多管齐下 揪出隐藏的后门木马

现在网上许多黑客工具中，都被作者加得有后门，一不小心就很容易中招。怎么判断自己下载的软件里面到底有没有后门呢？今天我就将自己平时检测软件安全性的方法告诉大家……

一、安装程序验身，木马后门不得入内

从网上下载各种软件程序，本身就是一种很危险的行为，许多下载站点网页被恶意者攻击挂马，或是在安装程序中捆绑木马。因此，我首先对下载与安装程序过程进行了检测，看看是否包含木马病毒。

1.搭建测试环境

在进行测试前，笔者往往会先对当前系统备份。笔者最常用系统备份工具是“雨过天晴电脑保护系统”（如图1），这个软件可为系统建立多个还原点，可恢复到任何状态，还原速度不超过十秒钟，最适合进行软件安装测试。使用方法很简单，打开程序界面，点击左侧的“创建进度”按钮，输入进度名称为描述信息，确定后即可为当前系统创建一个备份。

图1

同时，笔者在系统中安装了江民杀毒软件KV2006，并升级了最新的病毒库。然后点击菜单“工具”→“选项”，选择“实时监控”选项卡，开启病毒实时监控的所有项目。

2.检测下载网页及安装程序

因此在打开网页进行下载前，确定开启了杀毒软件网页实时监控项目（如图2），然后从测试网站上下载了一个安全工具，在下载过程中杀毒软件没有提示报警。然后在资源管理器中，右键点击下载来的工具压缩包，选择“江民杀毒”命令，进行彻底的病毒扫描，也未提示有病毒。

图2

二、监视安装过程，后门别想混进

确认开启了KV2006实时监控中的“文件监控”与“注册表监控”功能，开始安装下载的安全工具，在安装过程中KV2006未提示发现病毒，不过注册表监控功能有了提示（如图3）！

图3

刚才安装程序对注册表动了什么手脚呢？点击KV2006界面菜单“工具”→“木马一扫光”，打开木马一扫光工具窗口。点击菜单“查看”→“拦截记录”，在中间的列表窗口中显示了被修改注册表键值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”，该注册表项用于管理IE插件的加载（如图4）。打开IE浏览器，看到工具栏中居然多出了一个“情色搜索”的按钮。

图4

没办法，只好在“运行”中输入“regedit.exe”，执行后打开注册表管理器，找到拦截的注册表键，将其删除掉。最后再次用KV2006扫描程序的安装目录及整个系统，确认系统中没有感染木马及病毒，继续下面的检测。

三、勘察程序留下的脚印

有的程序虽然没有为系统带来木马和病毒，但是却无法完全彻底的卸载清除，会在系统中留下一些后门，悄悄记录用户私密数据。恢复干净的系统后，笔者进行了如下的卸载测试：

1.生成快照

在安装程序前，首先运行了快照工具Regshot，设置“比较记录另存为HTML文档”；勾选“扫描”项，设置“快照目录”为“C:\”；在“输出路径”中设置对比文件保存在“D:\”。然后点击“摄取1”→“摄取并存档”命令，程序开始对当前系统文件及注册表情况生成快照（如图5）。

图5

然后安装程序，运行一段时间后，将程序卸载掉，切换回Regshot程序。点击界面中的“摄取2”→“摄取并存档”命令，程序开始扫描程序卸载后的系统文件及注册表情况并生成快照文件。

2.快照对比

点击“比较”按钮，程序开始对比两次快照文件的不同，对比完毕自动打开比较记录文件。可以看到程序卸载后，未在硬盘中保留其它多余的文件，但是那个注册表键值还保留着的（如图6）。

图6

四、检测伴生木马进程

有一些程序在运行时会同时在内存中解压并运行隐蔽的后门，因此检测程序的伴生进程是很重要的一个步骤。

1.生成进程记录文件

点击“开始”→“运行”菜单，执行“cmd.exe”命令，打开命令提示符窗口。在命令提示符下执行命令：“tasklist >D:\1.txt”，成功后将会在D盘下生成一个名为“1.txt”的文件，其中记录了当前系统中所有的进程名。

运行程序后，再次执行命令：“tasklist >D:\2.txt”，将会生成新的进程记录文件“2.txt”。

3.对比进程列表

在命令提示符窗口中执行命令：“FC D:\1.txt D:\2.txt >D:\3.txt”，成功后将会自动对比两个进程记录文件中的不同，并生成对比文件。打开对比文件“3.txt”，可以看到程序运行后只产生了一个名为“domain3.5.exe”的进程（如图7）。

图7

4.检测隐藏进程

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有