中国信息官CIO精英 前沿视野 经验之谈 职业发展 信息官杂谈 | 产品资讯笔记本 商用电脑 服务器 办公 网络设备 存储设备 软件 显示设备 其他

您当前的位置: 首页 > 资料库 > cio百科 〉详解后门程序防护技巧

详解后门程序防护技巧

2012-07-16 16:32:30

    多年以来,IT管理员不得不应对企业中不断演进的Windows操作系统的威胁。Windows系统的攻击范围包括蓝屏、概念验证攻击以及用于剽窃关键业务数据的按键记录器和间谍软件。本文中专家提出的有关后门程序防护的技巧可以确保桌面、网络以及移动设备的安全。这些知识,加上杀毒软件、密码、后门程序检测以及移除最佳实践等等都应该是桌面管理员工具箱的一部分。


    什么是后门程序


    后门程序是指能够以管理员身份访问计算机或网络的程序。后门程序能够访问系统的BIOS而且并不总是出于恶意设计的。但是BIOS后门攻击能导致硬件驱动器被擦除和被重新映像。


    事实上,后门程序的源头可能令人震惊,而且可能像病毒和间谍软件那样给我们带来麻烦。Sysinternals安全专家Mark Russinovich曾经发现索尼音频CD上的数字版权管理(DRM)组件在他的计算机上安装了一个后门程序


    F-Secure 芬兰公司的反病毒研究主管Mikko Hypponen说,“这为病毒制造者创造了机会。这些后门程序可能被任意恶意软件利用,当出现这一局面时,对于像我们这样的公司来说,在正当的软件与恶意软件之间做出区分将变得更加困难。”


    事实已经证明,除了64位Windows操作系统,虚拟机和智能手机容易遭受后门程序的攻击,因此学习并应用后门程序检测以及移除的最佳实践将是个不错的主意。


    如何发现后门程序


    后门程序已经在很多产品中出现了,包括商业安全产品以及看似没有问题的第三方应用扩展。并没有一门非常精确的科学能够找到并移除后门程序,这是因为后门程序可以通过多种方式安装在计算机上。没有单一的工具能够正确地识别所有的后门程序以及类似后门的行为。


    为了判断后门程序是否正在运行,可以使用系统进程分析器比如Sysinternals公司的ProcessExplorer或者效果更好的网络分析器。你可能将会对程序所做的一切以及网络适配器上的流量感到吃惊。你可能还会发现负荷过重的系统运行在只有很少内存或者硬盘驱动器碎片非常严重的机器上。检查一下系统的配置然后运行后门扫描程序。


    1.扫描系统内存。当进程被调用时,对所有的入口点进行监控,对可能被欺骗或者重定向到其他函数的输入类库(来自于动态链接库)调用进行追踪,加载设备驱动器,等等。采用这种方法检测后门程序的缺点是单调乏味,消耗时间而且无法计算后门程序被引入到系统中的所有可能的方式。


    2.寻求真相--揭露API欺诈。针对Windows的一个后门检测应用是由Windows安全分析师Bryce Cogswell和Mark Russinovich开发的。这一轻量级的二进制程序监视文件系统位置以及注册表配置单元,寻找隐藏在Windows API背后的信息:主文件表和活动索引。除此之外,《颠覆Windows内核:后门程序》一书的作者开发了称为VICE的工具,能够调用表和函数指针,系统地捕获API中的欺诈。


    3.了解最新的防病毒以及恶意软件防护程序。安全厂商比如F-Secure提供了单独的后门程序检测工具。微软已经在其自己的恶意软件清除工具中实现了后门程序检测特性。选择最好的扫描工具进行后门程序检测,并将其作为整体安全防护的一部分是非常重要的,但是你可能还需要进行手动的搜索。

(责编:sunnie)

投稿邮箱:cio114@foxmail.com