黑客初级技术简述

　　<12>隐匿进程后门

　　入侵者通常想隐匿他们运行的程序，这样的程序一般是口令破解程序和监听程序 (sniffer)，有许多办法可以实现，这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行，因此 当管理员用"ps"检查运行进程时，出现 的是标准服务名。可以修改库函数致使 "ps"不能显示所有进程，可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是

　　amod.tar.gz :

　　http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html网络通行. 这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端 口号并不用通过普通服务就能实现访问. 因为这是通过非标准网络端口的通行，管理 员可能忽视入侵者的足迹. 这种后门通常使用TCP，UDP和ICMP，但也可能是其他类型报文。

　　<14>TCP Shell 后门

　　入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下，他 们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat ming令查看当前的连接状态，那些端口在侦听，目前连接的来龙去脉. 通常这些后门可 以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口，许多防火墙允许 e-mail通行的.

　　<15>UDP Shell 后门

　　管理员经常注意TCP连接并观察其怪异情况，而UDP Shell后门没有这样的连接，所以 netstat不能显示入侵者的访问痕迹，许多防火墙设置成允许类似DNS的UDP报文的通行，通常入侵者将UDP Shell放置在这个端口，允许穿越防火墙。

　　<16>ICMP Shell 后门

　　Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器，入侵者可以放数据入Ping的ICMP包，在ping的机器间形成一个shell通道，管理员也许会注意到Ping包暴风，但除了他查看包内数据，否者入侵者不会暴露。

　　<17>加密连接

　　管理员可能建立一个sniffer试图某个访问的数据，但当入侵者给网络通行后门加密 后，就不可能被判定两台机器间的传输内容了

上一页  [1] [2] [3] [4]