现在最流行的一个后门技术。

3扩展后门

所谓的“扩展”，是指在功能上有大的提升，比普通的单一功能的后门有很强的使用性，这种后门本身就相当于一个小的安全工具包，能实现非常多的常驻见安全功能，适合新手使用————但是，功能越强，个人觉得反而脱郭后门“隐蔽”的初衷，具体看法就看各位使用都的喜好了。

4.c/s后门

和传统的木马程序类似的控制方法，采用“客记端/服务端”的控制方式，通过某种特定的访问方式来启动后门进而控制服务器。

5.root kit

这个需要单独说明，其实把它单独列一个类在这里是不太恰当的，但是，root kit 的出现大大改变了后门程序的思维角度和使用理念，可以说一个好的root kit就是一个完全的系统杀手！后文我们讲涉及到这方面，想念一定不会让大家失望！

上面是按照技术做的分类，除了这些方面，正向连接后门、反向连接后门等分类也是很常见的，其实如何分类是编程者考虑的事，广大的使用者就不用考虑那么多了，我们看重的，只是功能！

入侵法定————精品后门

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。与木马的关系后门程序，跟我们通常所说的"木马"有联系也有区别.联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制.区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一.而且,在病毒命名中,后门一般带有backdoor字样,而木马一般则是trojan字样.具体含义后门程序又称特洛依木马，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒最大的差别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其它电脑。后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。后门的类型后门包括从简单到奇特，有很多的类型。简单的后门可能只是建立一个新的账号，或者接管一个很少使用的账号复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序，你当输入特定的密码时，你就能以管理员的权限来存取系统。后门能相互关联，而且这个 技术被许多黑客所使用。例如，黑客可能使用密码破解一个或多个账号密码，黑客可能会建立一个或多个账号。一个黑客可以存取这个系统，黑客可能使用一些 技术或利用系统的某个漏洞来提升权限。黑客可能使用一些技术或利用系统的某个漏洞来提升权限。黑客可能会对系统的配置文件进行小部分的修改，以降低系统的防卫性能。也可能会安装一个木马程序，使系统打开一个安全漏洞，以利于黑客完全掌握系统。以上是在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径!——很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山!下文将以笔者从事网络安全多年的工作经验为基础，给广大的网络初级安全爱好者讲解一些网络上常 用的后门的种类和使用方法以及技巧，希望大家能在最短的时间内学习到最好的技术，提升自己的网络安全技术水平!后门的分类后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：网页后门此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式，比如现在非常流行的ASP、cgi脚本后门等。线程插入后门利用系统自身的某个服务或者线程，将后门程序插入到其中，具体原理原来《黑客防线》曾具体讲解过，感兴趣的朋友可以查阅。这也是现在最流行的一个后门技术。扩展后门所谓的“扩展”，是指在功能上有大的提升，比普通的单一功能的后门有很强的使用性，这种后门本身就相当于一个小的安全工具包，能实现非常多的常驻见安全功能，适合新手使用————但是，功能越强，个人觉得反而脱郭后门“隐蔽”的初衷，具体看法就看各位使用都的喜好了。c/s后门和传统的木马程序类似的控制方法，采用“客记端/服务端”的控制方式，通过某种特定的访问方式来启动后门进而控制服务器。

最近这两类非常厉害,爆发严重!!!!

8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有常见的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。针对此类病毒，瑞星公司发布今年首次橙色（二级）警报，并将它们通称为“橙色八月”以提醒广大用户注意防范。

据瑞星反病毒专家介绍，这些病毒包括“传奇终结者（Trojan.PSW.LMir）”、“QQ游戏木马（Trojan.PSW.QQGame）”、 “QQ盗贼（Trojan.PSW.QQRobber）”以及“密西木马（Trojan.PSW.Misc）等病毒的最新变种。这些病毒在电脑的后台运行，窃取用户的网络游戏和QQ的账号和密码，并发送给病毒制造者。

瑞星反病毒专家分析认为，导致此类病毒疫情攀升的主要原因是由于其针对反病毒软件以及变种繁多的特点。很可能有病毒编写者或者黑客组织，有计划地在各种流行病毒中加载了反杀毒软件的程序，掀起这场针对主流杀毒软件的“战争”。目前瑞星已经截获了大量该类病毒，预计近段时间该类病毒数量还会继续增加。

针对此类病毒，瑞星杀毒软件2006版已经升级至18.38.42版，请广大用户及时更新杀毒软件到最新版本，并打开“文件”、“注册表”、“内存”等全部八项实时监控进行防范。已感染此类病毒的用户可以登陆http://it.rising.com.cn/Channels/Service/index.shtml，下载免费专杀工具，或通过“瑞星在线专家门诊”寻求远程救助，也可拨打反病毒急救电话：010-82678800寻求帮助。

病毒列表上的病毒主要针对以下安全软件卡巴斯基 Symantec AntiVirus 诺顿 瑞星 江民杀毒软件 天网防火墙个人版 噬菌体 木马克星 金山毒霸

2006年8月13日，江民公司反病毒中心发布紧急病毒警报，一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波” （Backdoor/Mocbot.b）蠕虫现身互联网，感染该蠕虫的计算机将被黑客远程完全控制。微软在8月8日例行发布的MS06-040安全公告中称，其 *** 作系统Server服务漏洞可能允许远程执行代码，并建议电脑用户立即升级。

“魔鬼波”蠕虫运行后，在系统目录下建立大小为9609字节的病毒文件wgareg.exe，该病毒文件经过加壳处理。病毒建立服务，以使自己可以在系统启动时自动运行。

“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行，可能造成services.exe崩溃等现象,还可以使得无故断网.攻击用户计算机，导致用户在宽带拨号上网后不久，发生Generic Host Process for Win32 Service错误，并且用户掉线需要重启

通过黑客命令，“魔鬼波”蠕虫可以进行下载运行任意程序，进行拒绝服务攻击(DDoS)等活动，使得用户计算机完全被黑客控制。

江民反病毒专家提醒，针对该蠕虫，江民杀毒软件已经紧急升级了病毒库，KV系列杀毒软件用户升级到8月14日病毒库，即可全面查杀该蠕虫。专家担心，由于微软安全公告发布还不到一周，可能还有许多用户没有安装微软MS06-040漏洞补丁，专家呼吁电脑用户务必尽快安装漏洞补丁，避免遭受病病毒侵害。

微软MS06-040Server服务漏洞可能允许远程执行代码补丁下载地址： http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx

魔鬼波专杀工具

http://db.kingsoft.com/download/3/247.shtml

---