انطلاق backdoors تلقائيا

عندما يكون المهاجم راحة الى النظام وتثبيت أ مستتر ، وأعربت عن سعادة او يدويا وينشط عادة فان برنامج مستتر. ومع ذلك ، عندما المهاجم جذوع الاشجار خارج جهازك ، وقال انه او انها لم تعد في السيطرة المباشره للنظام. ذلك ، فماذا يبقى ان مستتر بالظهور على اليومي أساس بعد ترك اثرا سيئا غي؟ افترض أ مزعج مدير النظام يعيد تشغيل النظام ، او الاسوأ من ذلك ، فان الآلة تحطم. عندما يبدأ الصندوق مرة اخرى ، مستتر لن يتم تشغيل اى اكثر من ذلك ، نفى المهاجم حالته التي يصعب الوصول قاتل. لمعالجة هذا القلق ، عادة ماكره الوغد يغير آلة لاستئناف مستتر تلقائيا على أساس دوري ، وخصوصا خلال نظام الحذاء العملية. في هذا القسم ، سنقوم مناقشة كيفية التلاعب سيئة الرجال النظم للتأكد منها backdoors تلقائيا عند بدء التشغيل. لأن هذه الاساليب حتى يتوقف الى حد كبير على نوع النظام ، وسنقوم بتحليل ويندوز ويونيكس مستتر ابتداء من آليات منفصلة.

انشاء ويندوز backdoors لبدء

نوافذ آلات مختلفة تعج التلقائي بدء برنامج قدرات. اي مكان يمكن ان المهاجم باسم احد قابل للتنفيذ البرنامج او السكريبت في اي واحد من مجموعة متنوعة من المواقع لديها نظام التشغيل تلقائيا ان يبدأ البرنامج. وبصفة عامة ، وآلات العرض ويندوز ثلاثة انواع مختلفة من آليات لتلقائيا بدءا الخبيثه (او حتى nonmalicious) المدونه : حفنة من تشغيل تلقائي الملفات والمجلدات ، وعدد وفير من قلم اعدادات ، والمقرر ان المهام.

بدء تغيير الملفات والمجلدات

دعنا نبدأ بمناقشة الملفات والبدء folders.the الجدول ادناه يصف العديد من المواقع التي سوف تلقائيا تفعيل برامج التعسفي والكتابات على نظام ويندوز عندما وقعت احداث معينة ، مثل نظام معين او الحذاء المستخدم تسجيل الدخول الى الالة. وهو مهاجم يمكن ان تشمل اسم واحد مستتر البرنامج في اي من هذه الملفات او المجلدات الى نحصل عليها تلقائيا الى البعيد على النظام المستهدف.

