常见的后门（backdoor）有哪些

以下是各个平台常见后门的描述：

 

一、Windows 平台

 

1. 注册表自启动：

- 恶意软件可以在 Windows 注册表的特定位置添加条目，使得系统启动时自动运行恶意程序。例如在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”等位置添加键值对，指定恶意程序的路径，从而实现随系统启动而自动启动。

2. Shift 后门：

- 也称为粘滞键后门。在 Windows 系统中，连续按五次 Shift 键会激活粘滞键功能。攻击者可以替换粘滞键可执行文件（sethc.exe）为恶意程序，这样当用户按五次 Shift 键时，就会启动恶意程序。通常在登录界面也能触发，可用于获取系统权限。

3. 远控软件：

- 安装在目标系统上的恶意软件，允许攻击者远程控制目标计算机。可以执行各种操作，如文件管理、键盘记录、屏幕监控、命令执行等。远控软件通常会隐藏自身的存在，以避免被用户和安全软件发现。

4. Webshell：

- 一种在 Web 服务器上运行的恶意脚本，通常通过 Web 应用程序的漏洞上传到服务器。攻击者可以通过浏览器与 webshell 进行交互，执行命令、上传和下载文件、查看服务器信息等。Webshell 可以让攻击者在不直接接触服务器的情况下控制服务器。

5. 添加管理用户：

- 攻击者在系统中创建一个具有管理员权限的用户账号，以便后续可以轻松地登录系统并进行各种恶意操作。这个新添加的用户可能会被隐藏起来，或者使用一个不容易被察觉的用户名。

6. 影子用户：

- 通过修改注册表或使用特定工具创建的一个与现有用户几乎相同权限的隐藏用户。影子用户可以在系统中存在而不被常规的用户管理工具发现，攻击者可以使用这个隐藏用户来访问系统，绕过正常的安全检查。

7. 定时任务：

- 攻击者可以在 Windows 任务计划程序中创建定时任务，指定在特定时间或事件触发时执行恶意程序。例如，可以设置在系统启动后一段时间、每天特定时间或者当某个特定用户登录时执行恶意代码。

8. DLL 劫持：

- 当应用程序加载特定的动态链接库（DLL）时，攻击者可以通过替换合法的 DLL 文件为恶意 DLL，使得应用程序在运行时加载恶意 DLL 而不是合法的 DLL。这样，恶意 DLL 可以执行恶意代码，获取系统权限或者窃取敏感信息。

9. 注册表劫持：

- 攻击者修改注册表中的某些键值，使得特定的操作或应用程序启动时被重定向到恶意程序。例如，修改文件关联注册表项，使得当用户打开特定类型的文件时，实际上启动了恶意程序而不是正常的应用程序。

10. MBR 后门：

 

- 主引导记录（MBR）是硬盘上的第一个扇区，负责启动计算机。攻击者可以修改 MBR，植入恶意代码，使得系统在启动时执行恶意程序。MBR 后门可以在操作系统启动之前就获得控制权，并且很难被检测和清除。

 

11. WMI 后门：

 

- Windows Management Instrumentation（WMI）是 Windows 系统管理的基础设施。攻击者可以利用 WMI 来创建持久的后门，通过 WMI 事件订阅等机制，在特定事件发生时执行恶意代码。WMI 后门可以隐藏在系统中，并且可以远程控制目标系统。

 

12. 管理员密码记录：

 

- 使用键盘记录器等工具记录管理员在输入密码时的键盘操作，从而获取管理员密码。或者通过恶意软件窃取存储在系统中的密码哈希值，然后进行破解以获取密码。攻击者获得管理员密码后可以轻松地登录系统并进行各种恶意操作。

 

二、Linux 平台

 

1. SSH 后门：

- 攻击者修改 SSH 服务的配置文件或者替换 SSH 相关的二进制文件，使得可以通过特定的密码、密钥或者漏洞来远程登录系统而不被察觉。例如，在 SSH 配置文件中添加一个允许特定用户无需密码登录的条目，或者修改 SSH 服务器的二进制文件以记录登录密码或执行恶意代码。

