hacker’sdoor后门程序查杀办法

2024年1月9日发(作者：)

hacker’sdoor后门程序查杀办法

据来自安全公司最新的报告数据显示，在它们扫描过的100多万台上网计算机中，检测到18.4万个Trojan

horse(特洛伊木马)或后门程序以及相同数量的系统监视程序(如键盘记录软件)，还有2900万个间谍软件。人们一般只谈“毒”色变，因为病毒一般会带来直接的破坏，例如删除数据、格式化硬盘等。对木马、后门和间谍软件却重视不够，其实它们比病毒的危害更大，有些像“慢性”的毒药，当发现自己的密码被盗、机密文件丢失时，已经为时已晚。

一、hacker's door(黑客之门)

hacker's

door是2004年9月份新出来的一个国产后门程序，现在已经更新至hacker's

door v1.2版本，包括:服务器端文件(应用于目标机器上的软件)、命令行客户端文件、(控制目标机器的软件)以及配置程序。hacker's door的隐蔽性很强，目前，多数后门都是采用加注册表启动项或加系统服务的启动方式，而hacker's door只有一个dll文件，可随着某些免费软件的安装进入Windows系统，进而感染系统文件，被感染的系统文件大小和日期一般都不会改变;并且hacker's door不需要后门用户以新开端口的方式和目标机器建立连接，只是重用系统进程开的任意一个端口，如80(http服务)、135(local-srv服务)、139(netbios-ssn服务)等，因而很难被发现。一般受感染的是安装了Windows

2000及以上操作系统的计算机。

二、分析hacker's

door的工作原理

hacker's

door，其实质就是一个远程控制软件。当Server端程序被成功加载到欲攻击方的电脑系统后，就会将自身作为线程插入到系统进程中，一般默认是进程，或者也可以通过命令行“rundll32

hkdoordll,DllRegisterServer

”(是要感染的进程，但、两个进程除外)感染其它进程。

还记得后门程序的特征之一——端口么,所有的后门程序只要进行连接，只要接受/发送数据，则必然会使用端口，hacker's

door也不例外;通过工具(如xport)，它对已经被安装了hacker's door

Server端程序的目标机器进行端口扫描，获取处于打开状态的端口，这个端口就是“后门”(BackDoor)，利用这个后门，攻击者能够通过网络进入目标机器，进而取得控制权，对目标机器进行跟踪监视、控制、查看、修改资料等操作(如图1)。

图1 连接后门后利用getsysinfo命令可以查看目标机器系统信息

三、应对策略

知道hacker's

door及其工作原理，我们就可以按照以下步骤把它清除干净。

(1)查找hacker's door的文件

hacker's door在系统的存在形式是采用线程插入技术，本身没有进程。通常，我们可以轻易地找出“正在执行中的进程”，但要找出“正在执行中的线程”则不容易，因而需要通过一些杀毒或防火墙软件(如McAfee

VirusScan 8i)来查出hacker's door，当然，也可通过手工方式:

1)检查%winnt%system32目录下是否存在文件，或者%winnt%temp目录下是否存在文件(hacker's

door在安装过程中会生成一个日志文件，用以记录安装信息——成功或失败，旧版的日志文件为，从1.1版本开始，则为)，如果存在，则可确定系统感染了hacker's

door。

2)hacker's door服务器端的dll加载到进程中，默认的文件名是，但在实际的加载过程中，也可改成和系统文件相似的名字，这就具有了一定的隐藏性，因此，在查找系统中哪些进程感染了hacker's

door之前，我们需要先确定加载到进程中的hacker's door服务器端文件名。

图2 在ultraEdit下查看的特征码

使用如ultraEdit这样的文本编辑器查看，发现文件中包含有“yyt_hac”字眼(如图2)，这是hacker's

door的特征码。因而，采用在%winnt%system32目录下查找包含“yyt_hac”字眼的文件就可以找到hacker's door服务器端文件。

3)依据上一步所确认的hacker's door服务器端文件(如图3所示，用ultraEdit查找功能在指定目录中找到包含“yyt_hac”字眼的文件是，它即为hacker's door服务器端文件)，在%winnt%system32使用同样办法查找包含该文件名字眼的文件，假设找到的文件是，那它就是被hacker's

door感染的系统文件。

图3 在ultraEdit中的查找结果

(2)清除

找到hacker's

door程序和所有被其感染的系统文件后，我们就按照特定的方法将这个后门程序清除干净。最直接的办法就是删除hacker's

door的程序文件，但由于已经以线程的形式插入到或别的系统进程中，需要停止主进程才能删除hacker's

door的程序文件，而系统进程一般默认规定是不允许停止的，这就相当不方便清除了。对于这个问题，目前有两种解决方案:一是认为只能重新格式化硬盘，重新安装操作系统;二是提出用Windows

2000/XP/2003自带的故障恢复控制台，提取Windows 2000/XP/2003安装光盘中的“健康”文件替换被感染的系统文件。

这两种解决方案，实际操作都较麻烦。由于进入系统后，等这些被感染的系统文件就会被操作系统锁定，是不能直接替换的，笔者经过测试，发现可以通过一个工具来替换正在运行的程序文件，这就是IceSword程序，一个木马查杀工具(但它不能直接查杀hacker's

door)，这样就避免了重新安装的复杂性。

现在的系统级后门功能越来越强大，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具(比如一些进程工具、端口工具)根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门无处可躲。点击IceSword左边的“文件”项，打开一个类似资源管理的窗口(如图4)，可别小看它的功能，因为它具备反隐藏、反保护的功能。

图4 IceSword运行界面

例如，刚才我们想替换上一步检测到受感染的文件，通常的办法就是进入DOS环境中或者利用故障恢复控制台才能替换该文件。IceSword中就简单了，在“文件”项中找到正常的文件，点击右键并选择选择“复制”命令，然后要求输入目标文件路径，这里浏览选择正在使用中的受感染的文件，确定后，前面复制的正常文件的内容就写入后面的受感染文件中了。

重新启动后，系统就正常了，然后再删除后门程序“”，并采取常用的防御措施，加强系统的防御能力，hacker's

door就远离你的计算机了。

经过测试可知，上述这种方法可以适用于清除采用类似hacker’s door的线程插入(嵌入式DLL)技术的后门、木马或病毒程序。当然，我们所处的环境每天都会出现新的漏洞，即使尽全力让某一套操作系统达到固若金汤的地步，还是会有其它发生新漏洞的操作系统出现。真正的防御必须是以人的管理操作为主体，而不是一味依赖机器代码。