ويندوز بدء الملفات والمجلدات
اسم الملف او المجلد	كيف ملف او مجلد يمكن تغييرها تلقائيا الى تنشيط مستتر
تشغيل تلقائي المجلدات	المهاجم يضع مستتر او وصله الى انه في هذه المجلدات ، الذي يجري العمل على بدء او حين مستخدم على جذوع الاشجار الى النظام. على win95/98/me ، مجلد واحد تحمل هذه المعلومات ، التي تقع في ج : \ نوافذ \ قائمة أبدا \ البرامج \ بدء التشغيل. Winnt/2000/xp/2003 تشمل نظم تشغيل تلقائي مجلد ، وعادة ما تصاحب "جميع المستخدمين ،" فضلا عن الفرديه تشغيل تلقائي للمجلدات المستخدمين الافراد ، التي تقع في الاماكن التالية : Winnt - ج : \ winnt \ لمحات \ [user_name] \ قائمة أبدا \ البرامج \ بدء Win2000 - ج : \ المستندات والاعدادات \ [user_name] \ قائمة أبدا \ البرامج \ بدء و(اذا رفع مستواها من ويندوز NT) وج : \ winnt \ لمحات \ [user_name] \ قائمة أبدا \ البرامج \ بدء Winxp/2003- c : \ المستندات والاعدادات \ [user_name] \ قائمة أبدا \ البرامج \ بدء
Win.ini	Win.ini تتضمن معلومات عن تشغيل نظام التشغيل. هذا الملف يمكن تغيير لبدء مستتر في بطريقتين. اولا ، انه يمكن مباشرة تنفيذ برنامج لالمشار اليها في الملف ، باستخدام النص "البعيد = [مستتر]" او "حموله = [مستتر]". ثانيا ، يمكن له ان بعض المنتسبين لاحقة (سياسي ، ". الدكتور "أو". الانترنت ") مع برنامج مستتر من شأنها ان تدير كل مرة مع هذا الملف هو اللاحقه التي ينفذها النظام. هذا الملف يختلف المكان ، وانما هي عادة موجودة في : Win95/98/me- c : \ نوافذ \ win.ini Winnt/2000- c : \ winnt \ win.ini Winxp/2003- c : \ نوافذ \ win.ini
System.ini	يحتوي هذا الملف على الاعدادات لأجهزة النظام. على ويندوز قديم ويندوز C1 ، ويؤيد هذا الملف "شل =" القيادة ، التي تستخدم لتحديد مستخدم لاطلاق قذيفه على نظام الحذاء الوقت. شل سيتم الرئيسي وصلة البرنامج ان جميع يراها المستخدمون عند الحذاء الآلة. المهاجمون كثيرا ما تعدل الخط "شل = explorer.exe" ان ذلك ، وبدلا من بدء تشغيل ويندوز اكسبلورر واجهة المستخدم الرسوميه ، ينفذ نظام آ مستتر في حين ان نظام الاحذيه. فان مستتر ثم في المقابل ، يبدأ الفعلي للمستخدم شل ، والتي عادة ما تكون explorer.exe. على احدث اصدارات ويندوز (winnt/2000/xp/2003) ، ونظام التشغيل يتجاهل "شل =" لغوي في system.ini. ولذا ، فان هذه الطريقة لا تستخدم لبدء هذه مستتر على احدث نظم التشغيل. هذا الملف هو عادة تقع في الاماكن التالية : Win95/98/me- c : \ نوافذ \ system.ini Winnt/2000- c : \ winnt \ system.ini نوافذ xp/2003- ج : \ نوافذ \ system.ini
Wininit.ini	هذا الملف هو اوجدتها عند اعداد برامج جديدة البرمجيات هو تركيب بعض والعمل مطلوب من قبل النظام لاكمال عملية التثبيت بعد اعادة التشغيل. فعلى سبيل المثال ، عندما لكم تركيب معدات جديدة سائق ، يا تركيب البرنامج قد جعل لكم نظام اعادة التشغيل. وكما هو اعادة تشغيل النظام ، ودخول في wininit.ini يخوض بعض البرنامج خلال عملية الحذاء. وبدلا من ذلك ، ان هذا الملف يمكن ان تستخدم لسرقة اسم بعض الشاءعه الاستخدام وقابل للتنفيذ ان يسند الى مستتر. عندما يستخدم ، الملف هو عادة موجودة في : Win95/98/me- c : \ نوافذ \ wininit.ini Winnt/2000- c : \ winnt \ wininit.ini نوافذ xp/2003- ج : \ نوافذ \ wininit.ini
Winstart.bat	في نظم ويندوز القديمة (وين C1) ، وهذا الملف هو تستخدم عادة لبدء القديمة ام اس - دوس برامج في بيئة ويندوز. وهو مهاجم يمكن ان يشمل ذلك تمشيا مع النحو "@ [مستتر]" تديرين قابل للتنفيذ وتخفي قلقها من المستخدم. اذا كان الحاضر ، وسوف تكون عادة موجودة في ج : \ winstart.bat.
Autoexec.bat	هذا الملف هو ذات الصلة فقط على انظمة ويندوز 95/98. ومن تجاهلها على ويندوز لي ، NT ، 2000 ، اكس بي ، و 2003. بالنسبة الى الوراء التوافق ، وانها تؤيد اطلاق برامج ببساطة عن طريق خط بما ان يشير الى ملف البرنامج ، مثل "c : \ [مستتر]". اذا كان الحاضر ، وسوف تكون عادة موجودة في ج : \ autoexec.bat.
Config.sys	هذا الملف هو ذات الصلة فقط على انظمة ويندوز 95/98. ومن تجاهلها على ويندوز لي ، NT ، 2000 ، اكس بي ، و 2003. هذا الملف الاحمال منخفضه المستوى ام اس - دوس القائم على السائقين ، وغير مدرج على بعض أنظمة ويندوز. ويمكن ان يشمل ذلك خط لتنفيذ مستتر. اذا كان هذا هو ، هذا الملف وعادة ما تقع في ج : \ config.sys.

سجل التجاوزات

أبعد من الملفات والمجلدات ، وسجل العديد من المفاتيح يمكن ان يساء استعمالها لغرض تفعيل تلقائيا أ مستتر. قلم هو عملاق قاعدة البيانات التفصيليه الاسكان تشكيل لنظام التشغيل ويندوز والبرامج المختلفة التي يتم تركيبها على المربع. كل من المفاتيح يمكن تغييره باستخدام برنامج regedit.exe ، أ قلم المحرر في صلب النوافذ nt/2000/xp/2003 آلات. اذا كنت تخطط لتجربة مع أي من هذه المفاتيح ، فمن المهم للغاية ان تدلوا احتياطيه من جهازك قبل اللف قلم المحكمه. اذا كنت مصادفه ان يغير بعض الحرجه الرئيسية في السجل الخاص بك ، انت يمكن تماما خرطوم جهازك ، مما يجعلها unbootable. ذلك ، الرجاء توخي الحذر. الحرجه قلم المفاتيح آليا لانطلاق برامج مبين ادناه :

