国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

    還有一些計算機黑客為了能廣泛的在互聯(lián)網(wǎng)上傳播自己的病毒、木馬程序及各類的惡意程序在一些軟件中也加入后門 。俗話說“知己知彼百戰(zhàn)不殆”，只有軟件后門的加入方式才能除去它。后門沒有標準的分類，例如有人把后門分為，網(wǎng)頁后門，C/S后門，線程插入后門，擴展后門，root kit后門等等。當然本篇文章所指的后門比此分類更廣義一些。本問所指的后門指軟件中夾帶的灰色軟件（流氓軟件，間諜軟件，廣告軟件等）和黑色軟件（病毒，蠕蟲，ROOT KIT，木馬，僵尸軟件等）。在軟件中加入后門的技術(shù)一般分為以下幾種方式。另外對于下面的分類，不是嚴格劃分的，你會發(fā)現(xiàn)捆綁里面封裝里面都會需要編程的部分。

    一、 編程技術(shù)實現(xiàn)

    編程的實現(xiàn)有很多種實現(xiàn)方式，當然對于一個會編程的人來說是好實現(xiàn)的，作者可以直接寫個CMDSHELL代碼直接加在軟件中，或者寫個下載者（具有從網(wǎng)絡(luò)下載可執(zhí)行程序并執(zhí)行的可執(zhí)行程序）或者把別人寫好的灰鴿子的服務(wù)端PCSHARE的服務(wù)端直接加在里面。這種是后門與程序集成的，一般從軟件本身發(fā)現(xiàn)不出什么破綻。但是對于集成下載者的，如圖1，圖2，是有破綻的。

    打開“ResScope編輯器”客戶端程序，單擊“文件”菜單，選擇“打開”選項，找到事先準備的軟件后門程序，然后單擊“打開”按鈕導(dǎo)入，資源欄會出現(xiàn)軟件內(nèi)部的基本結(jié)構(gòu)。一般看到了如圖2那里，有某某URL和XXX.exe的信息這個多半是后門的特征。對于后門的實現(xiàn)可以結(jié)合后面我們將要介紹的X-CODE和ROOTKIT的方式來實現(xiàn)。這里對編程的實現(xiàn)，不做多說，因為下面的方式都是需要用到編程的，之所以把編程放在前面，是因為它是核心。

    二、 封裝技術(shù)實現(xiàn)

    封裝出了用到工具，對于一些隱蔽性高的一般是編程封裝。
    1、 用軟件包制作工具進行封裝（如用FilePacker），把后門也封裝進去，在封裝好的文件釋放到硬盤的時候，悄悄的自動運行了封裝的后門。這個想必很多人都吃過這個、的苦頭，例如去某個站上下載東西安裝的時候就不幸中招了。這種可能被很多軟件捆綁，在安裝時就會出現(xiàn)重復(fù)的現(xiàn)象，CNNIC中文郵件網(wǎng)址、上網(wǎng)助手、劃詞搜索、網(wǎng)絡(luò)豬、小蜜蜂、百度搜索工具條、青娛樂等軟件就出現(xiàn)在多種軟件里被集成使用。如果是裝了彈窗廣告軟件更可怕。不但影響心情，更占用大量系統(tǒng)資源使計算機無法工作。

    2、 代碼封裝技術(shù)
    簡單的方式：有編程基礎(chǔ)的人，寫一段代碼將程序A和后門B都封裝到可執(zhí)行程序C中，在執(zhí)行C的時候，先執(zhí)行A在通過一段代碼跳到B，把A的屬性信息圖標都換成A的，這樣在執(zhí)行C程序的時候，A與B都執(zhí)行了。
復(fù)雜一點的方式和寫殼差不多，寫個stub，把宿主附加到它后面，替換原文件；目前很多XX加殼工具就是這樣寫的，稱為非經(jīng)典殼，更類似捆綁工具，在自己寫的stub里
可以加上自己想要的更多的功能，STUB就是后門，或者STUB不是后門，把宿主附加到后面再把后門附加到后面也可以。甚至帶個圖標，熊貓燒香的原理里面有點類似這個原理。

三、 捆綁工具實現(xiàn)技術(shù)

