科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>多管齐下 揪出隐藏的后门木马

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在网上许多黑客工具中,都被作者加得有后门,一不小心就很容易中招。怎么判断自己下载的软件里面到底有没有后门呢?今天我就将自己平时检测软件安全性的方法告诉大家……

来源:zdnet网络安全 2008年02月26日

关键字:病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

现在网上许多黑客工具中,都被作者加得有后门,一不小心就很容易中招。怎么判断自己下载的软件里面到底有没有后门呢?今天我就将自己平时检测软件安全性的方法告诉大家……

一、安装程序验身,木马后门不得入内

从网上下载各种软件程序,本身就是一种很危险的行为,许多下载站点网页被恶意者攻击挂马,或是在安装程序中捆绑木马。因此,我首先对下载与安装程序过程进行了检测,看看是否包含木马病毒。

1.搭建测试环境

在进行测试前,笔者往往会先对当前系统备份。笔者最常用系统备份工具是“雨过天晴电脑保护系统”(如图1),这个软件可为系统建立多个还原点,可恢复到任何状态,还原速度不超过十秒钟,最适合进行软件安装测试。使用方法很简单,打开程序界面,点击左侧的“创建进度”按钮,输入进度名称为描述信息,确定后即可为当前系统创建一个备份。

图1

同时,笔者在系统中安装了江民杀毒软件KV2006,并升级了最新的病毒库。然后点击菜单“工具”→“选项”,选择“实时监控”选项卡,开启病毒实时监控的所有项目。

2.检测下载网页及安装程序

因此在打开网页进行下载前,确定开启了杀毒软件网页实时监控项目(如图2),然后从测试网站上下载了一个安全工具,在下载过程中杀毒软件没有提示报警。然后在资源管理器中,右键点击下载来的工具压缩包,选择“江民杀毒”命令,进行彻底的病毒扫描,也未提示有病毒。

图2

二、监视安装过程,后门别想混进

确认开启了KV2006实时监控中的“文件监控”与“注册表监控”功能,开始安装下载的安全工具,在安装过程中KV2006未提示发现病毒,不过注册表监控功能有了提示(如图3)!

图3

刚才安装程序对注册表动了什么手脚呢?点击KV2006界面菜单“工具”→“木马一扫光”,打开木马一扫光工具窗口。点击菜单“查看”→“拦截记录”,在中间的列表窗口中显示了被修改注册表键值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”,该注册表项用于管理IE插件的加载(如图4)。打开IE浏览器,看到工具栏中居然多出了一个“情色搜索”的按钮。

图4

没办法,只好在“运行”中输入“regedit.exe”,执行后打开注册表管理器,找到拦截的注册表键,将其删除掉。最后再次用KV2006扫描程序的安装目录及整个系统,确认系统中没有感染木马及病毒,继续下面的检测。

三、勘察程序留下的脚印

有的程序虽然没有为系统带来木马和病毒,但是却无法完全彻底的卸载清除,会在系统中留下一些后门,悄悄记录用户私密数据。恢复干净的系统后,笔者进行了如下的卸载测试:

1.生成快照

在安装程序前,首先运行了快照工具Regshot,设置“比较记录另存为HTML文档”;勾选“扫描”项,设置“快照目录”为“C:\”;在“输出路径”中设置对比文件保存在“D:\”。然后点击“摄取1”→“摄取并存档”命令,程序开始对当前系统文件及注册表情况生成快照(如图5)。

图5

然后安装程序,运行一段时间后,将程序卸载掉,切换回Regshot程序。点击界面中的“摄取2”→“摄取并存档”命令,程序开始扫描程序卸载后的系统文件及注册表情况并生成快照文件。

2.快照对比

点击“比较”按钮,程序开始对比两次快照文件的不同,对比完毕自动打开比较记录文件。可以看到程序卸载后,未在硬盘中保留其它多余的文件,但是那个注册表键值还保留着的(如图6)。

图6

四、检测伴生木马进程

有一些程序在运行时会同时在内存中解压并运行隐蔽的后门,因此检测程序的伴生进程是很重要的一个步骤。

1.生成进程记录文件

点击“开始”→“运行”菜单,执行“cmd.exe”命令,打开命令提示符窗口。在命令提示符下执行命令:“tasklist >D:\1.txt”,成功后将会在D盘下生成一个名为“1.txt”的文件,其中记录了当前系统中所有的进程名。

运行程序后,再次执行命令:“tasklist >D:\2.txt”,将会生成新的进程记录文件“2.txt”。

3.对比进程列表

在命令提示符窗口中执行命令:“FC D:\1.txt D:\2.txt >D:\3.txt”,成功后将会自动对比两个进程记录文件中的不同,并生成对比文件。打开对比文件“3.txt”,可以看到程序运行后只产生了一个名为“domain3.5.exe”的进程(如图7)。

图7

4.检测隐藏进程

不过Windows中自带的进程管理命令,无法显示一些内核级或带有ROOTKIT隐藏性能的进程,因此还是需要检测程序运行时是否产生了隐藏的间谍进程。可使用我们以前介绍过的IceSword工具,使用方法很简单,这里就不多作介绍了。

五、查处后门程序

有的程序本身就可能有后门组件,开启后没有执行功能即会在后台收集用户私密数据。要发送数据就必须打开端口,因此只要检测系统中是否打开了多余的端口。

运行IceSword,点击左侧“查看”→“端口”,在右侧观察系统端口开放情况。然后运行程序后,在窗口中点击右键,选择“刷新列表”命令,可以看到程序连接了远程主机的8080端口(如图8)!在程序中很有可能包含着某些后门!那就跟踪分析一下后门程序究竟干了些什么!

图8

六、嗅探后门程序

首先,运行Winsock Expert,点击工具栏“打开”,在对话框中点击程序进程名,再点击确定按钮,开始嗅探。在嗅探过程中,笔者进行了正常的网络操作,浏览一些网页撰写了一个文档。过了大约二十分钟后,返回嗅探数据窗口。查看其中“Status”栏中有“send”标记的,点击该列数据,下方窗口显示程序向远程服务器发送了数据信息(如图9)。没想到其中居然有“Username”之类的字符串!虽然发送的数据串看起来比较奇怪,但肯定是发送用户名数据的,那密码之类的信息肯定也被记录发送了!

图9

没想到随便下载的一个所谓“黑客工具”,里面居然有这样的猫腻,笔者赶快关闭了程序并将其彻底清除出系统。网上下载的软件使用时真的要慎重啊!如果碰上一些可疑的程序,可以按笔者介绍的方法时行检测,看看这个程序是不是真的干净!

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题