国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

百科名片后門病毒的前綴是：Backdoor。該類病毒的特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。2004年年初，IRC后門病毒開始在全球網(wǎng)絡(luò)大規(guī)模出現(xiàn)。一方面有潛在的泄漏本地信息的危險，另一方面病毒出現(xiàn)在局域網(wǎng)中使網(wǎng)絡(luò)阻塞，影響正常工作，從而造成損失。由于病毒的源代碼是公開的，任何人拿到源碼后稍加修改就可編譯生成一個全新的病毒，再加上不同的殼，造成IRC后門病毒變種大量涌現(xiàn)。還有一些病毒每次運(yùn)行后都會進(jìn)行變形，給病毒查殺帶來很大困難。目錄技術(shù)報告信息的泄漏手工清除方法安全建議后門概念密碼破解后門　Rhosts　＋?。『箝T校驗(yàn)和及時間戳后門Login后門Telnetd后門后門病毒清除解決方安圖服務(wù)后門Cronjob后門庫后門內(nèi)核后門文件系統(tǒng)后門Boot塊后門隱匿進(jìn)程后門網(wǎng)絡(luò)通行后門TCP　Shell　后門UDP　Shell　后門ICMP　Shell　后門加密連接Windows　NT評估警告技術(shù)報告信息的泄漏手工清除方法安全建議后門概念密碼破解后門　Rhosts　＋?。『箝T校驗(yàn)和及時間戳后門Login后門Telnetd后門后門病毒清除解決方安圖服務(wù)后門Cronjob后門庫后門內(nèi)核后門文件系統(tǒng)后門Boot塊后門隱匿進(jìn)程后門網(wǎng)絡(luò)通行后門TCP　Shell　后門UDP　Shell　后門ICMP　Shell　后門加密連接Windows　NT評估警告展開編輯本段技術(shù)報告IRC病毒集黑客、蠕蟲、后門功能于一體，通過局域網(wǎng)共享目錄和系統(tǒng)漏洞進(jìn)行傳播。病毒自帶有簡單的口令字典，用戶如不設(shè)置密碼或密碼過于簡單都會使系統(tǒng)易受病毒影響。病毒運(yùn)行后將自己拷貝到系統(tǒng)目錄下（Win　2K／NT／XP操作系統(tǒng)為系統(tǒng)盤的system32，win9x為系統(tǒng)盤的system），文件屬性隱藏，名稱不定，這里假設(shè)為xxx.exe，一般都沒有圖標(biāo)。病毒同時寫注冊表啟動項，項名不定，假設(shè)為yyy。病毒不同，寫的啟動項也不太一樣，但肯定都包含這一項：HKEY＿LOCAL＿M(jìn)ACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run＼yyy?。骸xx.exe其他可能寫的項有：  

后門病毒中毒界面圖HKEY＿CURRENT＿USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run＼　yyy?。骸xx.exeHKEY＿LOCAL＿M(jìn)ACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices＼　yyy?。骸xx.exe也有少數(shù)會寫下面兩項：HKEY＿LOCAL＿M(jìn)ACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼yyy　：　xxx.exeHKEY＿CURRENT＿USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼yyy?。骸xx.exe此外，一些IRC病毒在2K／NT／XP下還會將自己注冊為服務(wù)啟動。病毒每隔一定時間會自動嘗試連接特定的IRC服務(wù)器頻道，為黑客控制做好準(zhǔn)備。黑客只需在聊天室中發(fā)送不同的操作指令，病毒就會在本地執(zhí)行不同的操作，并將本地系統(tǒng)的返回信息發(fā)回聊天室，從而造成用戶編輯本段信息的泄漏這種后門控制機(jī)制是比較新穎的，即時用戶覺察到了損失，想要追查黑客也是非常困難。病毒會掃描當(dāng)前和相鄰網(wǎng)段內(nèi)的機(jī)器并猜測登陸密碼。