如何检测软件后门

　　现在网络上的东西愈来愈不可信了。 不论下载什么工具都得多个心眼，特别是经常玩黑的朋友。

　　俗话说：常在河边走，哪有不湿鞋。弄不好哪天自己就中招了。 下面我就简单分析下，如何判断软件是否有后门。。

　　我把软件分为两大类：1.非黑客系列软件（播放器、即时聊天工具）  

🤟🏝🍪♊🐥‍

                                    　 2.黑客系列软件（例如：啊D、S扫描器等）
　　因为大家都知道黑客系列软件通常都会被杀软报毒，所以必须采用不同的分析方法，分别对待。

　　检测前，不要运行被检测程序！ 主要工具有：PEiD0.95汉化版、捆绑文件提取工具1.0、Filemon7.04汉化版、冰刃1.22中文版、下载者监视器1.0 、Regmon704.rar、 文件分析提交工具。

👂🚈🍭📵🐟‍　　先说第一类非黑客系列软件检测方法：
      1.检测软件是否捆绑；
　　若捆绑，则对其进行反捆绑处理，提取其中的文件，逐个按下面方法分析；

      2.检测软件是否加壳； 🧒‍👞💶🤮✋
　　若加壳，则进行脱壳处理，可用PE检测壳的类型（若无壳，跳过此步）；

      3.用文件分析工具分析文件是否包含恶意代码（文件分析提交工具地址：
主查毒网连接：http://www.virscan.org/备用杀毒连接：http://www.virustotal.com/世界顶尖杀软扫描，每日更新病毒库）；
🧒‏🧣🔭😆🤛
      结论：如果这样还报毒的话，该工具至少80%包含恶意代码，需要慎重使用！

　　再说说第二类黑客系列软件检测方法：
　　这类工具检测比较麻烦，最好把所有应用程序都关了。。或者在虚拟机里面进行
      1.关闭杀软等一切安全软件（防火墙建议开启）；

🚗🍧♏🐶‌

      2.检测软件是否捆绑；
　　若捆绑，则对其进行反捆绑处理，提取其中的文件，逐个按下面方法分析（无捆绑，跳过此步）；

      3.检测软件是否加壳；

🤙🗼🫑📳🐞‍

　　若加壳，则进行脱壳处理，可用PE检测壳的类型（无壳，跳过此步）；

      4.开启文件监视、注册表监视（工具：Filemon、Regmon）；  

      5.开启抓包工具（工具：WSockExpert）；

🤟🌦🍓🈚🐮‏

　　6.运行 待检测工具 看是否释放新文件、是否添加新注册项（其行为是否安全，需自己分析）；

      7.通过抓包工具判断是否发送其他多余数据（例如：后台下载恶意程序）

🧠🪐🍌♾🦚‏

　　8.   开始——运行——cmd——然后输入——netstat -an   判断是否连接其他IP（执行此步骤前，最好把所有需要连网的应用程序都退出）

      结论：释放可疑新文件，添加可疑新注册项，运行工具后连接其他IP。。则一定存在后门！

　　总结：此种方法适用于检测任意软件！ 对于非黑客类程序，脱壳后包含恶意代码，则可能有后门。而黑*客类程序，释放可疑新文件、添加可疑新注册项、运行工具后连接其他IP或下载其他程序。检测后门主要方法就这些。希望会对大家有一定的帮助。

🧑‍🍳‎🦺🧯😷👂