注:后门,指房间的背后的可以自由出入的门,相对于明显的前门。
后门软件,指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的黑客技术。
通常在软件开发时,设置后门可以修方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,
那么它就对计算机系统安全造成了威胁。
--------------------------------------------------------------------------------------------------------
第一类非黑客系列软件的检测方法:
1.检测软件是否捆绑; 利用工具 反文件捆绑器、魔龙EXE捆绑检测(google+baidu 自己找工具)
1.1.若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析;
2.检测软件是否加壳;
2.1.若加壳,则进行脱壳处理,可用PE检测壳的类型(无捆绑,跳过此步);
3.利用病毒检测引擎对您的可疑文件进行在线扫描,并可以立刻将检测结果显示出来,从而提供给您可疑程度的建议。
引擎1 http://www.virscan.org/
引擎2 http://www.virustotal.com/
引擎3 http://virusscan.jotti.org/
引擎4 http://scanner.virus.org/
引擎5 http://www.viruschief.com/
结论:如果这样报毒的话,该工具至少80%包含恶意代码,就是所谓的后门程序软件了,需要慎重使用!
第二类黑客系列软件的检测方法:
这类工具检测比较麻烦了,最好把所有应用程序都关了。。或者在虚拟机里面进行
1.关闭杀软等一切安全软件(防火墙建议开启);
2.检测软件是否捆绑;
2.1.若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析(无捆绑,跳过此步);
3.检测软件是否加壳;
3.1.若加壳,则进行脱壳处理,可用PE检测壳的类型(无壳,跳过此步);
4.开启文件监视、注册表监视(工具:Filemon、Regmon);
5.开启抓包工具(工具:WSockExpert);
6.运行 待检测工具 看是否释放新文件、是否添加新注册项(其行为是否安全,需自己分析);
7.通过抓包工具判断是否发送其他多余数据(例如:后台下载恶意程序)
8. 开始——运行——cmd——然后输入——netstat -an 判断是否连接其他IP(执行此步骤前,最好把所有需要连网的应用程序都退出)
结论:释放可疑新文件,添加可疑新注册项,运行工具后连接其他IP。。则一定存在后门!
总结:此种方法适用于检测任意软件! 对于非黑客类程序,脱壳后包含恶意代码,则可能有后门。而黑客类程序,释放可疑新文件、添加可疑新注册项、
运行工具后连接其他IP或下载其他程序。都是需要慎重考虑的!
检测后门主要方法就这些。希望会对大家有一定的帮助。多实践总会有所帮助的! 呵呵
----binarying
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法