| 【旗標技術通訊電子報】第112期 2001.7.27 上周贈票活動十分踴躍 得到門票的朋友相信已經收到了 別忘了到旗標的攤位呷冰喔!! 會場活動: www.flag.com.tw/show/auguest.htm 無法前來台北參加電腦應用展的朋友別失望,目前旗標在全省的 書店也正舉行書展,一直到9月底前,全省各地都可享受8折超低折 扣以及百萬贈品抽獎活動。 如果您遇到有書店沒有提供您8折的折扣時,歡迎來電當小狗仔 揪出不合作的店家。 檢舉專線:02-23211271 或至旗標網站讀者留言版 我們一定為大家爭取權益!! ***************************************************************** ※本期書摘:後門的特性(3) ※下期書摘:後門的特性(4) ※最新活動:買旗標電腦書 全面8折 再搶百萬贈品 ※徵人啟事:誠徵電腦服務人員 ***************************************************************** ※最新活動:買旗標電腦書 全面8折 再搶百萬贈品 好康1 9月底前 旗標電腦書 不分書種全面8折 好康2 不限書種 買旗標任何一本書 就有機會把20台液晶螢幕A回家 一本書就是一個機會,買愈多中獎機會愈高! 好康3 買旗標Office XP系列電腦書 月月送PDA、數位相機、GUIDE吃喝玩樂套書 早買早中獎,最多有6次抽獎機會! 還可以重複參加液晶螢幕抽獎活動! 好康4 剪下旗標Office XP系列書內截角, 於全省金石堂書店購買PC2000雜誌只要99元。 請看旗標網站 www.flag.com.tw 說明 ****************************************************************** ※徵人啟事:誠徵電腦服務人員 ****************************************************************** 徵求電腦玩家來擔任本公司的電腦服務人員, 透過服務讀者的過程來累積對 讀者的了解, 並依據讀者的需求從事行銷企劃的工作。 此人必須愛玩電腦. 熟電腦軟硬體及網頁製作(附作品超連結者尤佳), 須具 服務熱忱, 喜愛與大眾接觸。 有意者備歷照傳寄: marketing@flag.com.tw ****************************************************************** ※本期書摘:後門的特性(3) ****************************************************************** 7. 具有隱藏性 藉由設定 visible 和 show in task bar 屬性來達到隱藏的目的, 甚至修 改系統 DLL 和 VxD 也可以。若是被植入端是使用 Windows 9x 的作業系 統, 在程式設計環境中裡 (如 VB、Delphi 或是 VC++), 只要簡單的設定 visible 和 show in task bar 屬性, 就可以從工作管理員的選單中消失 , 可是在 Window2000 作業系統中, 就無法使用這種方法來使自己不顯示 在工作管理員的選單中。 另外一個隱藏自己的方法是, 攻擊者將已知的系統 DLL 替換成後門程式的 DLL, 並對所有的函式呼叫進行過濾, 對於正常的呼叫, 使用函數位址轉換 直接轉換到被替換的系統 DLL。對於一些事先設定好的特殊狀況, DLL 會 執行一些相對應的操作。一個比較簡單的方法是執行一個行程 (process), 雖然所有的操作都在 DLL 中完成, 所以會更加隱蔽, 但是這大大增加了程 序編寫的難度, 實際上這樣的後門程式大多數只是使用 DLL 進行監聽, 一 旦發現控制端的連接請求就啟動自己, 開啟一個通訊埠 (port) 並進行正 常的後門程式操作, 結束後關掉行程, 繼續進入休眠狀況。 當大家漸漸注意到大量後門 DLL 的使用已經危害到了 Windows 操作系統的 安全性和穩定性之後, 現在在 Window 2000 中已經開始使用了 DLL 數位簽 章的技術了。