قلم مفاتيح على ان تبدأ برامج اعادة التشغيل او تسجيل الدخول
مفتاح التسجيل	الغرض من المفتاح
Hklm \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ runservicesonce	بعض البرامج يتم تركيبها الى البعيد في الخلفية على آله ويندوز ، باعتبارها خدمة ، مثل IIS ملقم الويب أو ملف تقاسم الخدمات والمطبوعات. هذا مفتاح التسجيل تحدد الخدمات التي ينبغي ان تبدأ خلال المقبل اعادة التشغيل واعادة التشغيل المقبلة فقط. لجميع اللاحقه الاحذيه ، والخدمات لن تكون بدات
Hklm \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ runservices	هذا مفتاح التسجيل تحتوي على قائمة من الخدمات المزمع اطلاقها في كل نظام الحذاء.
Hklm \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ runonce	هذا مفتاح التسجيل الذي يحدد برامج (لا الخدمات) ينبغي ان تبدأ خلال المقبل اعادة التشغيل واعادة التشغيل المقبلة فقط. لجميع الاحذيه لاحقة ، لن تكون البرامج المنفذة.
Hklm \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ البعيد	هذه البرامج المنفذة خلال نظام الحذاء.
Hklm \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ runonceex	غير متوفر الا على ويندوز 98 ولي ، وهذا مفتاح التسجيل يدل على مخطوطات والبرامج التي هي لتشغيلها في الوقت الحذاء ، ولكن لا ينبغي ان تبدأ عمليات منفصلة. لتحسين الكفاءه ، وهذه البرامج ليست كما تدير عمليات منفصلة ، ولكنها بدلا من التذرع منفصلة خيوط الحذاء داخل مختلف العمليات الاخرى.
Hklm \ برامج \ مايكروسوفت \ ويندوز NT \ currentversion \ winlogon \ userinit	هذا المفتاح يحتوي على أسماء برامج لاعدموا عندما يكون أي مستخدم على سجلات النظام. وعادة ما يشير المستخدم واجهة المستخدم الرسوميه
Hklm \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ shellserviceobjectdelayload	هذا مفتاح التسجيل بعد ان ينشط برامج ويندوز واجهة المستخدم الرسوميه حتى يبدأ ، مثل نظام الصينية في اسفل الركن الايمن من ويندوز ومحتوياته.
Hklm \ برامج \ سياسات \ مايكروسوفت \ نوافذ \ نظام \ مخطوطات	هذا المفتاح يحدد مختلف الكتابات التي ستنفذ عندما يصل نوافذ الاحذيه.
Hklm \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ سياسات \ اكسبلورر \ البعيد	البرامج التي حددتها هذه هي مفتاح التسجيل عندما بدأت المستخدم واجهة المستخدم الرسوميه (explorer.exe) هو تفعيلها.
Hkcu \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ runservicesonce	هذا مفتاح التسجيل تحدد الخدمات التي ينبغي ان تبدأ في المرة القادمة مستخدم على جذوع الأشجار ، مرة واحدة فقط. جميع logons لاحقة ، لن تكون البرامج المنفذة.
Hkcu \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ runservices	بدأت هذه الخدمات في كل مرة مستخدم على سجلات النظام.
Hkcu \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ runonce	هذه البرامج بمجرد تفعيله عندما يقوم المستخدم على سجلات النظام.
Hkcu \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ البعيد	وتدار هذه البرامج في كل مرة مستخدم جذوع الاشجار على الآلة.
Hkcu \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ runonceex	هذه البرامج المنفذة دون انطلاق عملية نظام آخر.
Hkcu \ برامج \ مايكروسوفت \ نوافذ \ currentversion \ سياسات \ اكسبلورر \ البعيد	وتدار هذه البرامج في كل مرة مستخدم على سجلات النظام.
Hkcu \ برامج \ مايكروسوفت \ ويندوز NT \ currentversion \ نوافذ \ البعيد	وتدار هذه البرامج في كل مرة مستخدم على سجلات النظام.
Hkcu \ برامج \ مايكروسوفت \ ويندوز NT \ currentversion \ نوافذ \ حموله	وتدار هذه البرامج في كل مرة مستخدم على سجلات النظام.
Hkcu \ برامج \ سياسات \ مايكروسوفت \ نوافذ \ نظام \ مخطوطات	هذه الكتابات هي تفعيل كل مرة يقوم فيها احد المستخدمين جذوع الاشجار على الآلة.
Hkcr \ exefiles \ شل \ فتح \ القيادة	وهذا يشير الى البرامج الرئيسية التي سيتم تشغيل أي وقت آخر هو ملف اكس المنفذة ، امرا معتادا جدا على آله ويندوز ، لتكون على يقين!

