从后门自动

Share

|

当一个攻击者打破了一个系统，并安装后门时，他或她通常是手工启动的后门程序。 然而，当攻击者原木出你的机器，他或她都不再直接控制该系统。 那么，到底是什么使这后门运行在一个日常的基础后，坏人已经离开？ 假设pesky系统管理员重启系统，或更糟糕的是，本机坠毁。 当箱始于起来，后门将不会运行任何更多，否认攻击他或她的硬打准入。 为了解决这个问题的关注，狡猾的恶棍，通常改变了机重新启动后门自动定期的基础上，特别是在系统开机过程。 在本节中，我们将讨论如何坏人操纵系统，以确保他们的后门程式会自动重新启动。 因为这些方法的依赖，使大量的系统类型，我们将分析windows和unix后门出发机制分开。

设立窗口后门展开

windows机器是浇注不同程序自动启动功能。 攻击者可以把名下的一个可执行程序或者脚本中的任何一个不同的地点有操作系统自动启动了这一计划。 一般来说， windows机器上提供三种不同类型的机制会自动启动恶意（或者甚至nonmalicious ）代码：少数autostart文件和文件夹，过多的注册表设置，并预定任务。

变造启动文件和文件夹

让我们开始讨论启动文件和folders.the表描述了几个地点，将自动启动任意可执行程序和脚本，对一个windows系统，当特定事件发生时，如系统开机或某些特定用户伐木到机器。 攻击者可以包括姓名一个后门程序，在上述任何档案或资料夹，以得到它，能自动运行的指标体系。

windows的启动文件和文件夹

文件或文件夹名称	如何文件或者文件夹，可以改变，以自动启动一个后门
autostart夹	攻击者名额走后门或链接到它在这些文件夹中，这是启动在启动时或一个用户登录到该系统。 对win95/98/me ，一个单一的文件夹拥有这方面的资料，位于c ： \窗户\开始菜单\程序\启动。 winnt/2000/xp/2003系统包括一个autostart文件夹中，通常与"所有用户" ，以及个别autostart文件夹，为个人用户，设在下列地点： winnt的-为c ： \ winnt \简介\ [ user_name ] \开始菜单\程序\启动 用win2000 - c的： \文件和设置\ [ user_name ] \开始菜单\程序\启动和（如果升级，从windows nt ） ，并为c ： \ winnt \简介\ [ user_name ] \开始菜单\程序\启动 winxp/2003-是c ： \文件和设置\ [ user_name ] \开始菜单\程序\启动
补丁	装载有信息初始化操作系统。 这个文件可以被修改，以启动一个后门有两方面。 首先，它可以直接执行计划中提到，在这个文件，用文本"运行= [后门] "或"负载= [后门] " 。 第二，它可以准一些后缀（如" 。文件"或" 。热媒" ） ，有一个后门程序，将运行每次一个文件这样的一个后缀是由系统。 这个文件的位置不同，但通常是设在： win95/98/me-在c ： \ windows \装 winnt/2000-为c ： \ winnt \装 winxp/2003-在c ： \ windows \装
system.ini	该文件包含设定对于系统的硬件。 在windows 3.x中和windows 9x的，那么这个文件支持"空壳= "指挥，这是用来指明一个用户弹发射，在系统启动的时候。 蚬壳公司将成为主要的接口程序，所有用户可看到他们时，启动机器。 攻击者经常更改路线"空壳= explorer.exe " ，使之，而不是开始了窗户探险家桂，系统执行一个后门，而系统开机。 该后门，那么，反过来，从实际用户的壳，这是通常explorer.exe 。 对较近期的视窗版本（ winnt/2000/xp/2003 ） ，操作系统忽略了"空壳= "语法在system.ini 。 因此，这种方法是不被用来启动后门，对这些较新的作业系统。 这个文件是通常设在下列地点索取： win95/98/me-在c ： \ windows \ system.ini winnt/2000-为c ： \ winnt \ system.ini 视窗xp/2003-在c ： \ windows \ system.ini
wininit.ini	这个文件是由安装程序时，新的软件安装和一些需要采取行动，由系统来完成安装后开机。 举例来说，当您安装新的硬件驱动程序，你的安装程序可能会使你重启系统。 由于该系统是重启，参赛者在wininit.ini将运行一些程序，在开机过程。 另外，这个档案可以用来窃取的名义一些常用的可执行文件，并指定它为一个后门。 当它被使用，该文件通常位于： win95/98/me-在c ： \ windows \ wininit.ini winnt/2000-为c ： \ winnt \ wininit.ini 视窗xp/2003-在c ： \ windows \ wininit.ini
winstart.bat	在老版本的windows操作系统（赢9x下） ，这个文件通常用来启动岁女士dos的节目，在视窗环境。 攻击者可以包括一个符合语法" @ [后门] " ，以运行一个可执行程序，并把它隐藏从用户。 如果是现在，它通常设在c ： \ winstart.bat 。
使用autoexec.bat	这个文件是有关只在windows 95/98系统。 它是在windows下被忽略我，新台币， 2000 ， xp和2003 。 为了向后兼容，它支持启动程序简单，包括路线，是指以程序文件，如对" c ： \ [后门] " 。 如果是现在，它通常设在c ： \使用autoexec.bat 。
config.sys文件	这个文件是有关只在windows 95/98系统。 它是在windows下被忽略我，新台币， 2000 ， xp和2003 。 此档案负荷低层次女士dos的基础司机，并没有包括一些windows系统。 它可以包括一条线，以执行一个后门。 如果是现在，这个文件是通常设在c ： \ config.sys文件。

