教菜鸟检测后门法

楼主^#

更多发布于：2011-12-01 13:49

[] 1


	1.简单手工检测法　　凡是后门必然需要隐蔽的藏身之所，要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处，如自启动项，据不完全统计，自启动项目有近80多种。　　用AutoRuns检查系统启动项。观察可疑启动服务，可疑启动程序路径，如一些常见系统路径一般在system32下，如果执行路径种在非系统的system32目录下发现　　notepad 　　System 　　smss.exe 　　csrss.exe 　　winlogon.exe 　　services.exe 　　lsass.exe 　　spoolsv.exe 　　这类进程出现2个那你的电脑很可能已经中毒了。　　如果是网页后门程序一般是检查最近被修改过的文件，当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。　　2.拥有反向连接的后门检测　　这类后门一般会监听某个指定断口，要检查这类后门需要用到DOS命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口，看是否有本地ip连接外网ip。　　3.无连接的系统后门　　如shift，放大镜，屏保后门，这类后门一般都是修改了系统文件，所以检测这类后门的方法就是对照他们的MD5值如sethc.exe(shift后门)正常用加密工具检测的数值是　　MD5 : f09365c4d87098a209bd10d92e7a2bed 　　如果数值不等于这个就说明被篡改过了。　　4.CA后门　　CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户，用户组管理也不显示该用户，手工检查一般是在sam里删除该帐号键值。当然要小心，没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户，所以建议服务器最好把guest设置一个复杂密码。　　5.对于ICMP这种后门　　这种后门比较罕见，如果真要预防只有在默认windows防火墙中设置只允许ICMP传入的回显请求了。