三、基于远控的通性反黑客远程控制法——两个软件判断是否存在后门 
并且
大家都说"Svchost.exe“如果与外界的IP连接就肯定是被控制了,这是有道理的。因为现在的远控比如ghost、白金远控就是会有这种现象就是DLL注入到“svhochst.exe“进程进行控制的,所以会有连接,一般来说“
svchost.exe“除了在微软更新的时候可能存在与美国IP的连接,但是其它时候都不会存在与外界进行IP连接的。通过360的网络连接就可以直接看的出来。
icesword里面的进程都是黑色显示的,如果出现有红色的进程,一般都是运用了内核级的
rootkit技术的木马。这样的木马通过任务管理器或者
tasklist /svc 一般都是查看不到进程的,但是用冰刃却可以很快的查看到,如下图所示:
2。icesword的软件很强大这里就不多说了,上面已经举例说了。下面说下SSM工具的使用,首先我先在虚拟机里面安装下这个软件吧。并且开启这个软件,开启这个软件后只要我们
运行任何一个程序都会报警说明软件执行了什么动作!这里我们将一个灰鸽子远控木马拷贝进到我们的虚拟机,当我们点击远控木马的时候SSM马上就报警了,提示
程序启动,这个动作是正常的,因为该程序
需要explorer图形化程序进程启动的。
3.当我们运行之后会发现,这时候程序突然来了一个
注册表修改的动作,懂注册表的都知道这个就是
向HKLC\System\CurretcontrolSet\services里面写入服务。这个就不太正常了,不是安装什么程序,一个简单的程序居然
写入服务,增加服务,可疑!
4.当我们允许此次操作的时候,你会发现
不停的会向注册表写入服务键值,这个肯定就是个可疑的动作,最后发现
木马又释放了程序到系统目录。照理说一
个执行程序不会随意释放程序到系统目录,可疑!