這個過程會占用大量網(wǎng)絡(luò)帶寬資源，容易造成局域網(wǎng)阻塞，國內(nèi)不少企業(yè)用戶的業(yè)務(wù)均因此遭受影響。出于保護(hù)被IRC病毒控制的計算機(jī)的目的，一些IRC病毒會取消匿名登陸功能和DCOM功能。取消匿名登陸可阻止其他病毒猜解密碼感染自己，而禁用DCOM功能可使系統(tǒng)免受利用RPC漏洞傳播的其他病毒影響。編輯本段手工清除方法所有的IRC后門病毒都會在注冊表HKEY＿LOCAL＿M(jìn)ACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run下添加自己的啟動項，并且項值只有文件名，不帶路徑，這給了我們提供了追查的線索。通過下面幾步我們可以安全的清除掉IRC病毒。1、打開注冊表編輯器，定位到HKEY＿LOCAL＿M(jìn)ACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run項，找出可疑文件的項目。2、打開任務(wù)管理器（按Alt＋Ctrl＋Del或在任務(wù)欄單擊鼠標(biāo)右鍵，選擇“任務(wù)管理器”），找到并結(jié)束與注冊表文件項相對應(yīng)的進(jìn)程。若進(jìn)程不能結(jié)束，則可以切換到安全模式進(jìn)行操作。進(jìn)入安全模式的方法是：啟動計算機(jī)，在系統(tǒng)進(jìn)入Windows啟動畫面前，按下F8鍵（或者在啟動計算機(jī)時按住Ctrl鍵不放），在出現(xiàn)的啟動選項菜單中，選擇“Safe　Mode”或“安全模式”。3、接著打開“我的電腦”，在“工具”菜單下選擇“文件夾選項”，選擇“顯示所有文件”，然后點(diǎn)擊“確定”。再進(jìn)入系統(tǒng)文件夾，找出可疑文件并將它轉(zhuǎn)移或刪除，到這一步病毒就算清除了。4、最后可手工把注冊表里病毒的啟動項清除，也可使用瑞星注冊表修復(fù)工具清除。編輯本段安全建議1。建立良好的安全習(xí)慣不要輕易打開一些來歷不明的郵件及其附件，不要輕易登陸陌生的網(wǎng)站。從網(wǎng)上下載的文件要先查毒再運(yùn)行。2。關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)默認(rèn)情況下，操作系統(tǒng)會安裝一些輔助服務(wù)，如　FTP　客戶端、Telnet　和　Web　服務(wù)器。這些服務(wù)為攻擊者提供了方便，而又對大多數(shù)用戶沒有用。刪除它們，可以大大減少被攻擊的可能性。3。經(jīng)常升級安全補(bǔ)丁據(jù)統(tǒng)計，大部分網(wǎng)絡(luò)病毒都是通過系統(tǒng)及IE安全漏洞進(jìn)行傳播的，如：沖擊波、震蕩波、SCO炸彈AC／AD等病毒。如果機(jī)器存在漏洞則很可能造成病毒反復(fù)感染，無法清除干凈。因此一定要定期登陸微軟升級網(wǎng)站下載安裝最新的安全補(bǔ)丁。同時也可以使用瑞星殺毒軟件附帶的“瑞星漏洞掃描”定期對系統(tǒng)進(jìn)行檢查。4。設(shè)置復(fù)雜的密碼有許多網(wǎng)絡(luò)病毒是通過猜測簡單密碼的方式對系統(tǒng)進(jìn)行攻擊。因此設(shè)置復(fù)雜的密碼（大小寫字母、數(shù)字、特殊符號混合，8位以上），將會大大提高計算機(jī)的安全系數(shù)，減少被病毒攻擊的概率。5。迅速隔離受感染的計算機(jī)當(dāng)您的計算機(jī)發(fā)現(xiàn)病毒或異常情況時應(yīng)立即切斷網(wǎng)絡(luò)連接，以防止計算機(jī)受到更嚴(yán)重的感染或破壞，或者成為傳播源感染其它計算機(jī)。6。經(jīng)常了解一些反病毒資訊經(jīng)常登陸信息安全廠商的官方主頁，了解最新的資訊。這樣您就可以及時發(fā)現(xiàn)新病毒并在計算機(jī)被病毒感染時能夠作出及時準(zhǔn)確的處理。比如了解一些注冊表的知識，就可以定期查看注冊表自啟動項是否有可疑鍵值；了解一些程序進(jìn)程知識，就可以查看內(nèi)存中是否有可疑程序。7。最好是安裝專業(yè)的防毒軟件進(jìn)行全面監(jiān)控在病毒技術(shù)日新月異的今天，使用專業(yè)的反病毒軟件對計算機(jī)進(jìn)行防護(hù)仍是保證信息安全的最佳選擇。