注册滥用

以后的文件和文件夹，几个注册表项可以被滥用为宗旨的自动激活一个后门。 书记官处是一个庞大的数据库，房屋的详细配置，其视窗操作系统和各种程序是安装在盒子。 每一个钥匙可以改变使用regedit.exe程序时，一个注册表编辑器内置到windows nt/2000/xp/2003机器。 如果您计划实验与上述任何一个键，它的极其重要的是，你作一个备份你的系统调整前，书记官处。 如果你意外地改变了一些关键的关键在你的登记处，你可以完全软管您的机器，使之开机。 所以，请你一定要小心。 关键注册表自动启动程序如下所示：

注册表启动资金节目登录或者重启

注册表	目的是关键
下面\软件\微软\窗户\ currentversion \ runservicesonce	有的节目是安装在背景运作，对一个windows机作为一种服务，如非法入境者网页服务器或文件和打印共享服务。 这个登记处主要确定了哪些服务，应该开始，在未来重启和下次开机只。 其后所有的靴子，服务不会开始
下面\软件\微软\窗户\ currentversion \ heap	这个登记处重点载列的服务最快可于每一个系统开机。
下面\软件\微软\窗户\ currentversion \ runonce	这个登记处重点确定哪些节目（不是服务） ，应开始，在未来重启和下次开机只。 其后所有皮靴，该节目将不被执行。
下面\软件\微软\窗户\ currentversion \运行	这些节目都是被处决在系统开机。
下面\软件\微软\窗户\ currentversion \ runonceex	只能用于视窗98和我，这个登录机码，显示脚本和程序，是运行在开机的时候，但不应将开始作为单独的进程。 为了提高效率，这些节目都不会作为单独的程序，但都是引用，而是作为独立的线程在其他各种开机进程。
下面\软件\微软\窗户新台币\ currentversion \ winlogon \ userinit	在这个关键载有姓名的程式被执行时，任何用户登录到该系统。 它通常显示出用户的鬼
下面\软件\微软\窗户\ currentversion \ shellserviceobjectdelayload	这个注册表启动程序后车窗桂启动，体制等原因，在托盘底部右手边的一个角落，窗户和它的内容。
下面\软件\政策\微软\窗户\系统\脚本	在这个关键识别各种脚本将被执行时，窗口靴子了。
下面\软件\微软\窗户\ currentversion \政策\探险\运行	该节目所确定此登录关键是开始时，用户桂（ explorer.exe ）被激活。
hkcu \软件\微软\窗户\ currentversion \ runservicesonce	这个登记处主要确定了哪些服务，应该开始下一次用户登录，一时间只。 其后所有新建，节目将不被执行。
hkcu \软件\微软\窗户\ currentversion \ heap	这些服务开始的时候，每一个用户登录到该系统。
hkcu \软件\微软\窗户\ currentversion \ runonce	这些节目被激活，一旦当用户登录到该系统。
hkcu \软件\微软\窗户\ currentversion \运行	这些节目来说，每当一个用户登录到该机器。
hkcu \软件\微软\窗户\ currentversion \ runonceex	这些节目都是被处决没有开始另一种制度的过程。
hkcu \软件\微软\窗户\ currentversion \政策\探险\运行	这些节目来说，每一次用户登录到该系统。
hkcu \软件\微软\窗户新台币\ currentversion \窗户\运行	这些节目来说，每一次用户登录到该系统。
hkcu \软件\微软\窗户新台币\ currentversion \窗户\负荷	这些节目来说，每一次用户登录到该系统。
hkcu \软件\政策\微软\窗户\系统\脚本	这些脚本被激活，每当一个用户登录到该机器。
hkcr \ exefiles \壳牌\公开\指挥	在这个关键表明节目将开办任何时候另一个exe文件被执行，这是一个很频繁发生的一个windows机器，可以肯定的！

