1. 程式人生 > >如何檢查下載的軟體是否帶有後門

如何檢查下載的軟體是否帶有後門

 現在網路上的東西愈來愈不可信了。

不論下載什麼工具都得多個心眼,特別是經常玩黑的朋友。

俗話說:常在河邊走,哪有不溼鞋。弄不好哪天自己就中招了。

下面我就簡單分析下,如何判斷軟體是否有後門。。

我把軟體分為兩大類:1.非黑*客系列軟體(播放器、即時聊天工具)

2.黑*客系列軟體(例如:啊D、S掃描器、**等)

因為大家都知道黑*客系列軟體通常都會被殺軟報毒,所以必須採用不同的分析方法,分別對待。

檢測前,不要執行被檢測程式!

主要工具有:PEiD0.95漢化版、捆綁檔案提取工具1.0、Filemon7.04漢化版、冰刃1.22中文版、下載者監視器1.0 、Regmon704.rar、

檔案分析提交工具

先說第一類非黑*客系列軟體檢測方法:

1.檢測軟體是否捆綁;

1.1.若捆綁,則對其進行反捆綁處理,提取其中的檔案,逐個按下面方法分析;

2.檢測軟體是否加殼;

2.1.若加殼,則進行脫殼處理,可用PE檢測殼的型別(無無殼,跳過此步);

3.用檔案分析工具分析檔案是否包含惡意程式碼(檔案分析提交工具地址:http://virscan.org/世界頂尖殺軟掃描,每日更新病毒庫);

結論:如果這樣還報毒的話,該工具至少80%包含惡意程式碼,需要慎重使用!

再說說第二類黑*客系列軟體檢測方法:

這類工具檢測比較麻煩,最好把所有應用程式都關了。。或者在虛擬機器裡面進行

1.關閉殺軟等一切安全軟體(防火牆建議開啟);

2.檢測軟體是否捆綁;

2.1.若捆綁,則對其進行反捆綁處理,提取其中的檔案,逐個按下面方法分析(無捆綁,跳過此步);

3.檢測軟體是否加殼;

3.1.若加殼,則進行脫殼處理,可用PE檢測殼的型別(無殼,跳過此步);

4.開啟檔案監視、登錄檔監視(工具:Filemon、Regmon);

5.開啟抓包工具(工具:WSockExpert);

6.執行 待檢測工具 看是否釋放新檔案、是否新增新註冊項(其行為是否安全,需自己分析);

7.通過抓包工具判斷是否傳送其他多餘資料(例如:後臺下載惡意程式)

8. 開始——執行——cmd——然後輸入——netstat -an 判斷是否連線其他IP(執行此步驟前,最好把所有需要連網的應用程式都退出)

結論:釋放可疑新檔案,新增可疑新註冊項,執行工具後連線其他IP。。則一定存在後門!

總結:此種方法適用於檢測任意軟體! 對於非黑*客類程式,脫殼後包含惡意程式碼,則可能有後門。而黑*客類程式,釋放可疑新檔案、新增可疑新註冊項、執行工具後連線其他IP或下載其他程式。檢測後門主要方法就這些。希望會對大家有一定的幫助