يا للعجب! ان 'sطويلة ، قائمة القبيح ، ولكن المهم ان نعترف بأن هناك فظيعه الكثير من أماكن وجود مهاجم يمكن السنجاب بعيدا اسم رهيبه بعض الشر مستتر للحصول على انها بدأت. ورغم ان هذه القائمة قد تكون مرهقه ، وانها ليست حصريه. النسخ الحالية والمقبلة من ويندوز وسوف يكون من المحتمل اكثر قلم الاعدادات تلقائيا للانطلاق البرمجيات ، كما تعقد ويندوز ينمو مع كل نظام التصحيح اللاحقه ، والإفراج ، وتطبيق تركيب.

علما ان بعض هذه الاعدادات قلم تبدأ مع رسائل hklm وآخرين مع بدء hkcu. وفي كلتا الحالتين ، ح تقف لخلية النحل ، في اشارة الى شريحة من النوافذ قلم المحكمه. Hklm تقف لخلية النحل المحليين الرئيسيين آلة ، ويدل على مستوى المنظومه اعدادات. Hkcu تقف خلية النحل الرئيسية للمستخدم الحالي ، ويحدد الاعدادات لشخص حاليا بتسجيل الدخول الى ويندوز الآلة. معظم الوقت ، لبدء برامج وخدمات ، hklm الاعدادات تتم اولا ، تليها hkcu البنود. ايضا ، hkcr ، الذي يقف لخلية النحل الرئيسية الطبقات الجذريه ، ويحدد مختلف البرامج التي فتحت نوافذ اطار احداث معينه. ان يزيد الامور سوءا ، وهذه القائمة للبدء المكونات ، ليس هو الوسيلة الوحيدة لبدء تلقائيا ضمن برامج ويندوز. ولا يزال يتعين علينا ان نلقي نظرة على مهمة المبرمج.

تقويض مهمة المبرمج

نهائي شعبية طريقة لتلقائيا عن بدء مستتر على النوافذ nt/2000/xp/2003 آلات ينطوي على جدولة مهمة لتشغيل النظام. باستخدام مهمة المبرمج الخدمة ، وهو مهاجم يمكن ان نقول للنظام لتشغيل برنامج محدد في أوقات محددة ، في مواعيد محددة ، أو عندما تقع احداث معينة ، مثل نظام الحذاء المستخدم او تسجيله.

يمكنك ان جدول المهام الجديدة على جهازك أو مشاهدة تلك التي تقررت بالفعل باستخدام واجهة المستخدم الرسوميه المهام المقررة في نظام لوحة التحكم. وبدلا من ذلك ، انت يمكن ان تستخدم في قيادة خط أداة على ويندوز NT ، 2000 ، واكس بي او schtasks القيادة في ويندوز اكس بي 2003 وأما بالنظر الى الجدول الزمني أو المهام. كل من واجهة المستخدم الرسوميه وقيادة خط تشير الى مستوى عال نظرا للبرامج من المقرر ان يستمر على هذا النظام. التفاصيل التي توفرها في القيادة امر مفيد. للحصول على هذا النوع من المعلومات من واجهة المستخدم الرسوميه ، وكنت قد لانقر على الفرد المهام المبينه في المهام التي من المقرر أن مجلد. نيس شيء واحد عن واجهة المستخدم الرسوميه الرأي هو أنه يشمل جميع المهام التى تذرعت بها مهمة للالمبرمج ، بما في ذلك الوقت والنظام القائم على بدء الاجراءات. ولاحظ ان هذه المهمة مع وجود عدد من الهوية 2 يتضمن سطر الاوامر لتشغيل backdoor.exe. جي ، واتساءل ماذا يمكن للمرء ان يفعل!

دفاعات : اكتشاف ويندوز مستتر انطلاق تقنيات

بذلك ، يكون المهاجمون مجموعة من السبل لاقامة مستتر على تشغيل ويندوز بعد وقت طويل من سوء غي وقد غادر. لمنع وقوع هذه الهجمات ، انت بحاجة الى إبقاء سيئة من الرجال من جهازك في المقام الأول. قليلا منع يقطع شوطا طويلا في وقف هذا النوع من الهجوم.

ومع ذلك ، وحتى مع أعظم الخطوات الوقاءيه ، لا تزال بعض المهاجمين قد تجد طريقة الدخول حتي ، وراء المنع ، كيف يمكنكم اكتشاف المهاجم 'sاعادة تشكيل للنظام الخاص بك تلقائيا الى بدء مستتر؟ حسنا ، يمكنكم يدويا فحص كل ملف ومجلد كل مفتاح التسجيل المبينه في الجدول الوارد اعلاه والمهام المقررة لنرى ما اذا كان شيء مريب كان مقررا. ولسوء الحظ ، يدويا فحص كل هذه الامكانيات وسيتطلب gobs من الاحباط في الوقت الذي يقضيه الباردة ، والمنعزلين العزله.