用戶在安裝了反病毒軟件之后，一定要開啟實(shí)時監(jiān)控功能并經(jīng)常進(jìn)行升級以防范最新的病毒，這樣才能真正保障計算機(jī)的安全。編輯本段后門概念當(dāng)一個訓(xùn)練有素的程序員設(shè)計一個功能較復(fù)雜的軟件時，都習(xí)慣于先將整個軟件分割為若干模塊，然后再對各模塊單獨(dú)設(shè)計、調(diào)試，而后門則是一個模塊的秘密入口。在程序開發(fā)期間，后門的存在是為了便于測試、更改和增強(qiáng)模塊的功能。當(dāng)然，程序員一般不會把后門記入軟件的說明文檔，因此用戶通常無法了解后門的存在。按照正常操作程序，在軟件交付用戶之前，程序員應(yīng)該去掉軟件模塊中的后門，但是，由于程序員的疏忽，或者故意將其留在程序中以便日后可以對此程序進(jìn)行隱蔽的訪問，方便測試或維護(hù)已完成的程序等種種原因，實(shí)際上并未去掉。這樣，后門就可能被程序的作者所秘密使用，也可能被少數(shù)別有用心的人用窮舉搜索法發(fā)現(xiàn)利用。從早期的計算機(jī)入侵者開始，他們就努力發(fā)展能使自己重返被入侵系統(tǒng)的技術(shù)或后門。本文將討論許多常見的后門及其檢測方法。更多的焦點(diǎn)放在Unix系統(tǒng)的后門，同時討論一些未來將會出現(xiàn)的Windows　NT的后門。本文將描述如何測定入侵者使用的方法這樣的復(fù)雜內(nèi)容和管理員如何防止入侵者重返的基礎(chǔ)知識。當(dāng)管理員懂的一旦入侵者入侵后要制止他們是何等之難以后，將更主動于預(yù)防第一次入侵。大多數(shù)入侵者的后門實(shí)現(xiàn)以下二到三個目的：即使管理員通過改變所有密碼類似的方法來提高安全性，仍然能再次侵入。使再次侵入被發(fā)現(xiàn)的可能性減至最低。大多數(shù)后門設(shè)法躲過日志，大多數(shù)情況下即使入侵者正在使用系統(tǒng)也無法顯示他已在線。一些情況下，如果入侵者認(rèn)為管理員可能會檢測到已經(jīng)安裝的后門，他們以系統(tǒng)的脆弱性作為唯一的后門，重而反復(fù)攻破機(jī)器。這也不會引起管理員的注意。所以在這樣的情況下，一臺機(jī)器的脆弱性是它唯一未被注意的后門。編輯本段密碼破解后門這是入侵者使用的最早也是最老的方法，它不僅可以獲得對Unix機(jī)器的訪問，而且可以通過破解密碼制造后門?！∵@就是破解口令薄弱的賬號。以后即使管理員封了入侵者的當(dāng)前賬號，這些新的賬號仍然可能是重新侵入的后門。多數(shù)情況下，入侵者尋找口令薄弱的未使用賬號，然后將口令改的難些。當(dāng)管理員尋找口令薄弱的賬號是，也不會發(fā)現(xiàn)這些密碼已修改的賬號。因而管理員很難確定查封哪個賬號。Rhosts?。。『箝T在連網(wǎng)的Unix機(jī)器中，象Rsh和Rlogin這樣的服務(wù)是基于rhosts文件里的主機(jī)名使用簡單的認(rèn)證方法。用戶可以輕易的改變設(shè)置而不需口令就能進(jìn)入。入侵者只要向可以訪問的某用戶的rhosts文件中輸入＂＋　＋＂，就可以允許任何人從任何地方無須口令便能進(jìn)入這個賬號。特別當(dāng)home目錄通過NFS向外共享時，入侵者更熱中于此。這些賬號也成了入侵者再次侵入的后門。許多人更喜歡使用Rsh，因?yàn)樗ǔＨ鄙偃罩灸芰?。　許多管　理員經(jīng)常檢查?。ⅲ。ⅲ匀肭终邔?shí)際上多設(shè)置來自網(wǎng)上的另一個賬號的主機(jī)名和用戶名，從而不易被發(fā)現(xiàn)。校驗(yàn)和及時間戳后門早期，許多入侵者用自己的trojan程序替代二進(jìn)制文件。系統(tǒng)管理員便依＊時間戳和系統(tǒng)校驗(yàn)和的程序辨別一個二進(jìn)制文件是否已被改變，如Unix里的sum程序。入侵者又發(fā)展了使trojan文件和原文件時間戳同步的新技術(shù)。它是這樣實(shí)現(xiàn)的：先將系統(tǒng)時鐘撥回到原文件時間，然后調(diào)整trojan文件的時間為系統(tǒng)時間。一旦二進(jìn)制trojan文件與原來的精確同步，就可以把系統(tǒng)時間設(shè)回當(dāng)前時間。