通过将上述表格中特性与样本的行为对位，安天即可做出是否为恶意代码以及恶意代码的分类判断。

　　四、 对照分析所选取的典型后门样本

　　后门程序除了用于定性的核心远程控制行为外，往往还伴随一些关联行为，如

　　1. 复制自身或衍生文件到系统目录

　　2. 修改系统配置。

　　3. 实现开机自动

　　4. 隐藏自身

　　5. 连接网络发送、下载文件

　　6. 窃取用户键盘输入

　　7. 窃取用户重要文件

　　为清晰进一步说明后门的概念和行为，给用户一个更为直观的理解，Antiy CERT的反病毒工程师选取了四种典型后门程序样本，并提供提供行为分析报告。

　　样本相关信息如表1所示，各样本文件图标见图1。　　

　　[表1] 典型后门程序样本信息　　

　　[图1] 典型后门样本文件信息

　　以下表格为各后门程序样本的病毒标签：　　

　　[表2] 典型后门程序样本病毒标签　

　　[表3] 典型后门程序样本病毒标签　

　　[表4] 典型后门程序样本病毒标签　　

　　[表5] 典型后门程序样本病毒标签

　　五、 典型后门样本行为分析

　　以下为对上述后门程序样本的动态分析，及相应的判断依据。

　　1、 灰鸽子 (Backdoor/Win32.Hupigon.afjm )

　　描述信息：

　　该病毒为后门类程序，运行后，复制自身到%Program Files%\Common Files\Microsoft Shared\MSINFO\目录下，重命名为r47.exe，并将属性设置为隐藏。查找%system32%\drivers目录下是否存在klif.sys文件，开启iexplore.exe进程，加载ntdll.dll，动态获取ZwUnmapViewOfSection函数，利用该函数获取当前进程的基址，申请内存空间，将病毒代码写入iexplore.exe进程中，创建病毒服务，以服务方式启动病毒文件，病毒运行完毕后删除自身，自身克隆到系统进程calc.exe来保护病毒进程，系统利用iexplore.exe连接网络进行通信，等待接收病毒作者发送的控制命令。

　　定性依据：该程序提供了通过反向连接方式进行远程控制的行为，且不满足程序可感知性因此被判定为后门。该程序的伴随行为包括 “复制自身到系统目录”、“修改关键系统文件”、“添加到系统启动项”、“隐藏自身”、“连接网络发送、下载文件”。

　　2、 黑洞2005 (Backdoor/Win32.BlackHole.2005.f )

　　描述信息：

　　该病毒为后门类程序，运行后，衍生病毒文件到系统目录下，添加注册表自动运行项以随机引导病毒体。感染用户可能被完全控制，进行上传、下载等操作。病毒会监测用户键盘输入，而后输出到%system32%\keylog.txt发送出去。该病毒还具有切断网络连接的能力。

　　定性依据：该程序提供了开放目录遍历和访问以及文件双向交互操作的能力，且不满足程序可感知性因此被判定为后门。该程序的伴随行为包括 “衍生文件到系统目录”、“添加到系统启动项”、“连接网络发送、下载文件”、“窃取用户键盘输入”等，可判断为后门程序。

　　3、RBOT (Backdoor/Win32.Rbot.gen )

　　描述信息：

　　该病毒为后门类程序，图标伪装成图片诱惑用户点击，病毒运行后获取当前用户名，设置出错程序为安静模式隐藏子进程的内存报错窗口，创建病毒互斥体防止病毒多次运行，拷贝自身文件到%System332%目录下重命名为：“riot.exe”，添加注册表启动项，将riot.exe病毒文件添加到防火墙信任列表，达到运行病毒之后防火墙不拦截目的，获取%Windir%目录下的explorer.exe文件的创建时间，将病毒文件的创建时间与explorer.exe文件的创建时间同步，并将属性设置为只读、9 7 3 1 2 3 4 5 4 8 :

本文来源：华军资讯 作者：厂商投递