لحسن الحظ ، هناك أ نيس الحرة اداة تسمى autoruns ان يأتي الى النجده. متاح مجانا من الغرامه الناس في sysinternals في www.sysinternals.com ، هذا البرنامج تلقائيا قوائم للجميع ابتداء من المهام اليا على ويندوز الخاص بك يندوز مربع ، بما في البدء المجلدات والملفات والسجلات اعدادات ، والمقرر ان المهام. فان autoruns اداة ليس فقط العروض الكثيرة المختلفة بدء التسجيل مفاتيح ، والملفات ، والمهام التي توزع في جميع انحاء النظام ، ولكنه يدل ايضا على القيم التي قمت حددت ل. يمكنك ان ترى بالضبط اسم كل برنامج ، خدمة ، او السكريبت ان يحصل اعدموا خلال لبدء كل طريقة. وهذا مفيد أ الى قائمة لها ، سواء لأغراض الأمن واستكشاف الاخطاء واصلاحها. باستخدام autoruns ، فإنك لن يكون لحفر من خلال مجموعة من السجلات والملفات ومفاتيح انظر الى البرامج التي تنفذ من خلال نظام الحذاء. جميع المعلومات التي جمعت معا في نيس واجهة المستخدم الرسوميه ، التي تدعم حتى تلقائيا القفز على كل مجلد او مفتاح التسجيل حتى يمكنك بسهولة تعديل قيمته.

بالتأكيد انا معجب كبير من autoruns ، ولكنها تملك الجديره بالذكر الحد عندما تستخدم لايجاد مختلف تلقائيا بالظهور backdoors. Autoruns يفعل تماما ما يعلن : انه يدل على تلك البرامج والكتابات التي ينشط عندما يبدأ نظام محدد او حتى على المستخدمين تسجيل الدخول. ولكن ، مع تركيزه على بدء تسجيله والاحداث فقط ، autoruns لا تظهر اي المهام التي من المقرر ان يستمر على اساس أوقات محددة من اليوم. وهو مهاجم يمكن تحديد موعد لعقد مستتر لاستئناف كل صباح في 3:00 صباحا ، وautoruns لن يظهر عليه ، لأنه يستند الى وقت من اليوم. ذلك ، اذا كنت تعتمد على autoruns ايجاد تلقائيا بدءا backdoors ، تذكر انك لا يزال يتعين التحقق من المقرر ان المهام من خلال النظر في المهام التي من المقرر أن لوحة التحكم ، وتدير في القيادة ، أو باستخدام schtasks القيادة.

وبالاضافة الى ذلك ، أنت يمكن ان تستخدم ملف برنامج لفحص سلامة البحث الخاصة بك نوافذ لآلات اي تغييرات حاسمة نظام الملفات ومفاتيح التسجيل. هذه البرامج تحتوي على قاعدة بيانات من المعروف جيدا بصمات الحرجه نظام الملفات والسجلات القيم ، بما في ذلك الملفات والادله المرتبطه بدء نظام المستخدمين والتهيءه. عند اكتشاف اي تغيير ، اداة سينبهك حتى يمكنك الخروج الرقم الذي جعل التغيير : نظام مدير المنفذ القياسيه صيانة النظام او شر المهاجم عازمه على هيمنه على العالم. وبعد تشغيل هذه الاداه لإنشاء قاعدة بيانات لبصمات الاصابع ، يمكنك الجدول الزمني الملف النزاهه فحص البرنامج ليتم تشغيله على اساس منتظم ، مثل كل يوم او حتى كل ساعة. عندما يدير ، وسيكون اداة للتحقق من تغييرات على ملفات اقول لكم انه لمشاهدة. عندما يجد أي تغيير على واحد من البدء او مستخدم تهيئة الملفات وصفت في هذا الباب ، ثم مدير النظام يجب التوفيق بين اي تغييرات الاخيرة المشروعة مع نظام النشاط. الملف نزاهه المدقق أفعال مثل حقوق حارس أمن ، لمراقبة جهازك دون اذن التغييرات.

واذا كان مدير شرعيا ركبت التصحيح ، فان الحذاء عملية مضبوطه ، او تغير جهاز المستخدم البيئة ، واداة للتنبيه هو مجرد انذار خاطئ. خلاف ذلك ، قد يكون المهاجم علي جولة ، وتعديل النظام تشكيل لبدء مستتر. هذه عملية المصالحة ليست لالاغماء من القلب. فهو يتطلب قدرا كبيرا من الجهد على نظام مدير البرنامج جزءا ، ولكن هو الآن اسهل من التحقق من سلامة كل واحدة في ملف ودليل باليد. العديد من النوافذ ملف النزاهه فحص برامج متوفره ، بما في النسخه التجارية من التعثر ، في www.tripwire.com. وللأسف فإن النسخه المجانيه من التعثر لا يدعم ويندوز. عدة اخرى ملف فحص سلامة الأدوات المتاحة لويندوز ، بما في gfi languard نظام رصد والنزاهه ionx البيانات الحارس.