sum程序是基于CRC校驗(yàn)，很容易騙過。入侵者設(shè)計出了可以將trojan的校驗(yàn)和調(diào)整到原文件的校驗(yàn)和的程序。MD5是被大多數(shù)人推薦的，MD5使用的算法目前還沒人能騙過。Login后門在Unix里，login程序通常用來對telnet來的用戶進(jìn)行口令驗(yàn)證。入侵者獲取login。c的原代碼并修改，使它在比較輸入口令與存儲口令時先檢查后門口令。如果用戶敲入后門口令，它將忽視管理員設(shè)置的口令讓你長驅(qū)直入?！∵@將允許入侵者進(jìn)入任何賬號，甚至是root。由于后門口令是在用戶真實(shí)登錄并被日志記錄到utmp和wtmp前產(chǎn)生一個訪問的，所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種后門后，便用＂strings＂命令搜索login程序以尋找文本信息。許多情況下后門口令會原形畢露。入侵者就開始加密或者更好的隱藏口令，使strings命令失效。所以更多的管理員是用MD5校驗(yàn)和檢測這種后門的。Telnetd后門當(dāng)用戶telnet到系統(tǒng)，監(jiān)聽端口的inetd服務(wù)接受連接隨后遞給in。telnetd，由它運(yùn)行l(wèi)ogin。一些入侵者知道管理員會檢查login是否被修改，就著手修改in。telnetd。在in。telnetd內(nèi)部有一些對用戶信息的檢驗(yàn)，比如用戶使用了何種終端。典型的終端設(shè)置是Xterm或者VT100。入侵者可以做這樣的后門，當(dāng)終端設(shè)置為＂letmein＂時產(chǎn)生一個不要任何驗(yàn)證的shell。入侵者已對某些服務(wù)作了后門，對來自特定源端口的連接產(chǎn)生后門病毒清除解決方安圖一個shell。服務(wù)后門幾乎所有網(wǎng)絡(luò)服務(wù)曾被入侵者作過后門。finger，rsh，rexec，rlogin，ftp，甚至inetd等等的作了的版本隨處是。有的只是連接到某個TCP端口的shell，通過后門口令就能獲取訪問。這些程序有時用刺媧□？ucp這樣不用的服務(wù)，或者被加入inetd。conf作為一個新的服務(wù)。管理員應(yīng)該非常注意那些服務(wù)正在運(yùn)行，并用MD5對原服務(wù)程序做校驗(yàn)。Cronjob后門Unix上的Cronjob可以按時間表調(diào)度特定程序的運(yùn)行。入侵者可以加入后門shell程序使它在1AM到2AM之間運(yùn)行，那么每晚有一個小時可以獲得訪問。也可以查看cronjob中經(jīng)常運(yùn)行的合法程序，同時置入后門。庫后門幾乎所有的UNIX系統(tǒng)使用共享庫。共享庫用于相同函數(shù)的重用而減少代碼長度。一些入侵者在象crypt。c和＿crypt。c這些函數(shù)里作了后門。象login。c這樣的程序調(diào)用了crypt（），當(dāng)使用后門口令時產(chǎn)生一個shell。因此，即使管理員用MD5檢查login程序，仍然能產(chǎn)生一個后門函數(shù)。而且許多管理員并不會檢查庫是否被做了后門。對于許多入侵者來說有一個問題：一些管理員對所有東西多作了MD5校驗(yàn)。有一種辦法是入侵者對open（）和文件訪問函數(shù)做后門。后門函數(shù)讀原文件但執(zhí)行trojan后門程序。所以當(dāng)MD5讀這些文件時，校驗(yàn)和一切正常。但當(dāng)系統(tǒng)運(yùn)行時將執(zhí)行trojan版本的。即使trojan庫本身也可躲過MD5校驗(yàn)。對于管理員來說有一種方法可以找到后門，就是靜態(tài)編連MD5校驗(yàn)程序然后運(yùn)行。靜態(tài)連接程序不會使用trojan共享庫。內(nèi)核后門內(nèi)核是Unix工作的核心。用于庫躲過MD5校驗(yàn)的方法同樣適用于內(nèi)核級別，甚至連靜態(tài)連接多不能識別。一個后門作的很好的內(nèi)核是最難被管理員查找的，所幸的是內(nèi)核的后門程序還不是隨手可得，每人知道它事實(shí)上傳播有多廣。