明明只是活着,哀伤却无处不在⋯⋯ 收藏本站
登陆 / 注册 搜索

阅读: 18.5K   回复: 4

[# 系统基础] 如何检测软件后门

[复制链接]
小执念 古黑浩劫论坛大牛 2015-12-2 07:29 |显示全部楼层

可遇不可求的事:故乡的云,上古的玉,随手的诗,十九岁的你。

管理员 五周年纪念
  现在网络上的东西愈来愈不可信了。 不论下载什么工具都得多个心眼,特别是经常玩黑的朋友。
6 c( i2 T% W! I
" O% p& B- C$ }8 H" C  俗话说:常在河边走,哪有不湿鞋。弄不好哪天自己就中招了。 下面我就简单分析下,如何判断软件是否有后门。。
! i0 N/ @. @" y7 j, v( x+ O
! l5 }; W' {2 e: Q8 M  我把软件分为两大类:1.非黑客系列软件(播放器、即时聊天工具)  
$ T9 T' }8 k0 G4 y+ P                                      2.黑客系列软件(例如:啊D、S扫描器等) : W' w/ z( B9 ^0 F  p- r- {
  因为大家都知道黑客系列软件通常都会被杀软报毒,所以必须采用不同的分析方法,分别对待。 & G. m7 v0 Z. }. @1 A3 z
5 L9 h5 ]0 F( l
  检测前,不要运行被检测程序! 主要工具有:PEiD0.95汉化版、捆绑文件提取工具1.0、Filemon7.04汉化版、冰刃1.22中文版、下载者监视器1.0 、Regmon704.rar、 文件分析提交工具。( Z- c( w/ w. T/ ^

* k+ D' o+ z. {7 g9 w  先说第一类非黑客系列软件检测方法:
9 D: O0 b# |( J, G( v      1.检测软件是否捆绑; 9 L* i: v$ p2 i
  若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析; ) L$ q7 A  A& D

6 s5 p; Y) `3 T      2.检测软件是否加壳;
# N, B/ n) a8 Y- i0 w( L, [. A  若加壳,则进行脱壳处理,可用PE检测壳的类型(若无壳,跳过此步); % O; h) z: I; s* M" M

# `! R! f% p# R, E  \8 d      3.用文件分析工具分析文件是否包含恶意代码(文件分析提交工具地址:4 N# r3 j4 P" |0 A
主查毒网连接:http://www.virscan.org/备用杀毒连接:http://www.virustotal.com/世界顶尖杀软扫描,每日更新病毒库); ) ~9 x9 G7 w8 ?

1 P9 J6 W% T5 F0 H3 n      结论:如果这样还报毒的话,该工具至少80%包含恶意代码,需要慎重使用!
, v+ a6 F* w" o1 n! O, H! g8 @5 ~: U' j7 o6 B4 O
  再说说第二类黑客系列软件检测方法: ( a; ~$ u: j/ e2 o) P' p' c" n
  这类工具检测比较麻烦,最好把所有应用程序都关了。。或者在虚拟机里面进行
+ R8 G# w. h7 s& B& A7 w6 K      1.关闭杀软等一切安全软件(防火墙建议开启); " \0 Y; j8 ~/ Q* }( R) b
, U6 C0 Q% x+ n0 S
      2.检测软件是否捆绑; . F: b+ ?& t/ S( X
  若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析(无捆绑,跳过此步);
) J$ m- A, l) C% Z5 l
9 a9 p, p( F+ S- \2 O3 t9 L- h      3.检测软件是否加壳; $ R1 Q. s2 b% S. W  p/ B
  若加壳,则进行脱壳处理,可用PE检测壳的类型(无壳,跳过此步);
0 I; ^4 G8 ]/ X" l* i
( V* l  `  V& y% ]" R# q      4.开启文件监视、注册表监视(工具:Filemon、Regmon);  
, Y. e- [, b0 R5 _; ]% ]1 @+ ^1 U9 S% J! Q2 K
      5.开启抓包工具(工具:WSockExpert);
7 t$ g" `3 Q1 L( `9 f8 h+ Y0 O- d! ~% v3 \; F  e6 M8 {
  6.运行 待检测工具 看是否释放新文件、是否添加新注册项(其行为是否安全,需自己分析);
$ N, o" ^# u2 A" I; C8 o; C- p. m! U0 H
+ O1 A! X! ~+ r; S      7.通过抓包工具判断是否发送其他多余数据(例如:后台下载恶意程序)
* y" ]3 \# n' J( c
  s- o4 v: [4 }7 |9 h  8.   开始——运行——cmd——然后输入——netstat -an   判断是否连接其他IP(执行此步骤前,最好把所有需要连网的应用程序都退出) 1 ?& W0 j# W, Y
4 ^# P8 x. {2 ?+ K
      结论:释放可疑新文件,添加可疑新注册项,运行工具后连接其他IP。。则一定存在后门! / x  T* A% Y, G9 O

+ E9 m5 O% t2 Z8 D  总结:此种方法适用于检测任意软件! 对于非黑客类程序,脱壳后包含恶意代码,则可能有后门。而黑*客类程序,释放可疑新文件、添加可疑新注册项、运行工具后连接其他IP或下载其他程序。检测后门主要方法就这些。希望会对大家有一定的帮助。
& p* ~, C8 T! H+ L! ~! p/ P. T- V  W# x% L
上一篇
下一篇

那一缕微光 「龙战于野」 2018-5-6 18:52 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

撸主的文章带给我们的是心灵深处的震撼。。。#366:
深海里的那抹蓝 「龙战于野」 2018-5-8 17:46 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

#371:我最喜欢这种没什么人回复的帖子了!不仅可以占个前排,火了我也可以露脸!麻烦告诉我这是几楼?
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

快速回复 返回列表