软件后门

硬件后门是硬件在设计或制造时存在的漏洞，例如芯片制造时设计一些具有后门功能的逻辑电路。软件后门可以理解为在软件中植入病毒等具有后门功能的代码，通过运行软件来对用户的系统造成破坏、窃取机密等。因为软件逻辑和硬件逻辑是不分家的，所以后门应从软、硬件两方面来讲。

硬件的黑客技术前几年，微软公司曾经对硬件黑客侵犯其Xbox设备的行为采取了法律与技术措施。索尼公司的PS2游戏机也成为一些专门修改芯片的黑客的目标，其核心技术Sony的记忆棒被破解。美围苹果公司新推出的iPhone3GS的加密系统也被硬件黑客破解，造成磁盘文件数据可以被实时偷走。1

对软件后门的攻击(1)2009年1 1月，江苏省公安厅破获“温柔”黑客团伙案，该团伙利用木马、后门等方式窃取网游账号，非法入侵各类网站1200多个，至少造成800万个游戏玩家的游戏账号密码、游戏装备被盗，涉案金额高达3000万元。

(2)2009年6月，一名15岁的韩国少年利用“后门”软件，入侵了烟台一家网络运营商的核心路由器，造成烟台大量网吧拥堵达一个多小时，造成直接经济损失4万多元。

(3)2010年4月27日，科技资讯网Cnet报道，著名安全防护公司Bitdefender最新调查发现，黑客将垃圾邮件伪装成iTunes升级补丁，欺骗iPad平板电脑用户下载安装，然后利用恶意代码在iPad中开启后门程序为其进一步破坏活动做准备。据Bitdefender反病毒专家沙比纳·达特库介绍，该邮件的主题为“iPad软件升级程序”，附带一个与苹果官网地址极为相似的网页链接。但实际上该链接的页面内容是Bifrose.AADY后门间谍程序，能够隐藏于explorer.exe进程中，黑客利用该后门可以轻易地取得系统控制权。2

间谍软件间谍软件的定义是收集有关目标用户或系统的数据并将其发回给另一方的软件。某些间谍软件还有一些另外的令人讨厌的副作用，您对此必须有所了解。其中之一就是通过间谍软件本身在系统中创建后门。后门是一个常用术语，意指系统的第二个访问点。过去，程序员经常会在他们的程序中留下后门，以便在未来能够轻松绕过程序的某些部分。这样做的目的是在调试复杂的应用程序时降低固有的困难程度。随着时间的推移，这项技术也出现了变化，其目的不再像过去那样单纯了。相反，现在的后门已经被当作是应用程序或系统中的安全突破口来对待了。

间谍软件与其他任何程序一样，能够执行多种功能。在某些情况下，对于缺乏职业道德的程序员来说，软件不仅可以充当间谍软件，还可以充当系统的后门。因为大多数间谍软件行事非常隐秘，用户甚至可能不知道自己的系统上存在间谍软件，更不必说后门了。这在企业环境中特别关键，因为一个小小的安全隐患可能很快演变为整个公司的大灾难。当然，后门也有两种工作方式：与间谍软件一起安装或者用于安装间谍软件。例如，如果另一个恶意软件已经安装在系统中，比如一个特洛伊木马，该系统就可能已经存在后门。然后，入侵者就可以使用这个后门来安装其他软件，包括间谍软件。2

间谍软件创造后门的过程间谍软件创造后门的方式多种多样，这取决于后门的用途是什么。后门最简单的形式是在后台运行的应用程序，充当外部客户端的服务器端应用程序。这个服务器应用程序可以提供很多功能，包括远程访问、远程键盘记录和远程屏幕捕捉。服务器端应用程序提供的这些功能决定了它的复杂性。

在这个例子中，攻击者可以使用间谍软件以两种方式安装这类后门应用程序。第一种方式是，间谍软件除了行使其间谍软件功能之外，还行使后门的功能。这将涉及到收集和发送私有的系统数据，这对于间谍软件的构成和持续在后台运行以支持后门功能是必要的。

第二种方式叫做投载程序(dropper)。在这种方式中，间谍软件应用程序只执行它原本收集和发送数据的功能。然而，在安装时，间谍软件应用程序启动了用于安装后门的第二个安装程序。实际上，间谍软件把后门“投到(drop)”了系统上，但其本身未行使后门的功能。

考虑安装投载程序的方法时，应该记住这并非间谍软件应用程序的预期功能。在某些情况下，攻击者可以在构建和修改间谍软件应用程序之后，把它修改为一个投载程序。这类似于病毒可以把一些可执行文件变为它本身的安装程序。在这种情况下，首要的应用程序-间谍软件-就好像原本就具有投载功能一样。攻击者可以通过使用一些包装应用程序或很多其他方法来加入这个投载程序。

后门的另一种形式与客户端/服务器风格的功能有所区别：后门保持静止，直到收到某种形式的触发器为止。这类后门更加难于检测，因为它不会在系统上留下可以扫描到的活动端口。相反，这类后门在后台悄无声息地运行，等待触发器的到来，或者由一些其他的方法启动。

这类后门与使用间谍软件创造后门十分相似。不同之处在于，这类后门需要激活才会运行，而不是悄悄地运行。在这个例子中，间谍软件可以为后门应用程序提供触发器的额外功能。间谍软件可以等到检测到某种形式的数据，比如浏览了一个特定的Web站点，然后自动启动后门应用程序。

间谍软件和后门功能的所有这些组合让很多企业大伤脑筋。企业可以使用某些工具或技术来保持对间谍软件的免疫力，但是仍然有可能安装上后门。您必须小心翼翼地确保在企业环境中监控和控制后门。这意味着，任何用于预防间谍软件的安全方法还必须要考虑后门，反之亦然。1

本词条内容贡献者为:

王宁 - 副教授 - 西南大学