    木馬工具里面有一種工具叫捆綁機。捆綁工具將后門加入軟件簡單化了，但是它的技術(shù)是發(fā)展的，且也是隨著發(fā)展由潛入深的。

    所謂捆綁機是將兩個或兩個以上可執(zhí)行文件或文本文件圖片格式的文件或其他格式的文件捆綁在一起，成為一個可執(zhí)行文件，在執(zhí)行這個文件的時候，捆綁在里面的文件都被執(zhí)行。捆綁工具的原理也不盡相同，簡單介紹下面三種。

    1、 這個要說的和前面編程代碼實現(xiàn)封裝那個相類似，直接把A和B文件放在一起，中間通過一段代碼把文件釋放到某個文件夾中去，然后使A和B一起執(zhí)行，但是這樣做出來的可執(zhí)行文件，非常容易被發(fā)現(xiàn)，開ResScope編輯器，單擊“文件”菜單，選擇“打開”選項，找到事先準備的軟件后門程序，然后單擊“打開”按鈕導(dǎo)入，資源欄會出現(xiàn)軟件內(nèi)部的基本結(jié)構(gòu)。這個里面很容易發(fā)現(xiàn)資源項很少，兩個或者三個，導(dǎo)出后就是兩個獨立的可執(zhí)行文件，后門也原形畢露了。這種捆綁機是傳統(tǒng)的捆綁機。當然現(xiàn)在借助于加殼工具加一次壓縮殼殼或加多重或加加密殼也是很難發(fā)現(xiàn)的。

    2、 融合式捆綁，這種結(jié)合了X-CODE的技術(shù)。學(xué)過編程或者了解PE結(jié)構(gòu)的人都知道資源是EXE中的一個特殊的區(qū)段?？梢杂脕戆珽XE需要或需要用到的其他東西。只需要BeginUpdateResource 、UpdateResource和EndUpdateResource這三個API函數(shù)就可以了這三個API函數(shù)是用來做資源更新替換用的。作者只需先寫一個包裹捆綁文件的頭文件，文件中只需一段 釋放資源的代碼。而捆綁器用的時候先將頭文件釋放出來，然后用上面說的三個API函數(shù)將待捆綁的文件更新到這個頭文件中即完成了捆綁。

    3、 編譯捆綁技術(shù)實現(xiàn)。是將要捆綁的文件轉(zhuǎn)換成16進制保存到一個數(shù)組中。像這樣 muma:array[0..9128] of Byte=($4D,$5A,$50....$00);然后用時再用API函數(shù)CreateFile和WriteFile便可將文件還原到硬盤。這里稍稍學(xué)過編程的都知道。代碼中的數(shù)組經(jīng)過編譯器、連接器這么一弄。就這種方法而言，目前還沒有可以查殺的方法。這種方法可以利用編程輔助工具jingtao的DcuAnyWhere或Anskya的 AnyWhereFileToPas來實現(xiàn)。
至于編程的細節(jié)部分用到各種手段，本人也不是編程高手，甚至說不會編程。也不能多說什么，本文也不過作為認識性的文章。

    四、X- CODE技術(shù)

    先來介紹下什么是X-CODE。X-CODE是一段代碼可以具有獨立功能或不具有獨立功能的調(diào)用的代碼?？梢跃幊虒崿F(xiàn)和反匯編實現(xiàn)。這個名詞來自于一本國外翻譯的書中。對于本文的介紹談不上技術(shù)，只能作為認識吧。

    X-CODE的實現(xiàn)需要做三個方面的工作：1、將其植入宿主（本文把要后門的文件叫做宿主），2、在程序啟動之前或者執(zhí)行過程中鉤住控制。3、必須確定在宿主文件中對其有重要作用的API函數(shù)地址從而保證X-CODE能夠被順利執(zhí)行。PE的結(jié)構(gòu)有點象 DNA的結(jié)構(gòu)，存在空白地帶和功能地帶，正因為PE文件中區(qū)段中存在空隙，這個就是X-CODE能夠?qū)崿F(xiàn)的關(guān)鍵所在。

