黑客教你解析与防范后门程序，教你检查自己电脑没有黑客后门软件( 三 ) _后门程序

4.防范措施:
通过RootKit创建的后门是极其隐蔽的，除非清除RootKit,不然用其创建的管理员用户永远不可能被管理员发现。下面以清除上面的Hackerdefende为例介绍防范措施。
(1)驱动级的扫描
RootKit往往是驱动级别的，因此它比一般的应用程序更加靠近底层，清除起来更加棘手。清除该进程时扫描是必要的。RootKitHookAnalyzer是一款Rookit分析查询工具，利用它可以扫描分析出系统中存在的RooKit程序。该工具是英文程序，安装并运行，单击界面下方的Analyze按钮进行扫描分析，列出系统中的RooKit程序，勾选Showhookedservicesonly复选框，可以筛选出RooKitservices 。当然，类似的工具还有很多，用户可以根据自己的需要进行选择。
(2)查看隐藏进程
RootKit的程序进程往往是隐藏或者嵌入的，通过Windows的"任务管理器"是无法看到的。可以利用强大的进程工具lceSword (冰刃)查看。运行lceSword,单击"进程" 按钮，就可以列出当前系统中的进程，其中红色显示的是可疑进程，包括hxdef100.exe, 这是刚才运行的RootKit 。在该进程上右击，在弹出的快捷菜单中执行"结束"命令。这时hxdef100 exe和hxdef100.ini文件出现了，再刷新并查看注册表，刚才消失的两个键值又重现了。
(3)专业工具查杀
利用lceSword对RooKit进行分析并结束其进程是反RooKit的一种有效方法，但有的时候冰刃并不能分析出RootKit,因此需要比较专业的工具，如卡巴斯基、超级巡警等。
TeInet后门TeInet是命令行下的远程登录工具，不过在服务器管理时使用不多，也常为管理员所忽视。攻击者在控制一台服务器后，如果开启"远程桌面"进行远程控制，非常容易被管理员察觉，但是启动TeInet进行远程控制却不容易被察觉。TeInet的默认端口是23，如果开启，很容易被扫描到，因此攻击者会更改TeInet端口，从而独享该服务器的控制权。
1.修改端口
本地修改电脑telnet端口的方法是:执行"开始运行"命令，输入cmd,打开命令提示符，然后运行命令tintadmn config port=800 ( 800是修改后的telnet端口，为了避免端口冲突不用设置成已知服务的端口) 。当然，也可以远程修改服务器的Telnet端口，在命令提示符下输入命令:

tlntadmn config \ 192.168.1.10 port=800 -u bdtest$ -P test

\192. 168.1.10对方IP，port=800要修改为的telnet端口，-u指定对方的用户名，-D指定对方用户的密码。
【黑客教你解析与防范后门程序，教你检查自己电脑没有黑客后门软件】2.远程登录
攻击者在本地运行命令提示符(cemd.exe),输入命令telnet 192.168.1.10 800，然后输入用户名及其密码，记录Telnet到服务器。
3.防范措施:
防范Telnet后门的方法非常简单，可以通过tlntadmn config port=n命令更改其端口。更彻底的措施是: 运行services.msc，打开服务管理器，禁用Telnet服务。
嗅探后门这类后门是攻击者在控制了服务器之后，并不创建新的帐户，而是在服务器上安装嗅探工具以窃取管理员的密码。由于此类后门并不创建新的帐户，而是通过嗅探获取的管理员密码登录系统，因此隐蔽性极高。如果管理员的安全意识不高并缺乏足够的安全技能，根本发现不了。

文章插图

1.安装嗅探工具
攻击者将相应的嗅探工具上传或者下载到对方电脑，然后安装即可。需要说明的是，这些嗅探工具的体积一般很小，并且功能单一，但是往往被做成驱动形式的，所以隐蔽性极高，很难发现，也不易清除。
2.获取管理员密码
嗅探工具对系统进行实时监控。当管理员登录服务器时，其密码也就被窃取，然后嗅探工具会将管理员密码保存到一个txt文件中。当攻击者下一次登录服务器后，就可以打开该txt文件并获取管理员密码。此后如果登录服务器，就不用重新创建帐户，而是直接用合法的管理员帐户登录服务器。如果服务器是一个Web,攻击者就会将该txt文件放置到某个Web目录下，然后在本地就可以浏览查看该文件了。
3.防范措施:
嗅探后门攻击者以正常的管理员帐户登录服务器，因此很难发现。不过，任何入侵都会留下蛛丝马迹，可以启用组策略中的"审核策略"，对用户的登录情况进行记录，然后通过事件查看器查看是否有可疑的非法登录。一个高明的攻击者通常会删除或者修改系统日志，因此最彻底的措施是:清除安装在服务器上的嗅探工具，然后更改管理员密码。