如何检测自己所使用的工具中是否含有后门呢?对于有一定经验的高手而言可以使用WSockExpert进行网络数据抓包,如果系统中没有WSockExpert,可以使用Netstat命令,用于显示协议统计信息和当前TCP/IP网络连接及端口占用信息。
1.关闭系统中所有可能连接网络的程序,然后只登录某个程序,打开命令提示符,输入并执行”Netstat -an>C:\NET1.TXT”命令,将未运行木马前的网络连接状态保存在C:\NET1.TXT之中,关闭程序。
2.运行“后门,配置并生成木马程序。
3.运行生成的QQ木马程序后重新登录程序。打开命令提示符,输入并执行”Netstat -an>C:\NET2.TXT”命令,将运行木马后的网络连接保存在C:\NET2.TXT中。
4.比较NET1.TXT和NET2.TXT我们会发现在NET2.TXT中多出了几个网络地址,而除了我们配置得到木马的连接地址外,其它就是后门了。
在用Netstat进行后门测试时要注意:Netstat并不能立即返回当前的网络连接状态,会有延迟,也就是说我们执行Netstat后看到的网络连接状态很可能是3秒钟以前的,不过这并不影响我们对后门的测试。
最后告诉大家,并不是所有的程序都能通过这种方式检测,比如扫描类工具,面对很多动态网络环境的操作,会造成多个变化的网络地址加入到程序中来。