越是困难,越要抬起头,地上可找不到任何希望! 收藏本站
登陆 / 注册 搜索

阅读: 14.8K   回复: 4

[# 系统基础] 如何检测软件后门

小执念 古黑浩劫论坛大牛 2015-12-2 07:29 |显示全部楼层

可遇不可求的事:故乡的云,上古的玉,随手的诗,十九岁的你。

管理员
  现在网络上的东西愈来愈不可信了。 不论下载什么工具都得多个心眼,特别是经常玩黑的朋友。
# B0 ^, d& k) m1 {; Z# Q% A3 U1 H, g1 P) z
  俗话说:常在河边走,哪有不湿鞋。弄不好哪天自己就中招了。 下面我就简单分析下,如何判断软件是否有后门。。 . ^6 ]9 q# d/ H

; t2 V$ ~* a: P. b: S3 t! p0 {  我把软件分为两大类:1.非黑客系列软件(播放器、即时聊天工具)  
. `( M6 ?  e% d# N                                      2.黑客系列软件(例如:啊D、S扫描器等)
: x- U8 E' N+ i( D  因为大家都知道黑客系列软件通常都会被杀软报毒,所以必须采用不同的分析方法,分别对待。
  l, R* {4 A, R5 b( i
0 m) r; n+ @: b  检测前,不要运行被检测程序! 主要工具有:PEiD0.95汉化版、捆绑文件提取工具1.0、Filemon7.04汉化版、冰刃1.22中文版、下载者监视器1.0 、Regmon704.rar、 文件分析提交工具。
( x5 ?9 L; n, c
) R: D4 e& _' w( ^/ e6 O6 j  先说第一类非黑客系列软件检测方法: ' |0 {$ h, t& h, y+ S
      1.检测软件是否捆绑; 6 `3 J# D: t  q7 J
  若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析; 6 L: j# p( u1 R0 g9 M2 S

' I+ e' x& s" G8 Q# W; h      2.检测软件是否加壳; & ^% S! I8 \+ g( {6 ?& N
  若加壳,则进行脱壳处理,可用PE检测壳的类型(若无壳,跳过此步); 6 I/ ~3 q/ y: ^0 l0 m) b0 B$ K( u
7 D6 n- _  s. ^( N; [2 H+ U# y! e
      3.用文件分析工具分析文件是否包含恶意代码(文件分析提交工具地址:8 T+ O9 \9 m( k0 Y
主查毒网连接:http://www.virscan.org/备用杀毒连接:http://www.virustotal.com/世界顶尖杀软扫描,每日更新病毒库);
: Q/ q- [9 [" J: Q  h. y8 M/ }( b" Y* n! M1 }4 L4 r  s: h
      结论:如果这样还报毒的话,该工具至少80%包含恶意代码,需要慎重使用! / O  g' Q; D3 _# e+ D

* ^, R+ u) J3 b: ?( {; F" Y  再说说第二类黑客系列软件检测方法: . V5 _0 I/ l* T
  这类工具检测比较麻烦,最好把所有应用程序都关了。。或者在虚拟机里面进行
* `; K% y/ q& P      1.关闭杀软等一切安全软件(防火墙建议开启);
( v2 k8 f& X) k- J" |* N7 p/ t0 l, n/ I( d% F7 D& C6 o
      2.检测软件是否捆绑; , W+ z3 c% \5 [. k( J
  若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析(无捆绑,跳过此步); 3 y+ z% y' w! Z% d  j
5 h( K8 z3 Q6 G, I
      3.检测软件是否加壳; + L# H$ V- d4 d7 B4 c/ }9 o0 B: f
  若加壳,则进行脱壳处理,可用PE检测壳的类型(无壳,跳过此步); 5 R0 z$ X& K, w* J0 m

. L% G9 r! b$ a  }, D      4.开启文件监视、注册表监视(工具:Filemon、Regmon);  
! w8 K5 q4 ~" ^1 a( L
* Z0 h) @- ]* C  w2 ?      5.开启抓包工具(工具:WSockExpert); : w4 i: t9 Z  i
& I5 Y8 q8 [8 C1 X' d% z
  6.运行 待检测工具 看是否释放新文件、是否添加新注册项(其行为是否安全,需自己分析);
. ?) ~4 g" {* w, ^2 H+ C8 |  a9 A- Z8 V$ g* [
      7.通过抓包工具判断是否发送其他多余数据(例如:后台下载恶意程序)7 [% h( J+ P# x# D" \% z3 O" k8 `

1 `( s/ G# r# u/ W% r- s: A. |  8.   开始——运行——cmd——然后输入——netstat -an   判断是否连接其他IP(执行此步骤前,最好把所有需要连网的应用程序都退出) : |2 w4 a" z" g& C2 O% s* {

) _. o: E+ A5 S9 f$ s6 K% m8 L      结论:释放可疑新文件,添加可疑新注册项,运行工具后连接其他IP。。则一定存在后门!   Q* C- `& }0 l6 s
4 S: X4 g  q( v! M  U
  总结:此种方法适用于检测任意软件! 对于非黑客类程序,脱壳后包含恶意代码,则可能有后门。而黑*客类程序,释放可疑新文件、添加可疑新注册项、运行工具后连接其他IP或下载其他程序。检测后门主要方法就这些。希望会对大家有一定的帮助。
5 \5 T* _" Q' i" q3 b  t0 p0 A7 A8 b0 @

上一篇:  病毒之间的区别

下一篇:  网络基础知识


那一缕微光 「龙战于野」 2018-5-6 18:52 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

撸主的文章带给我们的是心灵深处的震撼。。。#366:
深海里的那抹蓝 「龙战于野」 2018-5-8 17:46 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

#371:我最喜欢这种没什么人回复的帖子了!不仅可以占个前排,火了我也可以露脸!麻烦告诉我这是几楼?
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2020-10-25 02:07 , Processed in 0.033372 second(s), 20 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表