嘿！ 这是一个漫长的，丑陋的名单，但它的重要认识到，有一个可怕的不少地方，攻击者可松鼠远离名义一些可怕的邪恶后门，以获得它开始了。 虽然这份名单可能会吃力，这可能不是最详尽。 当前和未来版本的windows系统将可能有更注册表设置自动启动软件，为复杂的窗户与长大以后每次系统补丁，发布，并申请安装。

看到了一些对这些注册表设置开始与信子等人开始与hkcu 。 在这两种情况下，轰主张蜂房，参考一大块的windows注册表。 项主张蜂房地方主要机器，并表明全系统设定。 hkcu主张蜂房关键当前用户，并确定设定对于人，目前登录到windows机器。 大部分时间，为启动项目和服务，下面设置首先执行，然后由hkcu项目。 此外， hkcr ，主张蜂房重点班根，确定了各种节目开设窗户下一些具体的事件。 使事情更糟的是，这份名单的启动组件，是不是唯一的方式，以启动自动窗户。 我们还是要来看看任务调度程序。

破坏任务调度

最后受欢迎的方法自动启动一个后门窗户nt/2000/xp/2003机器涉及调度工作运行体制。 利用任务调度服务，攻击者可以告诉系统运行的具体程序，在特定的时代，就具体的日期，或当某些事件发生时，如系统开机或用户登录。

你可以时间表，新任务对你的系统或查看自己已经排定利用预定任务，贵在系统控制面板。 此外，也可以用在命令行工具，在windows nt ， 2000和xp或schtasks指挥在windows xp和2003年，以欣赏或预定的任务。 既贵，并在命令行显示一个高层次的看法节目预定运行该系统。 详细提供了在指挥，是有益的。 得到这样的信息出来的鬼，你必须点击个人任务表明，在预定的任务文件夹。 一个很好的一件事鬼的看法是，它包括了所有任务援引任务的调度程序，其中包括基于时间和制度展开跟进行动。 通知指出，任务与身份证号码2包括一个命令行运行backdoor.exe 。 哎呀，我不知道是什么一会做！

防：检测窗口后门出发技巧

因此，攻击者有一大堆如何成立一个后门运行windows系统后不久坏人已经离开。 为了防止此类攻击，你需要把坏人过你的系统摆在首位。 有点防止他们走很长的路，在停车这种类型的攻击。