انطلاق يونيكس backdoors

يقين ، ويندوز نظم العرض الكثير من السبل لتنفيذ البرامج أوتوماتيكيا ، ولكن ليس يونيكس اما التهدل. وفي الواقع ، يونيكس نظم غاية فاجر في الاذواق لبدء مخطوطات والبرامج. كما مع ويندوز ، كل واحد من هذه التقنيات يمكن ان يساء استخدامها لبدء مستتر. على يونيكس ، وتقنيات فال الى فئات عدة ، بما في اضافة او تعديل نظام التهيءه مخطوطات ، وتعديل تشكيل شبكة الانترنت للشيطان (inetd) ، وتغيير جهاز المستخدم البيئة ، وجدولة الوظائف.

تعديل uber - عملية التكوين : inittab

عندما مرتدي حذاء هو نظام يونيكس ، وهي تدير مجموعة متنوعة من برامج التهيءه ومخطوطات. اول عملية لتشغيل يونيكس على الآلة هو اختصار ل الحرف الاول شيطان ، الذي ينشط كل العمليات الاخرى اللازمة خلال نظام الحذاء. الملف / خ / inittab يتضمن البرنامج النصي اختصار ل الحرف الاول يملون العمليات الاخرى ما ينبغي لها ان تبدأ. وهو مهاجم يمكن ان تضيف السطر الى ملف inittab ان يبدأ حتى المهاجم نفسه مستتر كجزء من سلسلة الحذاء. فان inittab ملف يحتوي على مداخل مع الشكل [الهوية] : [rstate] : [العمل] : [عملية] ، وتعرف على النحو التالي :

الهوية هي فريدة عدد المنتدبين لهذا الدخول ، ان مجرد أربعة أحرف لا ينبغي ان تستخدم لدخول اي دولة اخرى.
فان rstate هو المستوى البعيد من شأنها ان تؤدي الى دخول. عندما كنت الحذاء أ نظام يونيكس ، يمكنك ان تشير الى تهافت المستوى لتحديد ما هو مستوى الخدمات عندما كنت بحاجة الى نظام حتى يبدأ. الفارين في مستوى يمكن وضعها لتحديد الركل لمستخدم واحد واسطة ، الامر الذي يتطلب عدد قليل جدا من الخدمات ، او لتغيير اسلوب متعدد المستخدمين ، الامر الذي يتطلب المزيد من الخدمات.
العمل اختصار ل الحرف الاول يحدد ما ينبغي ان تفعله مع البرنامج خاصة ، مثل استئناف عملية اذا كان قد مات ، لتنفيذ عملية مرة واحدة ، او انها المنفذة في كل مرة هو نظام مرتدي حذاء. استئناف عملية عندما يموت هو فعلا مفيد السلوك لبرنامج مستتر.
العملية الميدانيه هو اين احصل على امور مثيرة للاهتمام. يحمله من دلالات محددة شل النصي ينبغي ان تنفذها اختصار ل الحرف الاول. واذا كان المهاجم يستخدم inittab لبدء مستتر ، والعملية الميدانيه سوف اشير الى اسم من البرنامج نفسه او مستتر أ السكريبت تستخدم لبدء مستتر.

آخر تعديل نظام الخدمة والتهيءه مخطوطات

على معظم انظمة يونيكس ، inittab الملف عادة يروي اختصار ل الحرف الأول لتشغيل سلسلة من الكتابات الخدمة التهيءه لبدء تقديم خدمات مختلفة بالظهور على علبة. وبدلا من تغيير inittab نفسها ، وهو مهاجم يمكن أيضا تعديل هذه الخدمة التهيءه مختلف الكتابات ، التي تبدأ خدمات مثل httpd (أ ملقم الويب) ، sendmail (شعبية خدمة البريد) ، وsshd (آمنة قذيفه شيطان تستخدم لتأمين الوصول اليها عن بعد) . اعتمادا على حسابك نكهه خاصة من نظام يونيكس ، وهذه الخدمة التهيءه الكتابات غالبا ما تكون مخزنة فى / الخ / أو rc.d / الخ / init.d الادله. نموذجيا على نظام يونيكس ، وهناك 20 او اكثر من هذه الكتابات ، كل 10 الى 50 في خطوط طويلة ، وتوفير أرض خصبة لزرع مستتر. وهو مهاجم يمكن ببساطة اضافة مستتر النصي الى واحد من هذه الادله ، أو حتى تغيير الكتابات الموجودة بالفعل - الى ركلة من احد مستتر. على سبيل المثال ، وبوسعي ان اضيف خدمة جديدة تسمى httpb (لاحظ السحب "ب" لمستتر ، الذي يشبه "httpd") ، او حتى تعدل القائمة فعلا ان تبدأ الكتابة الحقيقية httpd حتى انه اول يدير بلدي مستتر ، وبعد ذلك يبدأ مركز خدمة الويب الخاص بك.