文件系統(tǒng)后門入侵者需要在服務(wù)器上存儲他們的掠奪品或數(shù)據(jù)，并不能被管理員發(fā)現(xiàn)。入侵者的文章常是包括exploit腳本工具，后門集，sniffer日志，email的備分，原代碼，等等。有時為了防止管理員發(fā)現(xiàn)這么大的文件，入侵者需要修補(bǔ)＂ls＂，＂du＂，＂fsck＂以隱匿特定的目錄和文件。在很低的級別，入侵者做這樣的漏洞：以專有的格式在硬盤上割出一部分，且表示為壞的扇區(qū)。因此入侵者只能用特別的工具訪問這些隱藏的文件。對于普通的管理員來說，很難發(fā)現(xiàn)這些＂壞扇區(qū)＂里的文件系統(tǒng)，而它又確實(shí)存在。Boot塊后門在PC世界里，許多病毒藏匿與根區(qū)，而殺病毒軟件就是檢查根區(qū)是否被改變。Unix下，多數(shù)管理員沒有檢查根區(qū)的軟件，所以一些入侵者將一些后門留在根區(qū)。隱匿進(jìn)程后門入侵者通常想隱匿他們運(yùn)行的程序。這樣的程序一般是口令破解程序和監(jiān)聽程序（sniffer）。有許多辦法可以實(shí)現(xiàn)，這里是較通用的：編寫程序時修改自己的argv［］使它看起來象其他進(jìn)程名?？梢詫niffer程序改名類似in。syslog再執(zhí)行。因此當(dāng)管理員用＂ps＂檢查運(yùn)行進(jìn)程時，出現(xiàn)的是標(biāo)準(zhǔn)服務(wù)名?？梢孕薷膸旌瘮?shù)致使＂ps＂不能顯示所有進(jìn)程?？梢詫⒁粋€后門或程序嵌入中斷驅(qū)動程序使它不會在進(jìn)程表顯現(xiàn)?！ootkit最流行的后門安裝包之一是rootkit。它很容易用web搜索器找到。從Rootkit的README里，可以找到一些典型的文件：z2?。emoves　entries　from　utmp，　wtmp，　and　lastlog。Es?。okstar＇s　ethernet　sniffer　for　sun4　based　kernels。Fix?。ry　to　fake　checksums，　install　with　same　dates／perms／u／g。Sl?。ecome　root　via　a　magic　password　sent　to　login。Ic?。odified　ifconfig　to　remove　PROMISC　flag　from　output。ps：?。ides　the　processes。Ns　－　modified　netstat　to　hide　connections　to　certain　machines。Ls?。ides　certain　directories　and　files　from　being　listed。du5?。ides　how　much　space　is　being　used　on　your　hard　drive。ls5?。ides　certain　files　and　directories　from　being　listed。網(wǎng)絡(luò)通行后門入侵者不僅想隱匿在系統(tǒng)里的痕跡，而且也要隱匿他們的網(wǎng)絡(luò)通行。這些網(wǎng)絡(luò)通行后門有時允許入侵  

后門病毒者通過防火墻進(jìn)行訪問。有許多網(wǎng)絡(luò)后門程序允許入侵者建立某個端口號并不用通過普通服務(wù)就能實(shí)現(xiàn)訪問。因?yàn)檫@是通過非標(biāo)準(zhǔn)網(wǎng)絡(luò)端口的通行，管理員可能忽視入侵者的足跡。這種后門通常使用TCP，UDP和ICMP，但也可能是其他類型報文。TCP　Shell　后門入侵者可能在防火墻沒有阻塞的高位TCP端口建立這些TCP　Shell后門。許多情況下，他們用口令進(jìn)行保護(hù)以免管理員連接上后立即看到是shell訪問。管理員可以用netstat命令查看當(dāng)前的連接狀態(tài)，那些端口在偵聽，目前連接的來龍去脈。通常這些后門可以讓入侵者躲過TCP　Wrapper技術(shù)。這些后門可以放在SMTP端口，許多防火墻允許e－mail通行的。UDP　Shell　后門管理員經(jīng)常注意TCP連接并觀察其怪異情況，而UDP　Shell后門沒有這樣的連接，所以netstat不能顯示入侵者的訪問痕跡。