不过，即使以最大的预防性措施，有些攻击者可能仍在寻找出路。因此，除预防，你怎么能够发现攻击者的重新配置你的系统自动启动一个后门？ 那么，你可以手动检查每一个文件和文件夹，每注册处主要如上表所示，并预定的任务，看看是否有些鱼已经排定。 不幸的是，手动检查所有的这些可能性将需要采空区的沮丧所花的时间，在寒冷，寂寞的孤立。

令人高兴的是，有一个很好的免费工具所谓配件来给救援工作。 可在不收费，由优良的乡亲在sysinternals在www.sysinternals.com ，这个节目会自动列出所有的自动启动任务，在你的windows nt/2000/xp箱，其中包括启动文件夹，文件，注册表设置，并预定任务。 该配件工具，而并非只是展现许多不同的开办注册表，文件夹和任务在全国范围内发行系统，但它也显示了他们的价值观已经确定。 你可以看到确切名称的每个程序，服务或脚本将每笔签启动时，为每一个方法。 这是一个轻便的名单，为双方的安全和故障诊断的目的。 用配件，你会不会挖透过一群注册表项和文件夹，看看哪个节目是签在系统开机。 所有的信息收集在一起，在尼斯鬼，其中甚至支持自动跳到每一个文件夹或注册表，使你可以轻松编辑其价值。

我当然是一个大风扇的配件，但它确实有一个值得注意的限制时，用来寻找各种自动运行后门。 配件是否正是它标榜：它表明这些方案和脚本，这是启动时，系统启动或特定用户登录。 但是，其工作重点是启动和登录事件只，配件没有显示任何任务，定运行的基础上的特定时间的一天。 攻击者可以如期后门，以重新启动，每天早上在上午03时，和配件不会出现它，因为它的基础上当天的时间。 所以，如果你依赖配件寻找自动启动后门，请记住，你还有以检查预定任务看，在预定的任务，控制面板，运行at命令，或使用schtasks指挥。

此外，你可以利用一个文件完整性检查程序，以搜索你的windows机器上的任何改动，关键的系统文件和注册表。 这些方案中含有一个数据库，已知的良好指纹关键的系统文件和注册表值，其中包括那些文件和目录相关的系统安装和用户初始化。 当一个变化是侦破后，该工具会提醒你，让你可以计算出人的变化：一个系统管理员演艺标准体系维修或邪恶攻击者执意要支配世界。 经过初始化工具创建数据库的指纹，你可以如期文件完整性检查程序运行，定期进行，例如每一天，甚至每个小时。 当它运行后，该工具将检查改建，以适应档案，你告诉它来观看。 当它找到一个改变，其中开机或用户初始化文件描述了在本节中，则系统管理员必须接受任何改变，与最近的合法制度的活动。 该文件完整性检查器的行为就像一个人的安全卫队，警察你的系统在未经授权的更改。

如果管理员合法安装补丁程序，扭曲了开机过程中，或改变用户的环境，工具的警报只是虚惊一场。 否则，攻击者可能对prowl ，修改系统配置，开始了一个后门。 这一和解进程，是不是为微弱的心。 它需要一个很好的协议的努力，对系统管理员的一部分，但还远远比较容易检查的完整性每个单一的文件和目录由手。 无数窗户文件完整性检查程序的情况下，包括商业版本的绊线，在www.tripwire.com 。 不幸的是，免费版的绊线，不支持窗口。 其他几个文件完整性检查工具，可用于windows ，包括gfi的languard系统完整性监测和ionx数据哨兵。

出发的unix后门

诚然， windows系统提供了很多方法，能自动开始执行程式，但unix是没有土豆。 事实上， unix系统是非常放荡，在他们的口味，为启动脚本和节目。 如同windows ，每一位都是这些技术可能会被滥用，以启动一个后门。 在unix ，技术属于分为几类，包括加入或修改系统初始化脚本，修改配置，其互联网守护进程（ inetd ） ，改变用户的环境下，与调度工作。

