如何检测软件后门

最新推荐文章于 2024-04-27 10:03:28 发布
最新推荐文章于 2024-04-27 10:03:28 发布
阅读量987 收藏 8
点赞数 1
文章标签: 运维
原文链接:http://www.cnblogs.com/amwld/archive/2011/05/06/2038443.html
版权
现在网络上的东西愈来愈不可信了。
不论下载什么工具都得多个心眼,特别是经常玩黑的朋友。
俗话说:常在河边走,哪有不湿鞋。弄不好哪天自己就中招了。
下面我就简单分析下,如何判断软件是否有后门。。
我把软件分为两大类:1.非黑*客系列软件(播放器、即时聊天工具)  
                                    2.黑*客系列软件(例如:啊D、S扫描器、**等)
因为大家都知道黑*客系列软件通常都会被杀软报毒,所以必须采用不同的分析方法,分别对待。

检测前,不要运行被检测程序!
主要工具有:PEiD0.95汉化版、捆绑文件提取工具1.0、Filemon7.04汉化版、冰刃1.22中文版、下载者监视器1.0 、Regmon704.rar、
文件分析提交工具
先说第一类非黑*客系列软件检测方法:
      1.检测软件是否捆绑;
         1.1.若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析;
      2.检测软件是否加壳;
             2.1.若加壳,则进行脱壳处理,可用PE检测壳的类型(无无壳,跳过此步);
      3.用文件分析工具分析文件是否包含恶意代码(文件分析提交工具地址: http://www.qianblog.cn/post/334.html36款世界顶尖杀软扫描,每日更新病毒库);
      结论:如果这样还报毒的话,该工具至少80%包含恶意代码,需要慎重使用!

再说说第二类黑*客系列软件检测方法:
这类工具检测比较麻烦,最好把所有应用程序都关了。。或者在虚拟机里面进行
      1.关闭杀软等一切安全软件(防火墙建议开启);
      2.检测软件是否捆绑;



       2.1.若捆绑,则对其进行反捆绑处理,提取其中的文件,逐个按下面方法分析(无捆绑,跳过此步);
      3.检测软件是否加壳;
             3.1.若加壳,则进行脱壳处理,可用PE检测壳的类型(无壳,跳过此步);
      4.开启文件监视、注册表监视(工具:Filemon、Regmon);  
      5.开启抓包工具(工具:WSockExpert);


          6.运行 待检测工具 看是否释放新文件、是否添加新注册项(其行为是否安全,需自己分析);
      7.通过抓包工具判断是否发送其他多余数据(例如:后台下载恶意程序)


8.   开始——运行——cmd——然后输入——netstat -an   判断是否连接其他IP(执行此步骤前,最好把所有需要连网的应用程序都退出)
      结论:释放可疑新文件,添加可疑新注册项,运行工具后连接其他IP。。则一定存在后门!

总结:此种方法适用于检测任意软件! 对于非黑*客类程序,脱壳后包含恶意代码,则可能有后门。而黑*客类程序,释放可疑新文件、添加可疑新注册项、运行工具后连接其他IP或下载其他程序。检测后门主要方法就这些。希望会对大家有一定的帮助