2. SUID 后门：

- Set User ID（SUID）是一种特殊的文件权限设置，允许用户以文件所有者的权限运行程序。攻击者可以创建一个具有 SUID 权限的恶意程序，当普通用户运行这个程序时，程序会以 root 权限执行恶意代码。例如，创建一个具有 SUID 权限的 shell 脚本，当用户执行这个脚本时，脚本可以提升权限并执行恶意操作。

3. Crontab 计划任务：

- 类似于 Windows 的定时任务，攻击者可以在 Linux 的 crontab 中添加任务，指定在特定时间或事件触发时执行恶意程序。例如，可以设置每分钟、每天特定时间或者当系统启动时执行恶意脚本。

4. PAM 后门：

- Pluggable Authentication Modules（PAM）是 Linux 系统用于认证用户的框架。攻击者可以修改 PAM 配置文件或者替换 PAM 模块，使得在用户认证过程中执行恶意代码或者绕过认证。例如，修改 PAM 配置文件，使得在用户登录时执行一个恶意脚本，或者替换 PAM 模块以记录用户密码。

5. 添加管理员账号：

- 攻击者在 Linux 系统中创建一个具有管理员权限（通常是 root 权限）的用户账号，以便后续可以登录系统并进行各种恶意操作。这个新添加的用户可能会被隐藏起来，或者使用一个不容易被察觉的用户名。

6. Rootkit：

- Rootkit 是一组恶意软件工具，旨在隐藏自身和其他恶意程序的存在。它可以修改操作系统的内核、文件系统、进程列表等，以躲避检测。Rootkit 可以隐藏文件、进程、网络连接等，使攻击者能够在系统中持续存在而不被发现。例如，Rootkit 可以隐藏恶意程序的文件，使其在文件系统中不可见；或者隐藏恶意进程，使其不在进程列表中显示。Rootkit 还可以拦截系统调用，阻止安全软件的检测和清除。

以下是对 Android 和 iOS 平台可能存在的后门的描述：

 

三、Android 平台

 

1. 恶意软件植入：

- 攻击者通过诱导用户下载安装恶意应用程序，这些应用可能在后台偷偷运行，窃取用户数据、监听通话、获取位置信息等。恶意软件可能伪装成正常的应用，如游戏、工具软件等，诱导用户下载安装。

- 例如，一些恶意软件会在用户不知情的情况下发送短信到特定号码，导致用户产生高额费用。

2. Root 权限利用：

- 如果设备被获取 Root 权限，攻击者可以更深入地控制系统。恶意软件可能利用 Root 权限修改系统文件、安装后门程序、绕过安全机制等。

- 比如，恶意软件可以修改系统的网络设置，将用户的数据流量导向恶意服务器。

3. 系统漏洞利用：

- Android 系统存在的漏洞可能被攻击者利用来植入后门。例如，利用未修补的漏洞提升权限、执行恶意代码或者获取敏感信息。

- 某些漏洞可能允许攻击者远程控制设备，安装恶意软件或者窃取用户数据。

 

四、iOS 平台：

 

1. 越狱风险：

- 当用户对 iOS 设备进行越狱时，会破坏系统的安全机制。攻击者可以利用越狱后的设备安装恶意软件、修改系统设置、获取更高的权限等。

- 例如，恶意软件可以在越狱设备上窃取用户的通讯录、照片、短信等敏感信息。

2. 企业证书滥用：

- 一些恶意开发者可能会使用企业证书来分发恶意应用。这些应用可以绕过 App Store 的审核机制，直接安装到用户设备上。

- 一旦安装，恶意应用可以在后台运行，窃取用户数据或者执行其他恶意行为。

3. 供应链攻击：

- 攻击者可能通过攻击应用程序的开发、分发或更新渠道来植入后门。例如，在应用程序的开发过程中，攻击者可以篡改源代码，插入恶意代码；或者在应用程序的更新过程中，替换合法的更新包为恶意包。

- 这种攻击方式相对较为隐蔽，因为用户通常信任应用程序的来源和更新渠道。