修改中间商那儿过程中的配置： inittab

当一个unix系统启动，它可以运行在各种初始化脚本和节目。 第一个进程运行在一个unix机器是初始化守护进程，激活了所有其他进程需要在系统开机。 该文件在/ etc / inittab包含一个脚本告诉初始化有哪些其他的进程，它应该开始。 攻击者可以放入一条线向inittab文件，启动攻击者的后门，自己的一部分开机顺序。 该inittab文件包含的条目与格式[编号] ： [ rstate ] ： [行动] ： [进程] ，其定义如下：

• 身份证是一个独特的人数分配到这个条目，短短的4字不应被用于其他任何入境。

• 该rstate是运行水平，将引发入境。 当你开机unix系统，你可以显示运行水平，以确定何种水平的服务，您需要时，系统启动。 运行水平，可被设定为指定孕穗至单用户模式，这需要极少数的服务，或改变，以多用户模式，这就需要更多的服务。

• 行动指明哪些初始化应该做的，与特定的程序，比如启动一个过程，如果它死了，在执行的过程，有一次，或执行它在每次系统启动。 重新开始一个进程时去世，实在是得心应手行为的一个后门程式。

• 过程是外地那里得到的东西，有趣的。 它标志着一个具体的shell脚本应该被处死，由初始化。 如果一个攻击者使用inittab启动一个后门，现场将参照名称的后门程序本身还是一个脚本用来启动后门。

修改其他系统及服务初始化脚本

对大多数unix系统， inittab文件通常告诉初始化开办了一系列的服务初始化脚本来启动各种服务，运行在一个盒子。 而不是变造inittab本身，攻击者还可以修改这些各种服务的初始化脚本，开始进行这种服务的httpd （网站伺服器） ， sendmail的（流行的邮件服务器） ，以及sshd （安全壳守护用于安全远程接入） 。 取决于你的特定风味的unix ，这些服务初始化脚本通常存放在/等/ rc.d或/ etc / init.d目录。 对一个典型的unix系统中，有20种或更多的类似的脚本，每次10至50线长，提供了肥沃的土壤，种植一个后门。 攻击者可以简单地放入一个后门脚本之一，这些目录，或什至改变已经存在的脚本，以揭开序幕后门。 举例来说，我可以加入新的服务，称为httpb （注意跟踪" b "的后门，它看起来像"的httpd " ） ，甚至修改已经存在的脚本开始，真正的httpd以便它首先违背了我的后门，然后开始你的网络服务器。

作为一个最后攻击你的启动脚本，攻击者甚至可以只种一后门到一个配置文件说，其中一个现有的服务初始化脚本，将运行，因为它启动。 举例来说，如果你的系统在使用点对点协议（ ppp ） ，调制解调器拨号上网方式，该机器将设法执行配置脚本所谓/等/购买力平价/叶- up.local 。 大多数时候，这个剧本是不是需要，所以它的通常是空白。 不过，我可以把名字我的后门，在该文件中，每一次当你拨号上网用你的调制解调器，我讨厌后门运行。

会后， inetd的配置

以后这些不同的启动脚本，袭击者也经常改变配置的一个过程，尤其是被广泛用来支持网络服务，即互联网守护进程（ inetd ，宣告： "我净迪伊" ） 。 对一个unix箱， inetd进程时不我待的交通网络，为各种服务，包括的ftp ， telnet的，等等。 当inetd收到交通打算为其中一项服务，它可以运行在相关服务器处理的交通，如果是配置，以运行服务。 攻击者可以修改或补充线路向inetd的配置文件，这是储存在/等/ inetd.conf文件或者在/等/ xinetd.d目录，依特定风味的unix 。 通过修改inetd的配置，攻击者可以告诉inetd运行一个后门当具体的交通抵达某一特定的tcp或udp端口。 修改inetd来启动后门，是其中一种最常见的后门技术，对使用unix系统。 在我们的企业结构发生如此类推， inetd是一个导演，而是一个极为重要的问题。 行贿这个总可以让攻击者远程接入到公司的，因为inetd听命于网络连接。