許多防火墻設(shè)置成允許類似DNS的UDP報文的通行。通常入侵者將UDP　Shell放置在這個端口，允許穿越防火墻。ICMP　Shell　后門Ping是通過發(fā)送和接受ICMP包檢測機(jī)器活動狀態(tài)的通用辦法之一。許多防火墻允許外界ping它內(nèi)部的機(jī)器。入侵者可以放數(shù)據(jù)入Ping的ICMP包，在ping的機(jī)器間形成一個shell通道。管理員也許會注意到Ping包暴風(fēng)，但除了他查看包內(nèi)數(shù)據(jù)，否者入侵者不會暴露。加密連接管理員可能建立一個sniffer試圖某個訪問的數(shù)據(jù)，但當(dāng)入侵者給網(wǎng)絡(luò)通行后門加密后，就不可能被判定兩臺機(jī)器間的傳輸內(nèi)容了。Windows　NT由于Windows　NT不能輕易的允許多個用戶象Unix下訪問一臺機(jī)器，對入侵者來說就很難闖入Windows　NT，安裝后門，并從那里發(fā)起攻擊。因此你將更頻繁地看到廣泛的來自Unix的網(wǎng)絡(luò)攻擊。當(dāng)Windows　NT提高多用戶技術(shù)后，　入侵者將更頻繁地利用　WindowsNT。如果這一天真的到來，許多Unix的后門技術(shù)將移植到Windows　NT上，　管理員可以等候入侵者的到來。Windows　NT已經(jīng)有了telnet守護(hù)程序。通過網(wǎng)絡(luò)通行后門，入侵者發(fā)現(xiàn)在Windows　NT安裝它們是可行的。解決當(dāng)后門技術(shù)越先進(jìn)，管理員越難于判斷入侵者是否侵入后者他們是否被成功封殺。編輯本段評估首先要做的是積極準(zhǔn)確的估計你的網(wǎng)絡(luò)的脆弱性，從而判定漏洞的存在且修復(fù)之。許多商業(yè)工具用來幫助掃描和查核網(wǎng)絡(luò)及系統(tǒng)的漏洞。如果僅僅安裝提供商的安全補(bǔ)丁的話，許多公司將大大提高安全性。MD5基準(zhǔn)線一個系統(tǒng)（安全）掃描的一個重要因素是MD5校驗(yàn)和基準(zhǔn)線。MD5基準(zhǔn)線是在黑客入侵前由干凈系統(tǒng)建立。　一旦黑客入侵并建立了后門再建立基準(zhǔn)線，那么后門也被合并進(jìn)去了。一些公司被入侵且系統(tǒng)被安置后門長達(dá)幾個月。所有的系統(tǒng)備份多包含了后門。當(dāng)公司發(fā)現(xiàn)有黑客并求助備份祛除后門時，一切努力是徒勞的，因?yàn)樗麄兓謴?fù)系統(tǒng)的同時也恢復(fù)了后門。應(yīng)該在入侵發(fā)生前作好基準(zhǔn)線的建立。入侵檢測隨著各種組織的上網(wǎng)和允許對自己某些機(jī)器的連接，入侵檢測正變的越來越重要。以前多數(shù)入侵檢測技術(shù)是基于日志型的。最新的入侵檢測系統(tǒng)技術(shù)（IDS）是基于實(shí)時偵聽和網(wǎng)絡(luò)通行安全分析的。最新的IDS技術(shù)可以瀏覽DNS的UDP報文，并判斷是否符合DNS協(xié)議請求。如果數(shù)據(jù)不符合協(xié)議，就發(fā)出警告信號并抓取數(shù)據(jù)進(jìn)行進(jìn)一步分析。同樣的原則可以運(yùn)用到ICMP包，檢查數(shù)據(jù)是否符合協(xié)議要求，或者是否裝載加密shell會話。從CD－ROM啟動一些管理員考慮從CD－ROM啟動從而消除了入侵者在CD－ROM上做后門的可能性。這種方法的問題是實(shí)現(xiàn)的費(fèi)用和時間夠企業(yè)面臨的。編輯本段警告由于安全領(lǐng)域變化之快，每天有新的漏洞被公布，而入侵者正不斷設(shè)計新的攻擊和安置后門技術(shù)，安枕無憂的安全技術(shù)是沒有的。請記住沒有簡單的防御，只有不懈的努力。[1]詞條圖冊更多圖冊參考資料 1電腦教育  http://www.qqread.com/virus/o395700.html開放分類：電腦，病毒，計算機(jī)病毒，計算機(jī)安全，后門病毒我來完善 “后門病毒”相關(guān)詞條：木馬木馬下載器木馬病毒蠕蟲病毒生物病毒鬼影木馬木馬下載器木馬病毒蠕蟲病毒生物病毒鬼影