什么是后门？怎么才能发现一款软件有后门？

当一个训练有素的程序员设计一个功能较复杂的软件时，都习惯于先将整个软件分割为若干模块，然后再对各模块单独设计、调试，而后门则是一个模块的秘密入口。

在程序开发期间，后门的存在是为了便于测试、更改和增强模块的功能。

当然，程序员一般不会把后门记入软件的说明文档，因此用户通常无法了解后门的存在。

/？？按照正常操作程序，在软件交付用户之前，程序员应该去掉软件模块中的后门，但是，由于程序员的疏忽，或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问，方便测试或维护已完成的程序等种种原因，实际上并未去掉。

这样，后门就可能被程序的作者所秘密使用，也可能被少数别有用心的人用穷举搜索法发现利用。

http://cache.baidu.com/c?word=%CA%B2%C3%B4%3B%CA%C7%3B%BA%F3%C3%C5&url=http%3A//www%2Exiaom%2Ecom/Article%5Fshow%2Easp%3FArticleID%3D4777&b=0&a=29&user=baidu什么是后门？ 从早期的计算机入侵者开始，他们就努力发展能使自己重返被入侵系统的技术或后门.本文将讨论许多常见的后门及其检测方法. 更多的焦点放在Unix系统的后门，同时讨论一些未来将会出现的Windows NT的后门. 本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识. 当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后， 将更主动于预防第一次入侵. 本文试图涉及大量流行的初级和高级入侵者制作后门的手法， 但不会也不可能覆盖到所有可能的方法. 大多数入侵者的后门实现以下二到三个目的： 即使管理员通过改变所有密码类似的方法来提高安全性，仍然能再次侵入. 使再次侵入被发现的可能性减至最低.大多数后门设法躲过日志， 大多数情况下即使入侵者正在使用系统也无法显示他已在线. 一些情况下， 如果入侵者认为管理员可能会检测到已经安装的后门， 他们以系统的 脆弱性作为唯一的后门， 重而反复攻破机器. 这也不会引起管理员的注意. 所以在 这样的情况下，一台机器的脆弱性是它唯一未被注意的后门. 密码破解后门 这是入侵者使用的最早也是最老的方法， 它不仅可以获得对Unix机器的访问， 而且可以通过破解密码制造后门. 这就是破解口令薄弱的帐号. 以后即使管理员封了入侵者的当前帐号，这些新的帐号仍然可能是重新侵入的后门. 多数情况下， 入侵者寻找口令薄弱的未使用帐号，然后将口令改的难些. 当管理员寻找口令薄弱的帐号是， 也不会发现这些密码已修改的帐号.因而管理员很难确定查封哪个帐号. Rhosts + + 后门 在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法. 用户可以轻易的改变设置而不需口令就能进入. 入侵者只要向可以访问的某用户的rhosts文件中输入＂+ +＂， 就可以允许任何人从任何地方无须口令便能进入这个帐号. 特别当home目录通过NFS向外共享时， 入侵者更热中于此. 这些帐号也成了入侵者再次侵入的后门. 许多人更喜欢使用Rsh， 因为它通常缺少日志能力. 许多管 理员经常检查 ＂+ +＂， 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名，从而不易被发现. 校验和及时间戳后门 早期，许多入侵者用自己的trojan程序替代二进制文件. 系统管理员便依*时间戳和系统校验和的程序辨别一个二进制文件是否已被改变， 如Unix里的sum程序. 入侵者又发展了使trojan文件和原文件时间戳同步的新技术. 它是这样实现的： 先将系统时钟拨回到原文件时间， 然后调整trojan文件的时间为系统时间. 一旦二进制trojan文件与原来的精确同步， 就可以把系统时间设回当前时间. sum程序是基于CRC校验， 很容易 骗过.入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序. MD5是被大多数人推荐的，MD5使用的算法目前还没人能骗过. Login后门 在Unix里，login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令. 如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入. 这将允许入侵者进入任何帐号，甚至是root.由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的， 所以入侵者可以登录获取shell却不会暴露该帐号. 管理员注意到这种后门后， 便 用＂strings＂命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露.入侵者就开始加密或者更好的隐藏口令， 使strings命令失效. 所以更多的管理员是用MD5校验和检测这种后门的. Telnetd后门 当用户telnet到系统， 监听端口的inetd服务接受连接随后递给in.telnetd，由它运行login.一些入侵者知道管理员会检查login是否被修改， 就着手修改in.telnetd.在in.telnetd内部有一些对用户信息的检验， 比如用户使用了何种终端. 典型的终端设置是Xterm或者VT100.入侵者可以做这样的后门， 当终端设置为＂letmein＂时产生一个不要任何验证的shell. 入侵者已对某些服务作了后门， 对来自特定源端口的连接产 生一个shell . 服务后门 几乎所有网络服务曾被入侵者作过后门. finger, rsh, rexec, rlogin, ftp， 甚至inetd等等的...

