网络后门面面观(3)

　　6、库后门

　　几乎所有的Unix系统都使用共享库，一些入侵者在像cryPt.c和_crypt.c这些函数里做了后门。像Login这样的程序调用了crypt()，当使用后门口令对产生一个shell因此,即使管理员用MD5检查Login程序，仍然能产生一个后门函数。而且许多管理员并不会检查库是否被做了后门。另外入侵者对open()和文件访问函数做后门。后门函数读原文件但执行特洛伊木马后门程序。所以当MD5读这些文件时，校验和一切正常。但内系统运行时将执行持洛伊木马版本。即使特洛伊木马库本身也可躲过MD5校验。对于管理员来说有一种方法可以找到后门，就是静态编连MD5校验程序，然后运行。静态连接程序不会使用特洛伊木马共享库。