rnjb後門
Uni上的rnjb可以按時間表調度特定程序的運行。入侵者可以加入後門shell程序使它在1A到A之間運行,那麼每晚有一個時可以獲得訪問。也可以查看rnjb中經常運行的合法程序,同時置入後門。
庫後門
幾乎所有的UNI係統使用共享庫,共享庫用於相同函數的重用而減少代碼長度。一些入侵者在象ryp.和_ryp.這些函數裏作了後門;象lgin.這樣的程序調用了ryp()。當使用後門口令時產生一個shell。因此,即使管理員用D5檢查lgin程序,仍然能產生一個後門函數,而且許多管理員並不會檢查庫是否被做了後門。對於許多入侵者來有一個問題:一些管理員對所有東西多作了D5校驗,有一種辦法是入侵者對pen()和文件訪問函數做後門。後門函數讀原文件但執行rjan後門程序。所以當D5讀這些文件時,校驗和一切正常,但當係統運行時將執行rjan版本的,即使rjan庫本身也可躲過D5校驗,對於管理員來有一種方法可以找到後門,就是靜態編連D5校驗程序然後運行,靜態連接程序不會使用rjan共享庫。
內核後門
內核是Uni工作的核心,用於庫躲過D5校驗的方法同樣適用於內核級別,甚至連靜態連接多不能識別。一個後門作的很好的內核是最難被管理員查找的,所幸的是內核的後門程序還不是隨手可得,每人知道它事實上傳播有多廣。
文件係統後門
入侵者需要在服務器上存儲他們的掠奪品或數據,並不能被管理員發現,入侵者的文章常是包括epli腳本工具,後門集,sniffer日誌,eail的備分,原代碼,等等!有時為了防止管理員發現這麼大的文件,入侵者需要修補"ls","du","fsk"以隱匿特定的目錄和文件,在很低的級別,入侵者做這樣的漏洞:以專有的格式在硬盤上割出一部分,且表示為壞的扇區。因此入侵者隻能用特別的工具訪問這些隱藏的文件,對於普通的管理員來,很難發現這些"壞扇區"裏的文件係統,而它又確實存在。
B塊後門
在P世界裏,許多病毒藏匿與根區,而殺病毒軟件就是檢查根區是否被改變。Uni下,多數管理員沒有檢查根區的軟件,所以一些入侵者將一些後門留在根區。
PShell後門
入侵者可能在防火牆沒有阻塞的高位P端口建立這些PShell後門.許多情況下,他們用口令進行保護以免管理員連接上後立即看到是shell訪問。管理員可以用nesa命令查看當前的連接狀態,那些端口在偵聽,目前連接的來龍去脈。通常這些後門可以讓入侵者躲過Prapper技術。這些後門可以放在**P端口,許多防火牆允許e-ail通行的.
UDPShell後門
管理員經常注意P連接並觀察其怪異情況,而UDPShell後門沒有這樣的連接,所以nesa不能顯示入侵者的訪問痕跡,許多防火牆設置成允許類似DNS的UDP報文的通行,通常入侵者將UDPShell放置在這個端口,允許穿越防火牆。
IPShell後門
Ping是通過發送和接受IP包檢測機器活動狀態的通用辦法之一。許多防火牆允許外界ping它內部的機器,入侵者可以放數據入Ping的IP包,在ping的機器間形成一個shell通道,管理員也許會注意到Ping包暴風,但除了他查看包內數據,否者入侵者不會暴露。
加密連接
管理員可能建立一個sniffer試圖某個訪問的數據,但當入侵者給網絡通行後門加密後,就不可能被判定兩台機器間的傳輸內容了。