| 【旗標技術通訊電子報】第110期 2001.7.13 一年一度的台北電腦應用展又來了 2001/8/1--2001/8/5將在台北世貿展開 下週本報將有贈票活動 記得隨時收信喔 ***************************************************************** ※本期書摘:後門的特性(1) ※下期書摘:後門的特性(2) ※最新活動:買旗標電腦書 全面8折 再搶百萬贈品 ***************************************************************** ※最新活動:買旗標電腦書 全面8折 再搶百萬贈品 好康1 9月底前 旗標電腦書 不分書種全面8折 好康2 不限書種 買旗標任何一本書 就有機會把20台液晶螢幕A回家 一本書就是一個機會,買愈多中獎機會愈高! 好康3 買旗標Office XP系列電腦書 月月送PDA、數位相機、GUIDE吃喝玩樂套書 早買早中獎,最多有6次抽獎機會! 還可以重複參加液晶螢幕抽獎活動! 好康4 剪下旗標Office XP系列書內截角, 於全省金石堂書店購買PC2000雜誌只要99元。 請看旗標網站 www.flag.com.tw 說明 ****************************************************************** ※本期書摘:後門的特性(1) ****************************************************************** 然而後門程式通常會有什麼特性呢?由於大部分的後門程式都是 C、Delphi 和 Visual Basic 等語言寫成的, 只有極少部分是用組合語言來撰寫的 (因 為利用組合語言寫成的程式比較不具有彈性, 只能在特定的作業系統下運作 , 如 Sub7 就只能在 Windows 下執行, 若是用 C 寫成的, 就有可能在其它 的作業系統下運作), 由於後門程式具有遠端控制的能力, 且其發展者很多 都是不想讓他人發現該隻程式隱藏的真正位置, 以便他進行資料竊取, 或是 在被植入端不知道的情形下進行其它的惡作劇之類的行為, 所以大部分的後 門程式都會有一些共同的屬性, 例如它常常會把自己變成常駐程式, 會把自 己隱藏或是顯示出很像正常應用程式會顯示的使用者界面, 來讓使用者填寫 私人資料。後門程式的共通特徵可以歸類為下面幾個: 1. 可遠端操控系統:攻擊者可跟程式溝通, 並下達指令 一般來說, 一但您執行過後門程式的執行檔後, 該後門程式通常會在被植入 端開啟一個或數個通訊埠, 然後, 駭客就可以利用所開啟的通訊埠來連上伺 服器端 (被植入端的後門程式), 並且對伺服器端下達攻擊指令 (如把對方 的電腦關機, 監聽被植入端鍵盤的活動等)。然而, 由於被植入端可以利用 netstat 這個指令來觀看是否有不正常的通訊埠被打開, 所以比較容易在攻 擊前就被發現該後門程式寄生在該電腦中。所以, 一些後門程式為了讓被植 入端不容易發現它的存在, 它並不會一進入被植入端的電腦內就開啟通訊埠 來等待駭客的連入, 取而代之的, 它只是監聽已經開啟的通訊埠上是否有特 殊的封包, 利用這些特殊的封包來下達攻擊指令 (對原本利用該通訊埠在做 溝通的應用程式來說這個特殊封包是沒有意義的, 會被當成錯誤的封包而丟 棄, 或是該應用程式會顯示出錯誤的訊息)。 另一種方法是該後門程式會監聽一些特殊的封包順序或封包的相隔區間等, 然而這些封包卻都是一般通訊上非常正常的 (如 ICMP 或是 SYN 等訊號封 包) 才會有所舉動, 如暫時開啟通訊埠, 或是直接利用這些封包來下達指令 。因此, 您在掃描或查看系統通訊埠的時候是沒有任何異常的。 2. 程式結構:可獨立運作 大部分的後門程式不像很多的病毒都必須要附在其它的執行檔上 (不論是 隱藏自己或是利用所附著執行檔原來的功能來攻擊), 它們都是可以獨立利 用它本身的執行檔來完成該後門程式所有的攻擊指令。當然它經常會利用 您現在正在使用的 ICQ 或 IRC 等軟體來通知攻擊者, 您現在正在使用網 際網路, 但基本上若是被植入端沒有這個功能, 雖然無法通知攻擊者, 但 並不會影響攻擊的指令傳達, 只是攻擊者必須自行發現您正在使用網際網 路。 3. 程式碼大小 一般來說, 由於後門程式要避免在第一次執行時被發現, 它的檔案通常不 會太大 (少部分會超過 1Mega), 因為這樣很容易就會讓被植入端覺得很 奇怪, 而不去執行, 進而減少植入的成功率。然而由於具有獨立運作的能 力所以其檔案大小通常也都不會太小 (少部分有 3K 左右的), 因此大部 分的後門程式主要執行檔的檔案大小都落在數十 K~數百 K 之間。 ****************************************************************** 以上內容摘自『網路駭客手冊--後門的攻擊.偵測與防禦』 賴冠州‧楊明豪 著 書號:F8427 定價:680 元 ****************************************************************** 想索取前幾期的電子報內容請至易達網網站下載 http://lib.edirect168.com/enews/enews.asp?CH=87 本電子報內容未經授權請勿轉載 版權所有人:旗標出版股份有限公司 好書能增進知識、提高學習效率 卓越的品質是旗標的信念與堅持 http://www.flag.com.tw ═<智邦生活館電子報發報中心>═══════════════════ ˙欲訂閱或取消智邦生活館電子報: http://www.url.com.tw/enewsv2/ ˙收報、退報有問題,請洽智邦生活館客服信箱: mailto:cs@url.com.tw ˙歡迎申請智邦生活館免費電子信箱: http://www.url.com.tw ˙智邦生活館電子報發報中心: mailto:news@url.com.tw ˙您想要登廣告: http://www.url.com.tw/html/ad.htm ˙本電子報文章與其相關連結由電子報報主提供,智邦生活館負責發送。 ════════════════ 作自己的媒體,唱自己的歌 ══ |