软件有后门是什么意思？

2010年 2月2日，安全专家发现，360安全卫士在安装进用户电脑时，会偷偷开设“后门”。

在此事件爆出后，奇虎公司试图用此前爆出的“漏洞”来掩盖其“存在后门”的事实。

其实，“360后门”是软件编写人员故意在其中放入的，而“漏洞”是程序员无意中导致的错误。

一个是故意，一个是无意，两者性质完全不同。

正常软件不会编写放置“后门”，作为用户安全保护者的安全软件更不能有任何“后门”，只有黑客程序才出于不正当目的，为窃取用户信息加入“后门”。

请问后门文件是什么

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。

在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。

但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

电脑后门是什么意思？

每一个电脑端口就是一个后门有后门黑客就有可乘之机电脑后门三种关法电脑为什么会被“入侵”？首先，我们先来谈谈个人电脑入侵的原理。

我们可以把一台已联网的个人电脑当做是一台几乎所有常用端口（Telnet、FTP等）都被封闭的服务器。

那么从攻击手段上来讲，常用的端口查询法就失灵了。

但是，由于服务器的端口最大可以有65535个，实际上常用的端口才几十个，可以看出未定义端口相当的多。

这就表示我们可以采用某种方法定义出一个特殊的端口来达到入侵的目的。

为了定义出这个端口，就要依靠某种程序在机器启动之前自动加载到内存，强行控制机器打开那个特殊的端口。

这个程序就是“后门”程序。

简单的说，我们先通过某种手段在一台个人电脑中植入一个程序，使这台机器变成一台开放性极高（用户拥有极高权限）的FTP服务器，然后就可以达到侵入的目的。

很明显，光有“后门”程序是不够的。

一个好的控制工具一般分成两个部分：一个是Client，也就是客户服务程序，我们用它来控制已经打开后门的机器；另一个是Trojan/Host，也就是“后门”程序了，我们用它来开放某台机器。

假设我们想控制机器A。

那么我们通过一些手段来把“后门”程序传到机器A上并使其运行之，这样A就变成了一台特殊FTP的服务器，然后我们使用Client程序就可以控制A了。

当然了，后门程序如果不运行也就无法发挥作用。

因此，我们再来讲讲如何“诱骗”他人使用后门程序。

如果是朋友，去他机器那儿偷偷地装上就行了。

但是，我们主要的对象是不熟悉的人，那就需要一些方法了。

第一，我们先要和他搞好关系，然后就可以问他：“我有一个不错的程序要不要看看？”或者“给你一张我的照片怎么样？”当那个可怜的人说“行呀！给我传过来吧！”我们的第一步就达成了：）。

第二步就是伪装术了。

简单一些的话是直接把后门程序改名，改成一些常见的名称如ICQNuke、Readme等或者更改后缀，变成TXT或者图片文件格式。

这样当他双击这些伪装的程序后就达到了运行的目的了。

复杂一些的方法是利用Winzip的SelfExtrator软件把后门程序和一些其它的东西一起制作成一个自解压的压缩包，然后利用设定解压后自动运行Setup程序的功能来运行指定的“后门”程序。

这样当他双击自解压程序后，还没等回过味来，程序就已经运行完了。

对于高手来说，他们经常会编写一些程序，把“后门”藏在其中。

最后，当你知道了他的IP后，就可以利用客户服务程序去接管目标机器了。

我们已经知道了常用的“诱骗”方法，那么该如何预防后门程序的植入呢？第一，不要随便接受陌生人发来的电子邮件、文件。

第二，喜欢聊天的朋友不要轻易暴露自己的IP（大部分人上网的IP都是动态分配的，因此，只要不随便暴露IP，就能较为有效地防止他人入侵）。

第三，不要用Windows自带的密码记忆功能来存放你ISP的密码，这种密码保存在Windows/目录下，后缀是PWL的文件中。

《北京青年报》 2000年07月05日

如何设计一个后门程序

什么是后门程序后门程序又称特洛伊木马，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。

后程序和电脑病毒最大的差别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其他电脑。

后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还 能挫败系统上各种增强的安全设置。

后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。

http://www.qqread.com/pcbase/u301150.html----------------------------------------------------------漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。

