简单反查黑客远程控制/后门的方法（四）

楼主^#

更多发布于：2013-03-21 12:52

[] 1


	5.此允许发现最后一步又有一个进程尝试注入到IE里面进行以IE后台启动木马，很明显就能分析出就是个可疑的木马程序，很可能就是后门木马，它有写入服务的这一通性！通过SSM的拦截程序动作就可以分析一个程序是不是绑有后门木马。图片：20130321124039807.jpg 三、通过TCPVIEW和360安全卫士体检查看后门木马 1.这个方法很简单，如果我们想分析一个软件是否有后门？简单！为了方便我们的分析，我们可以先把一些联网的程序关闭，先用TCPIP 来检测，先暂时关闭360安全卫士吧。下面我用一个带后门的灰鸽子远控来进行演示，首先打开我的TCPVIEW程序，查看到没有任何连接的情况。图片：20130321124040462.jpg 2.此时我去运行一个带有后门捆绑的灰鸽子远程控制软件，大家眼睛仔细观看下，正常的我们来说是打开灰鸽子后只有监听着8000端口才是正常，但是这里有一个"svchost.exe"的程序马上向一个IP为：125.77.199.30 的8000端口尝试连接，也就是状态SYN_SENT，该状态意思就是尝试向该IP发起第一次连接请求。很明显该软件可以捆绑了后门木马。图片：20130321124040117.jpg 3.此时再过几秒观察，我们会发现该可疑的进程又突然尝试向IP为“125.77.199.30"的8000端口尝试连接。这很明显符合反弹型远程控制的特点，当木马运行后，如果黑客不在线会每个隔30秒向黑客发起连接，如果一旦黑客在线就是连接状态，不在线就是不停隔30进行发起TCP连接。如下图：很可惜该IP的黑客不在线，所以后门程序才会不停地尝试连接，如果黑客在线则会马上变为连接状态。图片：20130321124040125.jpg 4.还可以通过360的体检来进行查看的。首先打开360体检下保证你的系统暂时是不存在任何可疑的东西的。下面是我在没运行这个带后门的灰鸽子软件的体检报告。图片：20130321124041239.jpg 5.好，在确认没有任何可疑的现象的时候，我们马上去打开带后门的灰鸽子（最好不要将灰鸽子放到桌面，放到其它磁盘去，方便体检的时候不会体检到桌面）来看看之后关闭掉带后门的灰鸽子去（防止体检到内存中运行着远控软件），再去体检下我们的系统. 图片：20130321124041666.jpg 6.咦，这时候有个未知的高风险程序Winhelp32.exe的木马。是系统关键位置，它不是灰鸽子的程序，而是将木马自身复制一份残留在系统目录中！！！有的还可能会报可疑的启动项!通过体检报告，一看就知道是捆绑了后门的软件，马上清除掉去！这就是木马的一个特性释放在某个目录，通过服务或者随机启动来开机启动木马。经验： 1.查注册表启动项！ 2.查服务启动！ 3.查可疑网络连接！ 4.查系统重要目录中的隐藏文件！ 5.查svchost.exe宿主程序中的服务！ 6.查数字签名！等等!