كما نهائي بدء الهجوم ضد الخاص بك مخطوطات ، وهو مهاجم يمكن حتى مجرد زرع مستتر الى ان ملف تشكيل واحدة من الخدمات الموجودة التهيءه مخطوطات يخوض كما بدأت تصل. فعلى سبيل المثال ، اذا كان جهازك من اي وقت مضى استخدامات من نقطة الى نقطة البروتوكول (تعادل القوة الشراءيه) لمودم الطلب الهاتفي الصلات ، الآلة ستحاول تنفيذ التشكيل النصي ودعا / الخ / PPP / الملكيه الفكريه - up.local. معظم الوقت ، وهذا النص لم تعد ضروريه ، ولذا فمن عادة فارغه. ومع ذلك ، فانني يمكن ان يضع اسم بلادي مستتر في هذا الملف ، وأنت في كل مرة الهاتفي باستخدام المودم الخاص بك ، بلدي حقير مستتر سوف البعيد.

الذهاب بعد inetd 'sالتشكيل

بعد بدء هذه الكتابات المتنوعة ، والمهاجمون ايضا في كثير من الاحيان الى تغيير ترتيب معين من عملية تستخدم على نطاق واسع لدعم شبكة الخدمات ، وهي شبكة الانترنت شيطان (inetd ، ضوحا "ط - صافي - دي"). على يونيكس المربع ، inetd عملية ينتظر لشبكة المرور لمجموعة متنوعة من الخدمات ، بما فيها بروتوكول نقل الملفات ، التلنت ، وغيرهم. عندما يتلقى inetd المرور يقصد لاحد من هذه الخدمات ، وهي تدير خادم المنتسبه الى التعامل مع الحركة اذا ما تهيئتها لخوض الخدمة. المهاجمون يمكن ان تعدل او تضاف الى خط inetd تشكيل الملف ، والتي تخزن في / الخ / inetd.conf الملف او فى / الخ / xinetd.d دليل ، ويتوقف ذلك على نكهه خاصة من نظام يونيكس. عن طريق تعديل inetd 'sالتشكيل ، وهو مهاجم يمكن ان نقول inetd لتسيير حركة المرور مستتر عندما يصل محددة لمشاريع التعاون التقني معين او حزب الميناء. تعديل inetd لبدء مستتر هو واحد من الاساليب الاكثر شيوعا في الاستخدام مستتر ضد أنظمة يونيكس اليوم. ونحن في التسلسل الهرمي للشركات وقياسا على ذلك ، inetd هو المدير ، ولكن هامة للغاية واحدة. رشو هذا المخرج يمكن ان يعطي المهاجم امكانيه الوصول عن بعد الى الشركة ، لأن inetd سميع على شبكة للاتصالات.

تعديل مستخدم البدء مخطوطات

عندما يقوم مستخدم في جذوع الاشجار الى نظام يونيكس او يتعارض مع اوامر معينة ، فان النظام ينشط مجموعة متنوعة من الكتابات لتهيئة بيئة المستخدم. هذه الكتابات اجعل المستخدمين خصص منها بيئة حاسوبيه محددة من قبل ادارة الأوامر اثناء تسجيل الدخول. الاكثر شيوعا المستخدم بدء ملفات يرد وصفها في الجدول ادناه. وهو مهاجم يمكن ان تضيف خط واحد يحتوي على اسم واحد مستتر الى اي واحدة من هذه الكتابات الى ان تفعيل مستتر عندما يكون النص البعيد. جعل الأمور أسوأ ، هذه الكتابات المنتشره في جميع انحاء المستخدمين ادلة المنزل ، وكذلك منزل دليل للمستخدم الكومبيوتر ذو الصلاحيات العليا على حساب النظام ، متجذره. لأنها ليست مخزنة في مكان واحد ، يمكن ان يكون مشكلة الإداريين تعقب فرادى المستخدمين تكييف هذه الملفات. وكثير من هذه الكتابات هي 10 الى 50 في خطوط طويلة ، وعرض مرة اخرى ووجد الكثير من الخيارات لمهاجم لالخائن في تفعيل أ مستتر.