因而这些都可以认为是系统中存在的安全漏洞。

http://baike.baidu.com/view/93544.htm

常见的后门程序有哪些？

最近这两类非常厉害，爆发严重！！！！8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有常见的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。

针对此类病毒，瑞星公司发布今年首次橙色（二级）警报，并将它们通称为“橙色八月”以提醒广大用户注意防范。

据瑞星反病毒专家介绍，这些病毒包括“传奇终结者（Trojan.PSW.LMir）”、“QQ游戏木马（Trojan.PSW.QQGame）”、 “QQ盗贼（Trojan.PSW.QQRobber）”以及“密西木马（Trojan.PSW.Misc）等病毒的最新变种。

这些病毒在电脑的后台运行，窃取用户的网络游戏和QQ的账号和密码，并发送给病毒制造者。

瑞星反病毒专家分析认为，导致此类病毒疫情攀升的主要原因是由于其针对反病毒软件以及变种繁多的特点。

很可能有病毒编写者或者黑客组织，有计划地在各种流行病毒中加载了反杀毒软件的程序，掀起这场针对主流杀毒软件的“战争”。

目前瑞星已经截获了大量该类病毒，预计近段时间该类病毒数量还会继续增加。

针对此类病毒，瑞星杀毒软件2006版已经升级至18.38.42版，请广大用户及时更新杀毒软件到最新版本，并打开“文件”、“注册表”、“内存”等全部八项实时监控进行防范。

已感染此类病毒的用户可以登陆http://it.rising.com.cn/Channels/Service/index.shtml，下载免费专杀工具，或通过“瑞星在线专家门诊”寻求远程救助，也可拨打反病毒急救电话：010-82678800寻求帮助。

病毒列表上的病毒主要针对以下安全软件卡巴斯基 Symantec AntiVirus 诺顿 瑞星 江民杀毒软件 天网防火墙个人版 噬菌体 木马克星 金山毒霸2006年8月13日，江民公司反病毒中心发布紧急病毒警报，一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波” （Backdoor/Mocbot.b）蠕虫现身互联网，感染该蠕虫的计算机将被黑客远程完全控制。

微软在8月8日例行发布的MS06-040安全公告中称，其操作系统Server服务漏洞可能允许远程执行代码，并建议电脑用户立即升级。

“魔鬼波”蠕虫运行后，在系统目录下建立大小为9609字节的病毒文件wgareg.exe，该病毒文件经过加壳处理。

病毒建立服务，以使自己可以在系统启动时自动运行。

“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。

蠕虫的传播过程可以在用户不知情的情况下主动进行，可能造成services.exe崩溃等现象，还可以使得无故断网.攻击用户计算机，导致用户在宽带拨号上网后不久，发生Generic Host Process for Win32 Service错误，并且用户掉线需要重启 通过黑客命令，“魔鬼波”蠕虫可以进行下载运行任意程序，进行拒绝服务攻击（DDoS）等活动，使得用户计算机完全被黑客控制。

江民反病毒专家提醒，针对该蠕虫，江民杀毒软件已经紧急升级了病毒库，KV系列杀毒软件用户升级到8月14日病毒库，即可全面查杀该蠕虫。

专家担心，由于微软安全公告发布还不到一周，可能还有许多用户没有安装微软MS06-040漏洞补丁，专家呼吁电脑用户务必尽快安装漏洞补丁，避免遭受病病毒侵害。

微软MS06-040Server服务漏洞可能允许远程执行代码补丁下载地址： http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx魔鬼波专杀工具http://db.kingsoft.com/download/3/247.shtml

求一对付反向连接的后门策略

前言 后门！相信这个词语对您来说一定不会陌生，它的危害不然而欲，但随着人们的安全意识逐步增强，又加上杀毒软件的“大力支持”，使传统的后门无法在隐藏自己，任何稍微有点计算机知识的人，都知道“查端口”“看进程”，以便发现一些“蛛丝马迹”。

所以，后门的编写者及时调整了思路，把目光放到了动态链接程序库上，也就是说，把后门做成DLL文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就实现了进程、端口的隐藏。

