科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道多管齐下 揪出隐藏的后门木马

多管齐下 揪出隐藏的后门木马

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在网上许多黑客工具中,都被作者加得有后门,一不小心就很容易中招。怎么判断自己下载的软件里面到底有没有后门呢?今天我就将自己平时检测软件安全性的方法告诉大家……

作者:论坛整理 来源:zdnet网络安全 2008年2月26日

关键字: 杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

二、监视安装过程,后门别想混进

确认开启了KV2006实时监控中的“文件监控”与“注册表监控”功能,开始安装下载的安全工具,在安装过程中KV2006未提示发现病毒,不过注册表监控功能有了提示(如图3)!

图3

刚才安装程序对注册表动了什么手脚呢?点击KV2006界面菜单“工具”→“木马一扫光”,打开木马一扫光工具窗口。点击菜单“查看”→“拦截记录”,在中间的列表窗口中显示了被修改注册表键值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”,该注册表项用于管理IE插件的加载(如图4)。打开IE浏览器,看到工具栏中居然多出了一个“情色搜索”的按钮。

图4

没办法,只好在“运行”中输入“regedit.exe”,执行后打开注册表管理器,找到拦截的注册表键,将其删除掉。最后再次用KV2006扫描程序的安装目录及整个系统,确认系统中没有感染木马及病毒,继续下面的检测。

三、勘察程序留下的脚印

有的程序虽然没有为系统带来木马和病毒,但是却无法完全彻底的卸载清除,会在系统中留下一些后门,悄悄记录用户私密数据。恢复干净的系统后,笔者进行了如下的卸载测试:

1.生成快照

在安装程序前,首先运行了快照工具Regshot,设置“比较记录另存为HTML文档”;勾选“扫描”项,设置“快照目录”为“C:\”;在“输出路径”中设置对比文件保存在“D:\”。然后点击“摄取1”→“摄取并存档”命令,程序开始对当前系统文件及注册表情况生成快照(如图5)。

图5

然后安装程序,运行一段时间后,将程序卸载掉,切换回Regshot程序。点击界面中的“摄取2”→“摄取并存档”命令,程序开始扫描程序卸载后的系统文件及注册表情况并生成快照文件。

2.快照对比

点击“比较”按钮,程序开始对比两次快照文件的不同,对比完毕自动打开比较记录文件。可以看到程序卸载后,未在硬盘中保留其它多余的文件,但是那个注册表键值还保留着的(如图6)。

图6

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章