مخطوطات المشتركة المرتبطه مستخدم تسجيل الدخول او برنامج التنشيط
اسم المستخدم النصي	يرتبط البرنامج الذي ينشط كتابتها والنمطيه الاستعمال
. تسجيل الدخول	فان csh و tcsh قذائف تفعيل هذا البرنامج النصي عندما يقوم المستخدم سجلات الدخول.
. Cshrc	فان csh و tcsh قذائف أشغل هذا البرنامج النصي عند قيادة جديدة بدأت هي شركة شل.
. Kshrc	فان ksh شل تدير هذا البرنامج النصي عند قيادة جديدة بدأت هي شركة شل.
. Bashrc	فان اللكمه شل تدير هذا البرنامج النصي عند قيادة جديدة بدأت هي شركة شل.
. Bash_profile	باش فان شركة شل وينشط هذا البرنامج النصي عندما يقوم المستخدم سجلات الدخول.
/ الخ / نبذة	عندما اي مستخدم في سجلات النظام باستخدام قذائف باش او ركلات الترجيح ، وهذا النص هو تفعيلها.
. نبذة	بعد / الخ / نبذة يدير خلال تسجيل دخول المستخدم مع ركلات الترجيح او باش قذائف ، فردي المستخدم النهائي. نبذة الملف تفعيله.
. الخروج	فان csh و tcsh قذائف أشغل هذا البرنامج النصي عندما يقوم المستخدم سجلات بها.
. Xinitrc	Startx فان القيادة ان تحتج العاشر نافذة نظام مخازن بيئتها المعلومات في هذا الملف (على لينكس redhat النظم ، وهذا هو ايضا معلومات مخزنة في. Xclients ملف).
. جلسة	Xdm فان البرنامج يستخدم هذا الملف لتهيئة العاشر نافذة الدورة الاولى.

جدولة الوظائف الشر مع كرون

شعبية طريقة واحدة واخيرة لتفعيل أ مستتر يونيكس ينطوي على تحديد مواعيد عمل الذي يدير أمور مستتر باستخدام كرون شيطان. كرون الاشغال بالاحرى مثل ويندوز مهمة المبرمج. في اوقات معينة محددة سلفا ، كرون ينفذ مخطوطات ، والتي يمكن ان تشمل backdoors. كرون هو تهيئتها بإستخدام ملفات crontab ، التى توجد فى / الخ / crontab و/ الخ / cron.d لمدير نظام الوظائف. فرد كما انه بامكان المستخدمين خلق فرص العمل المقرر فى / الخ / بكرة / كرون دليل. باضافه دخول واحدة الى أي واحد من هذه الملفات ، وهو مهاجم يمكن تحديد موعد لعقد مستتر الى ان تبدأ في وقت معين ، او خلال نظام التهيءه. ذلك ، باستخدام كرون ، وهو مهاجم يمكن وفق هذا النظام من اجل بدء هذه مستتر في كل ساعة ، واذا كانت لا تزال تعمل. وبهذه الطريقة ، اذا كان بلدي من أي وقت مضى يحصل مستتر عملية قتل من قبل مدير النظام ، الآلة اعادة التشغيل ، او تحطم النظام ، وأنني سوف يتعين عليها ان تنتظر فقط كحد أقصى ساعة واحدة قبل ان يستأنف اله بالنسبة لي.

دفاعات : اكتشاف يونيكس مستتر انطلاق تقنيات

بذلك ، مضيفا تصل جميع من مختلف المناطق وهو مهاجم يمكن استخدامها لبدء مستتر ، وربما لكم ان ننظر فى عدة مئات من الملفات والادله ، وتتألف من بضعة آلاف من الخطوط الصعبة الى قراءة مخطوطات. فيا له من ألم! ومن الواضح ان البحث في هذا الجرذ 'sعش backdoors ليست أمرا نموذجيا يمكن ان يفعله الانسان على اساس منتظم. ولهذا السبب ، يجب عليك استعمال أداة اليه ان تنبيهات لكم عند اجراء تغييرات جوهريه على مختلف ترتيب الملفات والكتابات المذكورة في هذا الباب.

عدة الشعبية الملف النزاهه فحص برامج متوفره على اساس تجاري وحرة في التصرف كما الرقميه الخاصة بك في الخدمة في انجاز هذا الهدف. مثل ويندوز على النظراء التي ناقشناها في وقت سابق ، أن هذه الأدوات انشاء قاعدة بيانات للترميز ان علامات الرقم يتصرفون مثل البصمات الرقميه الخاصة بك الحرجه من نظام الملفات بصورة دورية ومراقبة نظامك الدولة ضده.

عدد هائل من ملف فحص سلامة الأدوات المتاحة لنظام يونيكس. Granddaddy فإن هذه الأدوات هو سلك الموقره ، المتاحة على الصعيدين التجاري والحر كأساس لنظام يونيكس في www.tripwire.com وwww.tripwire.org ، على التوالي. ايضا ، حرة ومفتوحة المصدر ادوات المعاون (www.cs.tut.fi/ ~ rammer / aide.html) واوزيريس (http://osiris.shmoo.com/) اداء مماثل الشيكات.

هذا هو مقال اضافها غريغ mcklein