检测后门程序与清除恶意软件问答

 

　　什么是后门程序？

 

　　后门程序是指能够以管理员身份访问计算机或网络的程序。后门程序能够访问系统的BIOS而且并不总是出于恶意设计的。但是BIOS后门攻击能导致硬件驱动器被擦除和被重新映像。

 

　　事实上，后门程序的源头可能令人震惊，而且可能像病毒和间谍软件那样给我们带来麻烦。Sysinternals安全专家Mark Russinovich曾经发现索尼音频CD上的数字版权管理(DRM)组件在他的计算机上安装了一个后门程序。

 

　　F-Secure 芬兰公司的反病毒研究主管Mikko Hypponen说，“这为病毒制造者创造了机会。这些后门程序可能被任意恶意软件利用，当出现这一局面时，对于像我们这样的公司来说，在正当的软件与恶意软件之间做出区分将变得更加困难。”

 

　　事实已经证明，除了64位Windows操作系统，虚拟机和智能手机容易遭受后门程序的攻击，因此学习并应用后门程序检测以及移除的最佳实践将是个不错的主意。

 

　　如何发现后门程序？

 

　　后门程序已经在很多产品中出现了，包括商业安全产品以及看似没有问题的第三方应用扩展。并没有一门非常精确的科学能够找到并移除后门程序，这是因为后门程序可以通过多种方式安装在计算机上。没有单一的工具能够正确地识别所有的后门程序以及类似后门的行为。

 

　　为了判断后门程序是否正在运行，可以使用系统进程分析器比如Sysinternals公司的ProcessExplorer或者效果更好的网络分析器。你可能将会对程序所做的一切以及网络适配器上的流量感到吃惊。你可能还会发现负荷过重的系统运行在只有很少内存或者硬盘驱动器碎片非常严重的机器上。检查一下系统的配置然后运行后门扫描程序。

 

　　1.扫描系统内存。当进程被调用时，对所有的入口点进行监控，对可能被欺骗或者重定向到其他函数的输入类库(来自于动态链接库)调用进行追踪，加载设备驱动器，等等。采用这种方法检测后门程序的缺点是单调乏味，消耗时间而且无法计算后门程序被引入到系统中的所有可能的方式。

 

　　2.寻求真相——揭露API欺诈。针对Windows的一个后门检测应用是由Windows安全分析师Bryce Cogswell和Mark Russinovich开发的。这一轻量级的二进制程序监视文件系统位置以及注册表配置单元，寻找隐藏在Windows API背后的信息：主文件表和活动索引。除此之外，《颠覆Windows内核：后门程序》一书的作者开发了称为VICE的工具，能够调用表和函数指针，系统地捕获API中的欺诈。

 

　　3.了解最新的防病毒以及恶意软件防护程序。安全厂商比如F-Secure提供了单独的后门程序检测工具。微软已经在其自己的恶意软件清除工具中实现了后门程序检测特性。选择最好的扫描工具进行后门程序检测，并将其作为整体安全防护的一部分是非常重要的，但是你可能还需要进行手动的搜索。

 

　　4.防火墙防护升级。请记住，潜在的攻击可能相当隐蔽，一旦服务器被盗用，黑客一定能够重新登录到这台机器上。尽管防火墙对应用级的风险毫无办法，但当禁止重新登录到被攻击的机器将给黑客构成重大的挑战。

 

　　5.对工作站或服务器进行加固，应对攻击。首先，这一前瞻性的手段避免了黑客在工作站或服务器上安装后门程序。可以参考美国国家安全局发布的对Windows系统进行加固的指南。

 

　　如何移除后门程序？

 

　　在受害主机上安装后门程序相对容易。为上传后门程序，黑客可能做任何事去找到Windows的脆弱性来破解密码甚至获得物理系统的访问权。他们甚至能够进行钓鱼式攻击，此时黑客引诱用户打开附件中的可执行文件或者点击邮件或即时消息中的超链接。一旦用户执行这些操作，就很难摆脱后门程序了。

 

　　由于后门程序的威胁并不像病毒和间谍软件那样普遍，因此移除后门程序主要是一个应对过程。一旦发现了恶意软件，你需要清除被感染的Windows文件并在移除后门程序后进行二次检查。

 

　　有哪些后门移除工具？

 

　　微软的Windows加密、微软安全软件Microsoft Security Essentials以及Windows BitLocker驱动器加密能够为移除后门程序提供帮助。此外，据微软所说，Windows 8将包括增强安全性的特性。

 

　　除了上文提及的Sysinternals以及F-Secure安全产品外，还有一些第三方的套件能够移除Windows系统中的后门程序。

 

　　例如，Sophos Anti-Rootkit有一个安装程序，必须手动运行。这款程序能够与用户进行更多的交互，但是它扫描系统的速度也更慢。另一个后门程序扫描程序就是Rootkit Hook Analyzer。你可以试用上述所有产品了解哪款产品最符合你的需求。

 

　　为什么移除后门程序前要进行备份？

 

　　不要忘了在移除后门程序和僵尸网络前进行合理的备份，这让恢复系统变得更加简单。据安全专家Kevin Beaver所说，使用清洁工具移除后门程序后，可能使Windows处于不稳定或者不可操作的状态，这取决于被感染的文件以及随后进行的清除操作。也许更加糟糕的是，编码良好的后门可能会检测到移除进程而自我销毁，将系统中的数据一同毁灭。

 

　　阅读用户指南，以确定你的扫描工具在移除后门程序过程中需要哪些特殊操作。发现并清除后门程序、重新启动Windows操作系统之后，重新对系统进行扫描，再次检查确保系统是干净的，恶意软件没有重新出现。

 

　　此外，解除Windows安全威胁的最佳方法是阻止恶意软件影响企业系统和连接到企业网络的重要系统。

 

　　仍旧对后门程序感染有些偏执？想确定你的系统足够干净？最好也是最可靠的方式就是重新分区，重新格式化并重新装载Windows操作系统。恢复Windows系统很痛苦，但确实需要关闭无法移除的后门程序时这将是最好的方式。
 

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206