转载于:https://www.cnblogs.com/amwld/archive/2011/05/06/2038443.html

weixin_30666401
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何在百万行代码中发现隐藏的后门
04-13 2万+
试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来嘛?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。即使是一款拥有99....
[KeyarchOS]Chkrootkit后门检测工具的安装
KeyarchOS的博客
09-13 2871
chkrootkit是一种开源工具,旨在帮助检测 Linux 系统中是否存在 rootkit 和恶意软件。rootkit 是一种用于隐藏恶意活动的恶意软件,它能够有效地掩盖自身和其他恶意行为,使攻击者可以在受感染的系统上保持持久的访问权限。它通过搜索常见的 rootkit 文件和代码,包括 Linux 内核模块 (LKM) 和用户空间 rootkit,来识别潜在的威胁。当 chkrootkit 扫描完成后,它会生成一个报告,列出任何被发现的可疑文件、隐藏进程和异常端口等。
https phpstudy_开源项目 | BurpSuite插件:phpStudy后门检测插件
weixin_39835965的博客
11-08 241
背景phpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章,文章里说...
php后门拿下当前目录
aici0819的博客
03-26 378
Weevely是一个模拟类似telnet的连接的隐形PHP网页shell。它是Web应用程序后期开发的必备工具,可以作为隐形后门程序,也可以作为一个web外壳来管理合法的Web帐户,甚至可以免费托管。 weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似tel...
探索BackdoorBox:一款强大的后门检测工具
最新发布
gitblog_00025的博客
04-27 680
探索BackdoorBox:一款强大的后门检测工具 项目地址:https://gitcode.com/THUYimingLi/BackdoorBox 在网络安全领域,预防和检测恶意软件后门至关重要。BackdoorBox 是一个开源项目,专门设计用于帮助安全专家和普通用户识别并清除潜在的系统后门。本文将深入探讨该项目的技术原理、应用场景和独特特性,引导您了解并开始使用它。 项目简介 Backdoo...
计算文件MD5-----return String 可以直接返回给 数据库存储
qq_43011881的博客
09-18 224
/** * 计算文件MD5 * @return 文件MD5 */ public static String getMd5ByFile(byte[] file) throws FileNotFoundException { String value = null; try { MessageDigest md5 = MessageDigest.getInstance("MD5"); md5.update(file); B
在线PHP ASP WebShell后门检查工具
云博客_资源宝分享
09-26 1542
三款查找PHP ASP 后门的工具,一款在线的,两款软件版。 工具均打包了,请下载附件查看! 在线版:webshell.pub 地址:http://www.shellpub.com/ 2.D盾 一句话免疫,主动后门拦截,SESSION保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提权,上传防御,未知0day防御,异 形脚本防御等等。 防止黑客入侵和提权,让服务器更安全。 3.WebShellKiller webshell就是一种可以在web服务器上执行的后台脚本或者命令执行环境,黑客通过入侵
网站被黑 怎么检测代码含有后门
qq_780662763的博客
03-07 3122
收到阿里云的短信提醒说是网站存在后门,webshell恶意通信行为,紧急的安全情况,我第一时间登录阿里云查看详情,点开云盾动态感知,查看了网站木马的详细路径以及webshell的特征,网站从来没有出现过这种情况,一脸懵逼,无奈询问度娘吧,百度搜索了什么是webshell,为了解决这个问题,我可是下了很大的功夫,终于了解清楚并解决了阿里云提示网站后门的这个问题,记录一下我解决问题的过程。 首先我们...
常用软件后门检测工具
11-16
常用软件后门检测工具
给自己的软件添加后门
01-07
C#.NET给自己的软件添加后门
如何检查下载的软件是否带有后门
qq591840685的专栏
10-11 4443
现在网络上的东西愈来愈不可信了。 不论下载什么工具都得多个心眼,特别是经常玩黑的朋友。 俗话说:常在河边走,哪有不湿鞋。弄不好哪天自己就中招了。 下面我就简单分析下,如何判断软件是否有后门。。 我把软件分为两大类:1.非黑*客系列软件(播放器、即时聊天工具) 2.黑*客系列软件(例如:啊D、S扫描器、**等) 因为大家都知道黑*客系列软件通常都会被杀软报毒,所以
常用网站木马文件后门检测工具
weixin_33682790的博客
04-08 2552
我们从网上下载web源码的时候有时会不小心下到带后门的程序,可以使用以下介绍的几款Webshell查杀工具来检测一下,软件后门需多方对比,有能力请手动验证。资源来源于loc。 一、D盾_Web查杀 软件使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。引擎特别针对一句话后门,变量函数后门,${}执行 、preg_replace执行、call_user_func、...
PHP WebSehll 后门脚本与检测工具
悦分享
08-01 1374
PHP是一种动态弱类型语言,参数传递、类型转换、函数调用方式都非常灵活,这给开发者带来开发便利的同时,也给攻击者编写各种畸形恶意代码带来了很多便利,通过翻阅PHP手册
服务器网站后门检测软件,服务器安全工具(后门检测)
weixin_29609679的博客
08-11 1316
服务器安全工具(后门检测)功能1.目前该工具只作为辅助查找,站长可自行添加正则表达式。2.服务器后门检测采用白名单特征检查方式,可检查出所有替换型后门变种。3.网站后门辅查支持自定义白名单,可以在网站初建时或本地原始备份进行白名单制作,可减少扫描结果便于判断。4.服务器综合管理,支持远程终端端口修改及开启,可卸载及管理危险组件。5.开关机时间检查,可发现非正常关机事件6.映像劫持管理,可查看、添加...
如何检测网站后门
热门推荐
lllljz的专栏
01-26 1万+
很多时候我们无法保障下载的网站源码是否有后门,因此需要检测一下,参考了很多方法,觉得用360网站安全检测是最快捷的方式了。 网址: http://safe.webscan.360.cn/
网站后门检测与清除
Lanson的博客
07-18 8794
网站后门, 检测, 清除 网站被入侵之后,肯定会有一些后门,这些后门对网站安全非常危害,下面说下如何检查网站的后门。 1.查看网站的最后修改日期,看哪个文件的修改日期“不和谐” 2.检查程序完整性 现在一些程序,比如Discuz,Dedecms之类的都有检查文件完整性的选项,检查一下吧。 3.查看被添加的管理员 在程序的后台,看看哪些用户被添加成管理员的,对不和谐的用户就不要手下留情,删掉吧
如何检测链接搜索有后门
03-23
检测链接搜索是否有后门的方法有很多种,其中一种比较常见的方法是使用安全扫描工具,例如 Nessus、OpenVAS 等,对链接进行扫描,检测其中是否存在漏洞或后门。此外,还可以使用网络流量分析工具,例如 Wireshark,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值