1、看体积。一般后门比较小，隐蔽嘛！
2、看Import表。要是你看见有wsock32.dll或wininet.dll什么的，请当心！它为什么要用这个？向外面发你的密码！还有，要是看见平时难得见到的API，比如TlsSetValue什么的，特别是和底层有关的，也要当心。干什么？做线程插入！
3、直接拿记事本看文件内容。如果在文件末尾看见类似Base64的字符串，请当心。一般偷密码的后门什么的为了附加邮箱信息，一般把mail地址变换以后加在文件末尾，看上去象B64。但现在许多xx密码大盗/小偷会先把它加密后做B64，所以惩罚他是没有指望了。

下面，我拿http://bbs.pediy.com/showthread.php?s=&threadid=9057开刀，顺便练练手脱。

因为有某兄弟的教训，我基本是F7+过一个call就dump一下。
到4113F4就可以看见原来的文件内容了。没什么难的。

这个东西是delphi写的。用peid可以看见有B64的表。还有，可以看见有SMTP命令，这绝对是个偷密码的后门！

再向下，发现有QQ2003/QQ2004字样，偷QQ密码！

下面是从文件里得到的一些字符串，中招的弟兄自己看！

Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Deleteme.bat
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\密码防盗专家 综合版

PasswordGuard.exe
KVFW.EXE
Symantec AntiVirus 企业版
江民杀毒软件 KV2004：实时监视
RavMon.exe
ZoneAlarm
天网防火墙个人版
天网防火墙企业版
噬菌体
木马克星
SoftWare\Microsoft\Windows\CurrentVersion\Run

还有，它用了RegisterServiceProcess，注册服务！注意到里面有NTdhcp字样，这可能是服务名称！

把自己复制到系统目录下，然后在run中留种。到你开机时，调用RegisterServiceProcess注册自身为服务。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法