调整用户启动脚本

当用户登录到一个unix系统或运行某些命令时，系统启动各种脚本来初始化用户的环境。 这些脚本，让用户定制自己的计算环境中运行特定的命令，在登录。 最常见的用户启动文件描述见下表。 攻击者可以放入一个单一的路线，载有姓名的后门，对任何一个这些脚本来激活这后门时，该脚本运行。 使事情更糟的是，这些脚本是分散在整个用户目录服务，以及为主页目录，为超级用户帐号，该系统的治本方法。 因为它们不是存储在一个单一地址，管理员可以有麻烦，跟踪个人用户定制的，这些档案。 许多这些脚本是10至50线长，又提供了很多可供选择的攻击者偷梁换柱激活一个后门。

共同剧本与用户登录或纲领激活

用户脚本名称	相关节目来激活脚本和典型用法
。登录	该csh的和对tcsh炮弹启动这个脚本，当用户登录。
。 cshrc文件	该csh的和对tcsh炮弹运行该脚本时，一个新的指挥，壳牌公司开始了。
。 kshrc	该ksh壳运行这个脚本时，一个新的指挥，壳牌公司开始了。
。 bashrc	该打坏壳牌运行这个脚本时，一个新的指挥，壳牌公司开始了。
。 bash_profile	该打坏壳牌激活这个脚本当一个用户登录。
在/ etc /简介	当任何用户登录到该系统使用sh或打坏炮弹，这个脚本就会启动。
。概况	之后，在/ etc / profile是运行在用户登录与sh或打坏炮弹，个别最终用户的。概况档案就会启动。
。登出	该csh的和对tcsh炮弹运行该脚本，当用户登录。
。 xinitrc中	该startx命令调用x window系统的商店，其环境信息，在此文件（关于redhat的linux系统，这些信息也存储在。 xclients档案） 。
。 xsession	该xdm程序使用这个文件来配置最初的x窗口会议。

调度邪恶职位克朗

最后一个流行的方法激活后门，在unix涉及调度工作运行后门用玉米守护进程。 玉米工程，而不是像windows任务调度程序。 在某些预定义的时代，克朗执行脚本时，其中可能包括后门。 玉米是配置使用crontab文件，其中发现在/ etc / crontab和/ etc / cron.d为系统管理员的工作。 个人用户也可以创造就业机会如期在/等/阀芯/克朗目录。 加入一个单一的进入任何一个这些文件，攻击者可以如期后门，开始在某一特定时间，或在系统初始化。 所以，用玉米，攻击者可以配置系统，以启动该后门，每时，如果不是已经运行了。 这样，如果我的后门进程以往任何时候都得到打死系统管理员，机器开机或系统崩溃吧，我只是要等待最多一个小时前，机器重新启动，它为我。

防：检测的unix后门出发技巧

所以，加入了各个不同的领域，攻击者可以利用来启动一个后门，你可能看几百年的文件和目录，其中的几千元线难，以读剧本。 什么是痛！ 显然，搜索这老鼠的窝，为后门，是不是一个典型的人可以做一个定期的基础。 基于这个原因，你应该使用一个自动化的工具，警报，你说话的时候，改变了各种配置文件和脚本列在本节规定。

几种流行的文件完整性检查程式，可对商业和自由的基础上，以法为您的数位公务员在完成这一目标。 如同他们的对口窗口，我们前面所讨论的，这些工具建立一个数据库的密码哈希表示，像数码指纹，你的关键的系统文件，并定期检查你的系统状态的人反对。

数量庞大的文件完整性检查工具，可为unix 。 该爷爷的，这些工具是历代绊线，可对双方的商业和自由的基础上为unix在www.tripwire.com和www.tripwire.org分别。 此外，自由的，开放源码工具助手（ www.cs.tut.fi/ 〜夯/ aide.html ）和摄（ http://osiris.shmoo.com/ ）进行类似的检查。