嗅探欺騙，最危險的后門

這類后門是攻擊者在控制了主機之后，并不創建新的帳戶而是在主機上安裝嗅探工具竊取管理員的密碼。由于此類后門，并不創建新的帳戶而是通過嗅探獲取的管理員密碼登錄系統，因此隱蔽性極高，如果管理員安全意識不高并缺少足夠的安全技能的話是根本發現不了的。

（1）安裝嗅探工具

攻擊者將相應的嗅探工具上傳或者下載到服務器，然后安裝即可。需要說明的是這些嗅探工具一般體積很小并且功能單一，但是往往被做成驅動形式的，所以隱蔽性極高，很難發現也不宜清除。

（2）獲取管理員密碼

嗅探工具對系統進行實施監控，當管理員登錄服務器時其密碼也就被竊取，然后嗅探工具會將管理員密碼保存到一個txt文件中。當攻擊者下一次登錄服務器后，就可以打開該txt文件獲取管理員密碼。此后他登錄服務器就再不用重新創建帳戶而是直接用合法的管理員帳戶登錄服務器。如果服務器是一個Web，攻擊者就會將該txt文件放置到某個web目錄下，然后在本地就可以瀏覽查看該文件了。（圖1）

（3）防范措施

嗅探后門攻擊者以正常的管理員帳戶登錄系統，因此很難發現，不過任何入侵都會留下蛛絲馬跡，我們可以啟用組策略中的“審核策略”使其對用戶的登錄情況進行記錄，然后通過事件查看器查看是否有可疑時間的非法登錄。不過，一個高明的攻擊者他們會刪除或者修改系統日志，因此最徹底的措施是清除安裝在系統中的嗅探工具，然后更改管理員密碼。

【編輯推薦】

1. 后門木馬隱藏技術分析
2. 如何全面清除計算機電腦病毒
3. Windows組策略保障共享目錄安全
4. 安全設置Windows組策略有效阻止黑客