如何檢查下載的軟體是否帶有後門
現在網路上的東西愈來愈不可信了。
不論下載什麼工具都得多個心眼,特別是經常玩黑的朋友。
俗話說:常在河邊走,哪有不溼鞋。弄不好哪天自己就中招了。
下面我就簡單分析下,如何判斷軟體是否有後門。。
我把軟體分為兩大類:1.非黑*客系列軟體(播放器、即時聊天工具)
2.黑*客系列軟體(例如:啊D、S掃描器、**等)
因為大家都知道黑*客系列軟體通常都會被殺軟報毒,所以必須採用不同的分析方法,分別對待。
檢測前,不要執行被檢測程式!
主要工具有:PEiD0.95漢化版、捆綁檔案提取工具1.0、Filemon7.04漢化版、冰刃1.22中文版、下載者監視器1.0 、Regmon704.rar、
檔案分析提交工具
先說第一類非黑*客系列軟體檢測方法:
1.檢測軟體是否捆綁;
1.1.若捆綁,則對其進行反捆綁處理,提取其中的檔案,逐個按下面方法分析;
2.檢測軟體是否加殼;
2.1.若加殼,則進行脫殼處理,可用PE檢測殼的型別(無無殼,跳過此步);
3.用檔案分析工具分析檔案是否包含惡意程式碼(檔案分析提交工具地址:http://virscan.org/世界頂尖殺軟掃描,每日更新病毒庫);
結論:如果這樣還報毒的話,該工具至少80%包含惡意程式碼,需要慎重使用!
再說說第二類黑*客系列軟體檢測方法:
這類工具檢測比較麻煩,最好把所有應用程式都關了。。或者在虛擬機器裡面進行
1.關閉殺軟等一切安全軟體(防火牆建議開啟);
2.檢測軟體是否捆綁;
2.1.若捆綁,則對其進行反捆綁處理,提取其中的檔案,逐個按下面方法分析(無捆綁,跳過此步);
3.檢測軟體是否加殼;
3.1.若加殼,則進行脫殼處理,可用PE檢測殼的型別(無殼,跳過此步);
4.開啟檔案監視、登錄檔監視(工具:Filemon、Regmon);
5.開啟抓包工具(工具:WSockExpert);
6.執行 待檢測工具 看是否釋放新檔案、是否新增新註冊項(其行為是否安全,需自己分析);
7.通過抓包工具判斷是否傳送其他多餘資料(例如:後臺下載惡意程式)
8. 開始——執行——cmd——然後輸入——netstat -an 判斷是否連線其他IP(執行此步驟前,最好把所有需要連網的應用程式都退出)
結論:釋放可疑新檔案,新增可疑新註冊項,執行工具後連線其他IP。。則一定存在後門!
總結:此種方法適用於檢測任意軟體! 對於非黑*客類程式,脫殼後包含惡意程式碼,則可能有後門。而黑*客類程式,釋放可疑新檔案、新增可疑新註冊項、執行工具後連線其他IP或下載其他程式。檢測後門主要方法就這些。希望會對大家有一定的幫助