檢測后門程序與清除惡意軟件問答

 

　　什么是后門程序？

 

　　后門程序是指能夠以管理員身份訪問計算機或網絡的程序。后門程序能夠訪問系統的BIOS而且并不總是出于惡意設計的。但是BIOS后門攻擊能導致硬件驅動器被擦除和被重新映像。

 

　　事實上，后門程序的源頭可能令人震驚，而且可能像病毒和間諜軟件那樣給我們帶來麻煩。Sysinternals安全專家Mark Russinovich曾經發(fā)現索尼音頻CD上的數字版權管理(DRM)組件在他的計算機上安裝了一個后門程序。

 

　　F-Secure 芬蘭公司的反病毒研究主管Mikko Hypponen說，“這為病毒制造者創(chuàng)造了機會。這些后門程序可能被任意惡意軟件利用，當出現這一局面時，對于像我們這樣的公司來說，在正當的軟件與惡意軟件之間做出區(qū)分將變得更加困難。”

 

　　事實已經證明，除了64位Windows操作系統，虛擬機和智能手機容易遭受后門程序的攻擊，因此學習并應用后門程序檢測以及移除的最佳實踐將是個不錯的主意。

 

　　如何發(fā)現后門程序？

 

　　后門程序已經在很多產品中出現了，包括商業(yè)安全產品以及看似沒有問題的第三方應用擴展。并沒有一門非常精確的科學能夠找到并移除后門程序，這是因為后門程序可以通過多種方式安裝在計算機上。沒有單一的工具能夠正確地識別所有的后門程序以及類似后門的行為。

 

　　為了判斷后門程序是否正在運行，可以使用系統進程分析器比如Sysinternals公司的ProcessExplorer或者效果更好的網絡分析器。你可能將會對程序所做的一切以及網絡適配器上的流量感到吃驚。你可能還會發(fā)現負荷過重的系統運行在只有很少內存或者硬盤驅動器碎片非常嚴重的機器上。檢查一下系統的配置然后運行后門掃描程序。

 

　　1.掃描系統內存。當進程被調用時，對所有的入口點進行監(jiān)控，對可能被欺騙或者重定向到其他函數的輸入類庫(來自于動態(tài)鏈接庫)調用進行追蹤，加載設備驅動器，等等。采用這種方法檢測后門程序的缺點是單調乏味，消耗時間而且無法計算后門程序被引入到系統中的所有可能的方式。

 

　　2.尋求真相——揭露API欺詐。針對Windows的一個后門檢測應用是由Windows安全分析師Bryce Cogswell和Mark Russinovich開發(fā)的。這一輕量級的二進制程序監(jiān)視文件系統位置以及注冊表配置單元，尋找隱藏在Windows API背后的信息：主文件表和活動索引。除此之外，《顛覆Windows內核：后門程序》一書的作者開發(fā)了稱為VICE的工具，能夠調用表和函數指針，系統地捕獲API中的欺詐。

 

　　3.了解最新的防病毒以及惡意軟件防護程序。安全廠商比如F-Secure提供了單獨的后門程序檢測工具。微軟已經在其自己的惡意軟件清除工具中實現了后門程序檢測特性。選擇最好的掃描工具進行后門程序檢測，并將其作為整體安全防護的一部分是非常重要的，但是你可能還需要進行手動的搜索。

 

　　4.防火墻防護升級。請記住，潛在的攻擊可能相當隱蔽，一旦服務器被盜用，黑客一定能夠重新登錄到這臺機器上。盡管防火墻對應用級的風險毫無辦法，但當禁止重新登錄到被攻擊的機器將給黑客構成重大的挑戰(zhàn)。

 

　　5.對工作站或服務器進行加固，應對攻擊。首先，這一前瞻性的手段避免了黑客在工作站或服務器上安裝后門程序。可以參考美國國家安全局發(fā)布的對Windows系統進行加固的指南。

 

　　如何移除后門程序？

 

　　在受害主機上安裝后門程序相對容易。為上傳后門程序，黑客可能做任何事去找到Windows的脆弱性來破解密碼甚至獲得物理系統的訪問權。他們甚至能夠進行釣魚式攻擊，此時黑客引誘用戶打開附件中的可執(zhí)行文件或者點擊郵件或即時消息中的超鏈接。一旦用戶執(zhí)行這些操作，就很難擺脫后門程序了。

 

　　由于后門程序的威脅并不像病毒和間諜軟件那樣普遍，因此移除后門程序主要是一個應對過程。一旦發(fā)現了惡意軟件，你需要清除被感染的Windows文件并在移除后門程序后進行二次檢查。

 

　　有哪些后門移除工具？

 

　　微軟的Windows加密、微軟安全軟件Microsoft Security Essentials以及Windows BitLocker驅動器加密能夠為移除后門程序提供幫助。此外，據微軟所說，Windows 8將包括增強安全性的特性。

 

　　除了上文提及的Sysinternals以及F-Secure安全產品外，還有一些第三方的套件能夠移除Windows系統中的后門程序。

 

　　例如，Sophos Anti-Rootkit有一個安裝程序，必須手動運行。這款程序能夠與用戶進行更多的交互，但是它掃描系統的速度也更慢。另一個后門程序掃描程序就是Rootkit Hook Analyzer。你可以試用上述所有產品了解哪款產品最符合你的需求。

 

　　為什么移除后門程序前要進行備份？

 

　　不要忘了在移除后門程序和僵尸網絡前進行合理的備份，這讓恢復系統變得更加簡單。據安全專家Kevin Beaver所說，使用清潔工具移除后門程序后，可能使Windows處于不穩(wěn)定或者不可操作的狀態(tài)，這取決于被感染的文件以及隨后進行的清除操作。也許更加糟糕的是，編碼良好的后門可能會檢測到移除進程而自我銷毀，將系統中的數據一同毀滅。

 

　　閱讀用戶指南，以確定你的掃描工具在移除后門程序過程中需要哪些特殊操作。發(fā)現并清除后門程序、重新啟動Windows操作系統之后，重新對系統進行掃描，再次檢查確保系統是干凈的，惡意軟件沒有重新出現。

 

　　此外，解除Windows安全威脅的最佳方法是阻止惡意軟件影響企業(yè)系統和連接到企業(yè)網絡的重要系統。

 

　　仍舊對后門程序感染有些偏執(zhí)？想確定你的系統足夠干凈？最好也是最可靠的方式就是重新分區(qū)，重新格式化并重新裝載Windows操作系統。恢復Windows系統很痛苦，但確實需要關閉無法移除的后門程序時這將是最好的方式。
 

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206