原创：你别忽悠咱小菜之如何检测软件后门

发布时间：2011-07-08 05:18:36作者：知识屋

声明：原创文章，转载请指名来自华夏联盟（www.hx95.com），违者必究！
华夏联盟原创   ---  你别忽悠咱小菜之如何检测软件后门
                                                                       (转载请申明原版权)
作者：FengGuy
QQ：494031333
------------------------------------------
老帖子，貌似有需求，重发一遍，略微做了一些修改。
------------------------------------------
现在网络上的东西愈来愈不可信了。
不论下载什么工具都得多个心眼，特别是经常玩黑的朋友。
俗话说：常在河边走，哪有不湿鞋。弄不好哪天自己就中招了。
下面我就简单分析下，如何判断软件是否有后门。。
我把软件分为两大类：1.非黑客系列软件（播放器、即时聊天工具）
                                        2.黑客系列软件（例如：啊D、S扫描器、外挂等）
因为大家都知道黑客系列软件通常都会被杀软报毒，所以必须采用不同的分析方法，分别对待。

检测前，不要运行被检测程序！

帖子所需要的工具我附上~~！
主要工具有：PEiD0.95汉化版、捆绑文件提取工具1.0、Filemon7.04汉化版、XueTr、下载者监视器1.0 、Regmon704.rar
为了不浪费大家元宝我就打包了哈。

先说第一类非黑客系列软件检测方法：
         1.检测软件是否捆绑；
            1.1.若捆绑，则对其进行反捆绑处理，提取其中的文件，逐个按下面方法分析；
         2.检测软件是否加壳；
             2.1.若加壳，则进行脱壳处理，可用PE检测壳的类型（无无壳，跳过此步）；
         3.用在线文件分析网站分析文件是否包含恶意代码（在线文件分析网站地址：http://www.virscan.org/  或   http://www.virustotal.com/index.html 世界较为著名的杀软扫描，每日更新病毒库）；
         结论：如果这样还报毒的话，该工具至少80%包含恶意代码，需要慎重使用！ （需考虑误报的情况，目前易语言会被部分杀软误报）

再说说第二类黑客系列软件检测方法：
这类工具检测比较麻烦，最好把所有应用程序都关了。。或者在虚拟机里面进行
         1.关闭杀软等一切安全软件（防火墙建议开启）；
         2.检测软件是否捆绑；
              2.1.若捆绑，则对其进行反捆绑处理，提取其中的文件，逐个按下面方法分析（无捆绑，跳过此步）；
反捆绑工具

         3.检测软件是否加壳；
              3.1.若加壳，则进行脱壳处理，可用PE检测壳的类型（无壳，跳过此步）；
         4.开启文件监视、注册表监视（工具：Filemon、Regmon）；
         5.开启抓包工具（工具：WSockExpert）；
抓包工具
Click Here To EnLarge
         10.查看下载者监视器日志；
         6.开启下载者监视工具（工具：下载者监视器）；
         7.运行待检测工具   看是否释放新文件、是否添加新注册项（其行为是否安全，需自己分析）；
    8.打开XueTr，选择“服务”选项页，看看是否注册可疑新服务；
XueTr服务
Click Here To EnLarge
         9.通过抓包工具判断是否发送其他多余数据（例如：后台下载恶意程序）；

下载者监视器


         11.  开始——运行——cmd——然后输入——netstat -an  判断是否连接其他可疑IP（执行此步骤前，最好把所有需要连网的应用程序都退出）

                 或者运行XueTr，选择“网络”选项页，查看程序连接可疑IP
netstat
Click Here To EnLarge

XueTr网络

         结论：释放可疑新文件，添加可疑新注册项，运行工具后连接其他可疑IP，则极可能存在后门！须谨慎！

        总结：此种方法适用于检测任意软件！对于非黑客类程序，脱壳后包含恶意代码，则可能有后门。而黑客类程序，释放可疑新文件、添加可疑新注册项、注册新服务、运行工具后连接其他IP或下载其他程序。检测后门主要方法就这些。希望会对大家有一定的帮助。