本文以“DLL的原理”“DLL的清除”“DLL的防范”为主题，并展开论述，旨在能让大家对DLL后门“快速上手”，不在恐惧DLL后门。

好了，进入我们的主题。

一，DLL的原理 1，动态链接程序库 动态链接程序库，全称：Dynamic Link Library，简称：DLL，作用在于为应用程序提供扩展功能。

应用程序想要调用DLL文件，需要跟其进行“动态链接”；从编程的角度，应用程序需要知道DLL文件导出的API函数方可调用。

由此可见，DLL文件本身并不可以运行，需要应用程序调用。

正因为DLL文件运行时必须插入到应用程序的内存模块当中，这就说明了：DLL文件无法删除。

这是由于Windows内部机制造成的：正在运行的程序不能关闭。

所以，DLL后门由此而生！ 2,DLL后门原理及特点 把一个实现了后门功能的代码写成一个DLL文件，然后插入到一个EXE文件当中，使其可以执行，这样就不需要占用进程，也就没有相对应的PID号，也就可以在任务管理器中隐藏。

DLL文件本身和EXE文件相差不大，但必须使用程序（EXE）调用才能执行DLL文件。

DLL文件的执行，需要EXE文件加载，但EXE想要加载DLL文件，需要知道一个DLL文件的入口函数（既DLL文件的导出函数），所以，根据DLL文件的编写标准：EXE必须执行DLL文件中的DLLMain（)作为加载的条件（如同EXE的mian（)）。

做DLL后门基本分为两种：1）把所有功能都在DLL文件中实现；2）把DLL做成一个启动文件，在需要的时候启动一个普通的EXE后门。

常见的编写方法： （1），只有一个DLL文件 这类后门很简单，只把自己做成一个DLL文件，在注册表Run键值或其他可以被系统自动加载的地方，使用Rundll32.exe来自动启动。

Rundll32.exe是什么？顾名思意，“执行32位的DLL文件”。

它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。

如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件。

当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。

现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。

系统中还有一个Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意一下。

在来看看Rundll32.exe使用的函数原型： Void CALLBACK FunctionName ( HWND hwnd, HINSTANCE hinst, LPTSTR lpCmdLine, Int nCmdShow )； 其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments] DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。

（2），替换系统中的DLL文件 这类后门就比上边的先进了一些，它把实现了后门功能的代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。

遇到应用程序请求原来的DLL文件时， DLL后门就启一个转发的作用，把“参数”传递给原来的DLL文件；如果遇到特殊的请求时（比如客户端），DLL后门就开始，启动并运行了。

对于这类后门，把所有操作都在DLL文件中实现最为安全，但需要的编程知识也非常多，也非常不容易编写。

所以，这类后门一般都是把DLL文件做成一个“启动”文件，在遇到特殊的情况下（比如客户端的请求），就启动一个普通的EXE后门；在客户端结束连接之后，把EXE后门停止，然后DLL文件进入“休息”状态，在下次客户端连接之前，都不会启动。

但随着微软的“数字签名”和“文件恢复”的功能出台，这种后门已经逐步衰落。

提示： 在WINNTsystem32目录下，有一个dllcache文件夹，里边存放着众多DLL文件（也包括一些重要的EXE文件），在DLL文件被非法修改之后，系统就从这里来恢复被修改的DLL文件。

如果要修改某个DLL文件，首先应该把dllcache目录下的同名DLL文件删除或更名，否则系统会自动恢复。

（3），动态嵌入式 这才是DLL后门最常用的方法。

其意义是将DLL文件嵌入到正在运行的系统进程当中。

在Windows系统中，每个进程都有自己的私有内存空间，但还是有种种方法来进入其进程的私有内存空间，来实现动态嵌入式。

由于系统的关键进程是不能终止的，所以这类后门非常隐蔽，查杀也非常困难。

常见的动态嵌入式有：“挂接API”“全局钩子（HOOK）”“远程线程”等。

远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。

当EXE载体（...

最好的编程软件是什么？

Java作为一门编程语言，最好的学习方法就是写代码。

当你学习一个类以后，你就可以自己写个简单的例子程序来运行一下，看看有什么结果，然后再多调用几个类的方法，看看运行结果，这样非常直观的把类给学会了，而且记忆非常深刻。

然后不应该满足把代码调通，你应该想想看如果我不这样写，换个方式，再试试行不行。

记得哪个高人说过学习编程就是个破坏的过程，把书上的例子，自己学习Documentation编写的例子在运行通过以后，不断的尝试着用不同的方法实现，不断的尝试破坏代码的结构，看看它会有什么结果。

通过这样的方式，你会很彻底的很精通的掌握Java。

转载请注明出处51数据库 » 软件后门编写