如何检查下载的软件是否带有后门
2015-10-11 09:54
751 查看
现在网络上的东西愈来愈不可信了。
不论下载什么工具都得多个心眼,特别是经常玩黑的朋友。
俗话说:常在河边走,哪有不湿鞋。弄不好哪天自己就中招了。
下面我就简单分析下,如何判断软件是否有后门。。
我把软件分为两大类:1.非黑*客系列软件(播放器、即时聊天工具)
2.黑*客系列软件(例如:啊D、S扫描器、**等)
因为大家都知道黑*客系列软件通常都会被杀软报毒,所以必须采用不同的分析方法,分别对待。
检测前,不要运行被检测程序!
主要工具有:PEiD0.95汉化版、捆绑文件提取工具1.0、Filemon7.04汉化版、冰刃1.22中文版、下载者监视器1.0 、Regmon704.rar、
文件分析提交工具
先说第一类非黑*客系列软件检测方法:
1.检测软件是否捆绑;
1.1.若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析;
2.检测软件是否加壳;
2.1.若加壳,则进行脱壳处理,可用PE检测壳的类型(无无壳,跳过此步);
3.用文件分析工具分析文件是否包含恶意代码(文件分析提交工具地址:http://virscan.org/世界顶尖杀软扫描,每日更新病毒库);
结论:如果这样还报毒的话,该工具至少80%包含恶意代码,需要慎重使用!
再说说第二类黑*客系列软件检测方法:
这类工具检测比较麻烦,最好把所有应用程序都关了。。或者在虚拟机里面进行
1.关闭杀软等一切安全软件(防火墙建议开启);
2.检测软件是否捆绑;
2.1.若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析(无捆绑,跳过此步);
3.检测软件是否加壳;
3.1.若加壳,则进行脱壳处理,可用PE检测壳的类型(无壳,跳过此步);
4.开启文件监视、注册表监视(工具:Filemon、Regmon);
5.开启抓包工具(工具:WSockExpert);
6.运行 待检测工具 看是否释放新文件、是否添加新注册项(其行为是否安全,需自己分析);
7.通过抓包工具判断是否发送其他多余数据(例如:后台下载恶意程序)
8. 开始——运行——cmd——然后输入——netstat -an 判断是否连接其他IP(执行此步骤前,最好把所有需要连网的应用程序都退出)
结论:释放可疑新文件,添加可疑新注册项,运行工具后连接其他IP。。则一定存在后门!
总结:此种方法适用于检测任意软件! 对于非黑*客类程序,脱壳后包含恶意代码,则可能有后门。而黑*客类程序,释放可疑新文件、添加可疑新注册项、运行工具后连接其他IP或下载其他程序。检测后门主要方法就这些。希望会对大家有一定的帮助
不论下载什么工具都得多个心眼,特别是经常玩黑的朋友。
俗话说:常在河边走,哪有不湿鞋。弄不好哪天自己就中招了。
下面我就简单分析下,如何判断软件是否有后门。。
我把软件分为两大类:1.非黑*客系列软件(播放器、即时聊天工具)
2.黑*客系列软件(例如:啊D、S扫描器、**等)
因为大家都知道黑*客系列软件通常都会被杀软报毒,所以必须采用不同的分析方法,分别对待。
检测前,不要运行被检测程序!
主要工具有:PEiD0.95汉化版、捆绑文件提取工具1.0、Filemon7.04汉化版、冰刃1.22中文版、下载者监视器1.0 、Regmon704.rar、
文件分析提交工具
先说第一类非黑*客系列软件检测方法:
1.检测软件是否捆绑;
1.1.若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析;
2.检测软件是否加壳;
2.1.若加壳,则进行脱壳处理,可用PE检测壳的类型(无无壳,跳过此步);
3.用文件分析工具分析文件是否包含恶意代码(文件分析提交工具地址:http://virscan.org/世界顶尖杀软扫描,每日更新病毒库);
结论:如果这样还报毒的话,该工具至少80%包含恶意代码,需要慎重使用!
再说说第二类黑*客系列软件检测方法:
这类工具检测比较麻烦,最好把所有应用程序都关了。。或者在虚拟机里面进行
1.关闭杀软等一切安全软件(防火墙建议开启);
2.检测软件是否捆绑;
2.1.若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析(无捆绑,跳过此步);
3.检测软件是否加壳;
3.1.若加壳,则进行脱壳处理,可用PE检测壳的类型(无壳,跳过此步);
4.开启文件监视、注册表监视(工具:Filemon、Regmon);
5.开启抓包工具(工具:WSockExpert);
6.运行 待检测工具 看是否释放新文件、是否添加新注册项(其行为是否安全,需自己分析);
7.通过抓包工具判断是否发送其他多余数据(例如:后台下载恶意程序)
8. 开始——运行——cmd——然后输入——netstat -an 判断是否连接其他IP(执行此步骤前,最好把所有需要连网的应用程序都退出)
结论:释放可疑新文件,添加可疑新注册项,运行工具后连接其他IP。。则一定存在后门!
总结:此种方法适用于检测任意软件! 对于非黑*客类程序,脱壳后包含恶意代码,则可能有后门。而黑*客类程序,释放可疑新文件、添加可疑新注册项、运行工具后连接其他IP或下载其他程序。检测后门主要方法就这些。希望会对大家有一定的帮助
相关文章推荐
- 一个数组的值先从小到大递增后从大到小递减,找出最大的值
- [HDU 5443]Favorite Donut[KMP][最大表示]
- AAA
- GPU开发笔记(一)
- 阿里的漫漫求职路
- 混合整数规划求解工具
- 简单的循环判断解决约瑟夫环问题
- final关键字
- Java基础知识强化之IO流笔记40:字符流缓冲流之特殊功能 [ newLine() / readLine() ]
- JDK环境变量配置(linux)
- NET基础课-- 类型基础(NET之美)
- 大学最重要的七项学习
- js类的声明和对象的创建
- 前规则
- iOS9种关于App Transport Security详细说明
- 业余期间编程靠乐趣
- Android中shape的使用
- foreach替代不了for
- Hadoop学习笔记Hadoop伪分布式环境建设
- Javascript函数式编程语言