    A1B2C3D4E5

    例如上面的一串，數(shù)字代表PE的空白地帶，我們可以把XCODE查在1，2，3，4，的任何一處，只要空白足夠大。或者將一段X-CODE支解，插在1那里一部分，2那里一部分，3那里一部分，最后通過代碼在連接起來。當然在實現(xiàn)的過程中一定沒我說的這么容易，要保證原來程序不遭到破壞。一般這種X-CODE是具有獨立功能的。例如可以是個下載者或者CMDSHELL后門。這個方面的工具也有，以前有個叫見縫插針的工具。這個工具可以將一個很小的可執(zhí)行文件插到另一個比較大的可執(zhí)行文件中去。

    再介紹一種調(diào)用的方式的。例如某些大型軟件不是一個單獨的可執(zhí)行程序，由若干個程序組成的，其中有個獨立的主程序，可以在主程序中添加導(dǎo)入函數(shù)，添加一個導(dǎo)入函數(shù)，宿主會主動加載你的放在程序目錄中的dll，因為程序執(zhí)行過程中，先搜索程序本身的目錄，然后再搜索系統(tǒng)目錄。

   五、 技術(shù)綜合

    這個依照個人發(fā)揮了，舉個簡單的例子，軟件加后門的人寫了這樣一個軟件，在軟件中需要第三方軟件UPX進行壓縮，把命令版UPX壓縮可執(zhí)行程序也集成進去了，而作者沒有在軟件本身做文章，而是對UPX做了手腳，利用 X-CODE技術(shù)加了后門?？芍^防不勝防的綜合方式。

    六、如何防范

    以上是對一些后門技術(shù)的簡單總結(jié)。對于技術(shù)來說是無止境的，以上算做認識性的總結(jié)，高手不要見笑，錯誤之處還望指教。
雙擊某個被捆綁后的程序基本上看不到太多的表現(xiàn)形式，唯一能覺察到的是鼠標的箭頭狀態(tài)快速的變化著，然而被捆綁程序中的惡意程序即除了正常程序體本身)已經(jīng)在后臺被安裝完畢并已被加載到內(nèi)存當中了。如果是病毒或木馬、后門之類的程序，往往已經(jīng)非常隱蔽的駐留在你的系統(tǒng)中了，并在系統(tǒng)的啟動項目列表中加入了自身。對于后門的防范，以下也作出一些基本的總結(jié)

    一、 以借助一些反捆綁工具進行檢測，如下圖。

 
圖3

    二、 用C32ASM打開可疑文件搜索.exe或者http://這樣的字符串，看看有沒有整個象http://www.xxx.com/xx.exe這樣的URL信息，如果有多半是帶了下載者后門。

    三、 硬盤監(jiān)測，注冊表監(jiān)測。利用一些監(jiān)測軟件（如Filemon  Regmon  木馬輔助查照器2005  下載者及其監(jiān)視器 TcpView等）將硬盤和注冊表監(jiān)和端口監(jiān)視起來以后再運行那些你不確定是否被捆綁 的程序。這樣，一旦硬盤和注冊表出現(xiàn)變化，或有文件新建，或有文件和注冊表改變都會被記錄在案。這樣查找起來就方便多了。

    四、一些建議性問題。為了遠離間諜軟件廣告等流氓軟件的痛苦，建議下載一些工具軟件時候最好去官方或者軟件下載大站去下載。這樣雖然不是絕對的安全，但起碼也作到了放心。另外要對自己的系統(tǒng)及時地打補丁和對殺毒軟件升級。即使中了招也讓一些后門無法存活在您的系統(tǒng)中。

    信息安全最弱的環(huán)節(jié)，仍然取決于電腦終端，最終用戶的安全意識將決定整個系統(tǒng)的命運。本文很好的詮釋了程序封裝時捆綁惡意軟件的原理，也為防范此類攻擊行為提供了對應(yīng)的解決方案。共享軟件的生存尚存危機的今天，軟件作者為獲取收益，不得已選擇了捆綁第三方軟件的作法，實在是件悲哀的事情。捆綁木馬就是赤裸裸的犯罪行為，應(yīng)該受到BS和制裁。正如文章結(jié)尾描述的那樣，在下載軟件時，應(yīng)盡可能選擇大的網(wǎng)站。安裝軟件時，應(yīng)該留個心眼，仔細看清楚提示信息。