軟件后門檢測(cè)之軟件分類：

我們把軟件分為兩類，分別是：

1.非黑客系列軟件（播放器、即時(shí)聊天工具）

2.黑客系列軟件（例如：啊D、S掃描器等）

因?yàn)榇蠹叶贾篮诳拖盗熊浖ǔ６紩?huì)被殺軟報(bào)毒，所以必須采用不同的分析方法，分別對(duì)待。檢測(cè)前，不要運(yùn)行被檢測(cè)程序！主要工具有：PEiD0.95漢化版、捆綁文件提取工具1.0、Filemon7.04漢化版、冰刃1.22中文版、下載者監(jiān)視器1.0 、Regmon704.rar、文件分析提交工具。

先說第一類非黑客系列軟件檢測(cè)方法：

1.檢測(cè)軟件是否捆綁：若捆綁，則對(duì)其進(jìn)行反捆綁處理，提取其中的文件，逐個(gè)按下面方法分析；

2.檢測(cè)軟件是否加殼：若加殼，則進(jìn)行脫殼處理，可用PE檢測(cè)殼的類型（無無殼，跳過此步）；

3.用文件分析工具分析文件是否包含惡意代碼（文件分析提交工具地址：http://www.qianblog.cn/post/334.html36款世界頂尖殺軟掃描，每日更新病毒庫）；

結(jié)論：如果這樣還報(bào)毒的話，該工具至少80%包含惡意代碼，需要慎重使用！

再說說第二類黑客系列軟件檢測(cè)方法：

這類工具檢測(cè)比較麻煩，最好把所有應(yīng)用程序都關(guān)了，或者在虛擬機(jī)里面進(jìn)行。

1.關(guān)閉殺軟等一切安全軟件（防火墻建議開啟）；

2.檢測(cè)軟件是否捆綁：若捆綁，則對(duì)其進(jìn)行反捆綁處理，提取其中的文件，逐個(gè)按下面方法分析（無捆綁，跳過此步）；

3.檢測(cè)軟件是否加殼：若加殼，則進(jìn)行脫殼處理，可用PE檢測(cè)殼的類型（無殼，跳過此步）；

4.開啟文件監(jiān)視、注冊(cè)表監(jiān)視（工具：Filemon、Regmon）；

5.開啟抓包工具（工具：WSockExpert）；

6.運(yùn)行待檢測(cè)工具 看是否釋放新文件、是否添加新注冊(cè)項(xiàng)（其行為是否安全，需自己分析）；

7.通過抓包工具判斷是否發(fā)送其他多余數(shù)據(jù)（例如：后臺(tái)下載惡意程序）

8. 開始——運(yùn)行——cmd——然后輸入——netstat -an 判斷是否連接其他IP（執(zhí)行此步驟前，最好把所有需要連網(wǎng)的應(yīng)用程序都退出）

結(jié)論：釋放可疑新文件，添加可疑新注冊(cè)項(xiàng)，運(yùn)行工具后連接其他IP。。則一定存在軟件后門！

軟件后門檢測(cè)總結(jié)：

此種方法適用于檢測(cè)任意軟件！ 對(duì)于非黑客類程序，脫殼后包含惡意代碼，則可能有軟件后門。而黑客類程序，釋放可疑新文件、添加可疑新注冊(cè)項(xiàng)、運(yùn)行工具后連接其他IP或下載其他程序。檢測(cè)軟件后門主要方法就這些。希望會(huì)對(duì)大家有一定的幫助。

【編輯推薦】

1. 木馬通過網(wǎng)頁入侵電腦
2. 計(jì)算機(jī)安全之認(rèn)清木馬的原理
3. 像木馬一樣擴(kuò)散 解讀網(wǎng)游營(yíng)銷的病毒化
4. 購(gòu)物類釣魚網(wǎng)站漲幅超三倍 謹(jǐn)防特價(jià)木馬病毒
5. 木馬偷偷控制攝像頭 《非誠(chéng)》女嘉賓遭裸照敲詐