因此, 許多新的後門程式採取的是強行嵌入 (embedded) 的技 術 (如插入 DLL、掛接 API、行程的動態置換等等), 但是這種技術對於程 式撰寫的功力要求很高, 涉及大量硬體編碼的機器指令, 並不是一般的後門 程式撰寫者可以涉足的。 另外 VxD 的置換也是一門高深的學問, 原理和 DLL 一樣, 但比 DLL 更接 近系統核心 (kernel)。所謂 VxD 就是 Windows 系統虛擬驅動程式, 藉由 VxD, Windows 可以驅動系統裝置(device), 一旦正常的 VxD 被置換了, 也就等於系統淪陷了, 所以這嚴重性可想而知。 隨著網站媒體的互動過程不斷地進步, 越來越多的介質可以成為後門程式 傳播的媒介。從以往郵件的附檔夾帶後門程式, 到現在走向了本文內容。 最可怕的是藉由郵件接收軟體產生緩衝區溢位的攻擊來產生惡意的檔頭 (mail header), 變成只是簡單的收信動作也具有高度的危險性。 不同的 Web 技術如 JavaScript、VBScript、ActiveX, XML 等等所產生的 Web 文件內容都可能藏有後門程式 (理論上只要是一般的文件都可能藉由 緩衝區溢位的攻擊來執行任意的指令)。千萬不要忘了這是一個網際網路發 達的社會, 只要您一上網就沒有絕對的安全! 8. 通知的方法 因為傳播後門程式的途徑很有可能是利用電子郵件來傳送給無辜的受害者, 也因為如此, 攻擊者常常無法掌握受害者的位置, 所以這些攻擊者必須要利 用掃描的工具來檢查是否有電腦已經被植入該後門程式, 然而這個掃描的動 作有可能會被防火牆給擋下來, 因而無法對後門程式下達攻擊指令。 因此, 部份的後門程式在成功的植入一台電腦後, 會利用電子郵件等工具回 傳給攻擊者, 通報其 IP 位置等資訊, 當然, 這種通報的手法很有可能會使 得攻擊者被抓到, 如 BirdSpy 這後門程式的作者就是因為在程式中設計了 回傳機制給自己, 因此被警政單位抓到。 此外, 若是後門程式是屬於被動式的, 那偵測起來就會相當的困難。舉例來 說, 一般來說防火牆對於連入的連線往往會進行非常嚴格的過濾, 但是對於 連出的連線卻疏於防範。因此, 被動式的後門程式可以主動的監看一個特定 IP 特定通訊埠的行為 (一般來說, 通訊埠會設定在 80, 如此一來, 被植 入端的監看軟體會以為您在瀏覽網頁), 若該特定 IP 連上網際網路後, 該 後門程式就會主動連上對方的特定通訊埠, 來進行通訊, 下達指令等行為。 但攻擊者怎麼可能會把自己的 IP 位置寫在後門裡面, 那不是請人家來抓他 嗎?所以通常的狀態下, 該後門程式在每次開機時會到一個公共區的網站去 抓取特定的網頁來得到其所要連結上的 IP 為何、其攻擊指令是什麼, 這網 頁上的文字可能加密過 (看起來像一個普通文件), 如此一來、該後門程式 就可以利用大家都放行的網頁瀏覽來進行指令的下達, 或者知道攻擊位置或 是資料回傳的位置等資訊。 ****************************************************************** 以上內容摘自『網路駭客手冊--後門的攻擊.偵測與防禦』 賴冠州‧楊明豪 著 書號:F8427 定價:680 元 ****************************************************************** 想索取前幾期的電子報內容請至智邦生活網下載 http://lib.edirect168.com/enews/enews.asp?CH=87 本電子報內容未經授權請勿轉載 版權所有人:旗標出版股份有限公司 好書能增進知識、提高學習效率 卓越的品質是旗標的信念與堅持 http://www.flag.com.tw ═<智邦生活館電子報發報中心>═══════════════════ ˙欲訂閱或取消智邦生活館電子報: http://www.url.com.tw/enewsv2/ ˙收報、退報有問題,請洽智邦生活館客服信箱: mailto:cs@url.com.tw ˙歡迎申請智邦生活館免費電子信箱: http://www.url.com.tw ˙智邦生活館電子報發報中心: mailto:news@url.com.tw ˙您想要登廣告: http://www.url.com.tw/html/ad.htm ˙本電子報文章與其相關連結由電子報報主提供,智邦生活館負責發送。 ════════════════ 作自己的媒體,唱自己的歌 ══ |