标题:
3招判断软件是否有后门
[打印本页]
作者:
杨羽
时间:
2008-7-29 18:06
标题:
3招判断软件是否有后门
3招判断软件是否有后门
真是够郁闷。今天又中了木马。。。下午无聊浏览XX站的时候看到一个新出的QQ精华浓缩版,下载回来看了看。看说明`原来是彩虹盗版。文件有9.44M。觉得挺可疑的,本来打算用虚拟机测试。可是想想这个XX站还是有点名气的。自己不会干这种事吧?结果运行了后,监测本地通信。。然后检查系统目录,赫然发现果然捆绑了后门`这里教大家几招简单的检测后门的办法,可以足够识别那些免杀的后门。因为黑软一般无后门,也会被报毒。所以实在不好识别是否存在后门,只有手工。
1在运行可疑文件前,打开目录C:\WINDOWS和C:\WINDOWS\system32(重点),选择按时间顺序排列文件。然后运行可疑文件,接着刷新SYS和WINDOWS目录(注意在文件夹选项里把隐藏文件设置为全部显示)。如果发现程序出现新增文件,90%就是捆绑了后门!
大家下到的软件。绝大部分是不可能需要安装的。也就是说不需要增加某些系统文件才能运行。而且包括很大一部分需安装的软件,再重新安装系统后,也可以使用。只是需要重新输入注册信息罢了。
而对于大家下载到的几M大,甚至几百K的程序,如果出现在SYS和WINDOWS目录运行后增加新可疑文件的。绝对是后门无疑。
2检测本地通信。打开CMD,输入netstat -an,这个时候你就可以看到自己目前正在和那些IP端口进行通信。以及本机存在的端口。如果发现自己在连接某些陌生IP的时候,就要注意了!建议在关闭QQ和IE这些程序后查看本地通信。这样防止建立过多通信,影响检测。
3查看启动项目。开始-运行`输入:Msconfig.exe,打开启动项目管理,查看开机启动项目。正常的计算机启动项目只需要3个。分别为:IMJPMIG.EXE/TINTSETP.EXE/SOUNMAN.EXE/CTFMON.EXE。如果你发现在系统目录多出了启动项目,就要留心了!
以上三招足够对付那些免杀后门。至于发现后门之后的事情就自由发挥了~推荐:GHOST,系统恢复中的经典!杀毒软件和防火墙纯粹是图个心理安慰罢了。还是手工查来得安全~连我自己的后门都能过全杀毒。当然自己也怕中了。。有的时候不要太相信自己了,建议装虚拟机~这年头社会工程学NB,曾经有个搞网络游戏的商人直接收买了我一个现实中的朋友,结果那“朋友”来我家玩,趁我不注意。给我运行了“商人”的后门。。。
作者:
烈火奥拓仔
时间:
2008-7-29 18:06
看不太懂哦
作者:
梦游
时间:
2008-7-29 18:06
[ 建议装虚拟机~这年头社会工程学NB,曾经有个搞网络游戏的商人直接收买了我一个现实中的朋友,结果那“朋友”来我家玩,趁我不注意。给我运行了“商人”的后门。。。 ]
作者:
ssyhh
时间:
2008-8-1 00:23
好文章阅读下
作者:
guijian123
时间:
2008-8-3 00:02
什么朋友,你自己当他是朋友吧!
作者:
chy007
时间:
2008-8-4 15:20
在一个啊 。不错的方法,还是真不赖啊
作者:
劳资是怪物
时间:
2008-8-7 13:15
SYS 是SYSTEM32吗?
作者:
wukan886
时间:
2008-8-7 15:25
很不错的招式
作者:
李雷
时间:
2008-8-16 16:53
标题:
我想……
电脑中毒就是很烦人!!!!!!!!有了电脑才知道:D
作者:
BKK
时间:
2008-8-17 19:31
哈哈,学到好东西了。。。。
作者:
Rapam
时间:
2008-8-24 21:17
不是太明白啊。有待遇学校
作者:
963852
时间:
2008-9-16 21:50
每天多学一分钟,生活就要多长点见识:) :) :) :) :)
作者:
1022615
时间:
2008-11-12 17:30
SYS是系统文件不是SYSTEM32!:handshake :handshake
作者:
lijinquan
时间:
2008-11-24 23:27
还不是一样。中毒照样杀!!!
作者:
img527
时间:
2008-11-26 20:43
好文章,学习!:)
作者:
LJF
时间:
2009-3-24 13:37
学到了谢谢:D
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2