任何事物都是不断发展的,后门也不例外,后门的发展主要体现在如下两个方面。
1.功能上的发展
最原始的后门只有一个cmdshell功能,随着黑客对后门的要求不断提高,其功能也逐渐强大起来。winshell后门在增加了增加很多实用功能,如列举进程、结束进程等。在winshell之后的后门在功能上已经是趋于完善,拥有开启远程终端、克隆用户等功能,甚至有些后门还具有替换桌面的功能。
2.隐蔽性上的发展
在后门功能发展的同时,黑客还需要考虑其生存能力。如果一个后门生存能力不强,很容易就被管理员发现,拥有多强大的功能也没用,所以后门的隐蔽性非常重要。后门程序的隐蔽性主要体现在自启动、连接、进程等方面。
(1)自启动的隐蔽性(www.daowen.com)
在自启动方面,最初是利用注册表中的RUN项来实现的,但这种启动方法在“系统配置实用程序”中会很容易被发现,而且在没有用户登录的情况下是不会启动的。随后又出现服务启动,在用户没有登录的情况下也可以启动,这样隐蔽性就提高了。现在又相继出现ActiveX启动、SVChost.exe加载启动以及感染系统文件启动,还有API HOOK技术,可以实现在用户模式下无进程、无启动项、无文件启动。
(2)连接上的隐蔽性
在连接上,最初是正向连接后门。后门监听一个端口,远程计算机对其进行连接。只要查看端口和程序的对应关系就可以很容易发现后门,所以这样的后门的隐蔽性是非常弱的。在这种情况下,反向连接后门应运而生了,这类后门可以突破一些防火墙。
(3)进程上的隐蔽性
当遇到对进程进行过滤的防火墙时,反向连接后门需要用到远程线程技术。在进程方面应用最多的是远程线程技术,先把后门写成一个DLL文件,通过远程线程函数注入其他进程,从而实现无进程。所以,通过远程插入线程可突破对进程进行过滤的防火墙。另外,还有其他隐藏方法,如利用原始套接字的嗅探后门等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。