首先我們要認識一下什么是后門程序？

　　在網絡上常見的對“后門”的解釋， 其實我們可以用很簡單的一句話來概括它：后門就是留在計算機系統中， 供某位特殊使用都通過某種特殊方式控制計算機系統的途徑!!——很顯然， 掌握好后門技術是每個網絡安全愛好者不可或缺的一項基本技能!它能讓你牢牢抓住肉雞， 讓它永遠飛不出你的五指山!

　　正因如此所以后門技術與反后門的檢測技術也成為了黑客功防戰的焦點。 正所謂知己知彼， 百戰不殆。 要了解反后門技術那么我們就要更多的深入去學習與了解后門知識。

　　后門的分類

　　后門可以按照很多方式來分類， 標準不同自然分類就不同， 為了便于大家理解， 我們從技術方面來考慮后門程序的分類方法：

　　前面講了這么多理論知識是不是覺得有點頭大了呢？下面我們來講講一些常見的后門工具吧

　　1.網頁后門

　　此類后門程序一般都是服務器上正常 的web服務來構造自己的連接方式， 比如現在非常流行的ASP、cgi腳本后門等。

　　典型后門程序：海洋頂端， 紅粉佳人個人版， 后來衍生出來很多版本的這類網頁后門， 編寫語言asp,aspx,jsp,php的都有種類比較繁多。

　　2.線程插入后門

　　利用系統自身的某個服務或者線程， 將后門程序插入到其中， 這種后門在運行時沒有進程,所有網絡操作均播入到其他應用程序的進程中完成。

　　典型后門程序：代表BITS， 還有我在安全焦點上看到的xdoor（首款進程插入后門）也屬于進程插入類后門。

　　3.擴展后門

　　所謂的擴展后門， 在普通意義上理解， 可以看成是將非常多的功能集成到了后門里， 讓后門本身就可以實現很多功能， 方便直接控制肉雞或者服務器， 這類的后門非常受初學者的喜愛， 通常集成了文件上傳/下載、系統用戶檢測、HTTP訪問、終端安裝、端口開放、啟動/停止服務等功能， 本身就是個小的工具包， 功能強大。

　　典型后門程序：Wineggdroup shell

　　4.C/S后門

　　這個后門利用ICMP通道進行通信， 所以不開任何端口， 只是利用系統本身的ICMP包進行控制安裝成系統服務后， 開機自動運行， 可以穿透很多防火墻——很明顯可以看出它的最大特點：不開任何端口~只通過ICMP控制!和上面任何一款后門程序相比， 它的控制方式是很特殊的， 連80端口都不用開放， 不得不佩服務程序編制都在這方面獨特的思維角度和眼光.

　　典型后門程序：ICMP Door

　　5.root kit

　　好多人有一個誤解， 他們認為rootkit是用作獲得系統root訪問權限的工具。 實際上， rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具。 通常， 攻擊者通過遠程攻擊獲得root訪問權限， 或者首先密碼猜測或者密碼強制破譯的方式獲得系統的訪問權限。 進入系統后， 如果他還沒有獲得root權限， 再通過某些安全漏洞獲得系統的root權限。 接著， 攻擊者會在侵入的主機中安裝rootkit， 然后他將經常通過rootkit的后門檢查系統是否有其他的用戶登錄， 如果只有自己， 攻擊者就開始著手清理日志中的有關信息。 通過rootkit的嗅探器獲得其它系統的用戶和密碼之后， 攻擊者就會利用這些信息侵入其它的系統。

　　典型后門程序：hacker defender

　　以上是我在網上搜集的前人總結， 值得指出的是這些分類還不夠完善， 還沒有真正指出后門的強大。

　　下面我繼續補充點我更新黑基技術文章時看到的一些比較少見的后門技術。

　　6 BootRoot

　　通過在Windows內核啟動過程中額外插入第三方代碼的技術項目， 即為“BootRoot”。 國外組織eBye在通過這種新的Rootkit啟動技術， 并賦予這種無需依賴Windows內核啟動過稱去加載自身代碼的技術及其衍生品——“BootKit”， 即“Boot Rootkit”。

　　Mebroot是如何實現MBR感染與運作的

　　Mebroot比Windows還要早一步啟動， 然后將自身驅動代碼插入內核執行， 從而繞過了注冊表HIVE檢測的缺陷。 同時采用的底層技術讓大部分Anti-Rootkit工具失明——因為它根本沒有在系統內留下任何啟動項目。 檢測工具自然會檢測失效。 然后通過DLL遠程注入用戶進程， 為系統打開后門并下載木馬運行。 在這非傳統的滲透思路下， 反Rootkit工具是無法根除它的。

　　看到以上這么多可怕的后門知識是不是對這些有所了解了呢？

　　下面我們來談談如何檢測后門

　　1.簡單手工檢測法

　　凡是后門必然需要隱蔽的藏身之所， 要找到這些程序那就需要仔細查找系統中每個可能存在的可疑之處， 如自啟動項， 據不完全統計， 自啟動項目有近80多種。

　　用AutoRuns檢查系統啟動項。 觀察可疑啟動服務， 可疑啟動程序路徑， 如一些常見系統路徑一般在system32下， 如果執行路徑種在非系統的system32目錄下發現

notepad

System

smss.exe

csrss.exe

winlogon.exe

services.exe

lsass.exe

spoolsv.exe

這類進程出現2個那你的電腦很可能已經中毒了。

如果是網頁后門程序一般是檢查最近被修改過的文件， 當然目前一些高級webshell后門已經支持更改自身創建修改時間來迷惑管理員了。

　　2.擁有反向連接的后門檢測

　　這類后門一般會監聽某個指定斷口， 要檢查這類后門需要用到dos命令在沒有打開任何網絡連接頁面和防火墻的情況下輸入netstat -an 監聽本地開放端口， 看是否有本地ip連接外網ip。

　　3.無連接的系統后門

　　如shift， 放大鏡， 屏保后門， 這類后門一般都是修改了系統文件， 所以檢測這類后門的方法就是對照他們的MD5值 如sethc.exe（shift后門）正常用加密工具檢測的數值是

　　MD5 : f09365c4d87098a209bd10d92e7a2bed

　　如果數值不等于這個就說明被篡改過了。

　　4.CA后門

　　CA克隆帳號這樣的后門建立以$為后綴的超級管理員在dos下無法查看該用戶， 用戶組管理也不顯示該用戶， 手工檢查一般是在sam里刪除該帳號鍵值。 當然要小心， 沒有經驗的建議還是用工具。 當然CA有可能克隆的的是guest用戶， 所以建議服務器最好把guest設置一個復雜密碼。

　　5.對于ICMP這種后門

　　這種后門比較罕見， 如果真要預防只有在默認windows防火墻中設置只 允許ICMP傳入的回顯請求了。

　　6.對于rootkit

　　這類后門隱藏比較深， 從一篇安全焦點的文獻我們可以了解到他的歷史也非常長， 1989年發現首例在Unix上可以過濾自己進程被ps -aux 命令的查看的rootkit雛形。 此后這類高級隱藏工具不斷發展完整， 并在94年成功運用到了高級后門上并開始流行， 一直保持著后門的領先地位， 包括最新出現的Boot Root也是該后門的一個高級變種。 為了抵御這類高級后門國外也相續出現了這類查殺工具。 例如：荷蘭的反Root Kit的工具Gmer,Rootkit Unhooker和RKU都可以檢測并清除這些包括變種的RootKit.