後門電腦病毒執行介紹

　　當一個訓練有素的程式設計師設計一個功能較複雜的軟體時，都習慣於先將整個軟體分割為若干模組，然後再對各模組單獨設計、除錯，而後門則是一個模組的祕密***。下面由小編給你做出詳細的!希望對你有幫助!歡迎回訪網站，謝謝!

　　：

　　在程式開發期間，後門的存在是為了便於測試、更改和增強模組的功能。當然，程式設計師一般不會把後門記入軟體的說明文件，因此使用者通常無法瞭解後門的存在。

　　按照正常操作程式，在軟體交付使用者之前，程式設計師應該去掉軟體模組中的後門，但是，由於程式設計師的疏忽，或者故意將其留在程式中以便日後可以對此程式進行隱蔽的訪問，方便測試或維護已完成的程式等種種原因，實際上並未去掉。

　　這樣，後門就可能被程式的作者所祕密使用，也可能被少數別有用心的人用窮舉搜尋法發現利用。

　　從早期的計算機入侵者開始，他們就努力發展能使自己重返被入侵系統的技術或後門。本文將討論許多常見的後門及其檢測方法。更多的焦點放在Unix系統的後門，同時討論一些未來將會出現Windows NT的後門。本文將描述如何測定入侵者使用的方法這樣的複雜內容和管理員如何防止入侵者重返的基礎知識。當管理員懂的一旦入侵者入侵後要制止他們是何等之難以後，將更主動於預防第一次入侵。

　　大多數入侵者的後門實現以下二到三個目的：

　　即使管理員通過改變所有密碼類似的方法來提高安全性，仍然能再次侵入。使再次侵入被發現的可能性減至最低。大多數後門設法躲過日誌，大多數情況下即使入侵者正在使用系統也無法顯示他已線上。一些情況下，如果入侵者認為管理員可能會檢測到已經安裝的後門，他們以系統的脆弱性作為唯一的後門，重而反覆攻破機器。這也不會引起管理員的注意。所以在這樣的情況下，一臺機器的脆弱性是它唯一未被注意的後門。

　　執行編輯

　　IRC病毒集黑客、蠕蟲、後門功能於一體，通過區域網共享目錄和系統漏洞進行傳播。病毒自帶有簡單的口令字典，使用者如不設定密碼或密碼過於簡單都會使系統易受病毒影響。

　　病毒執行後將自己拷貝到系統目錄下***Win2K/NT/XP作業系統為系統盤的system32，win9x為系統盤的system***，檔案屬性隱藏，名稱不定，這裡假設為xxx.exe，一般都沒有圖示。病毒同時寫登錄檔啟動項，項名不定，假設為yyy。病毒不同，寫的啟動項也不太一樣，但肯定都包含這一項：

　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/yyy：xxx.exe

　　其他可能寫的項有：

　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/yyy：xxx.exe

　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/yyy：xxx.exe

　　也有少數會寫下面兩項：

　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy：xxx.exe

　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy：xxx.exe

　　此外，一些IRC病毒在2K/NT/XP下還會將自己註冊為服務啟動。

　　病毒每隔一定時間會自動嘗試連線特定的IRC伺服器頻道，為黑客控制做好準備。黑客只需在聊天室中傳送不同的操作指令，病毒就會在本地執行不同的操作，並將本地系統的返回資訊發回聊天室，從而造成使用者資訊的洩漏。

　　這種後門控制機制是比較新穎的，即時使用者覺察到了損失，想要追查黑客也是非常困難。病毒會掃描當前和相鄰網段內的機器並猜測登陸密碼。這個過程會佔用大量網路頻寬資源，容易造成區域網阻塞，國內不少企業使用者的業務均因此遭受影響。

　　出於保護被IRC病毒控制的計算機的目的，一些IRC病毒會取消匿名登陸功能和DCOM功能。取消匿名登陸可阻止其他病毒猜解密碼感染自己，而禁用DCOM功能可使系統免受利用RPC漏洞傳播的其他病毒影響。

”人還：