一些熱衷于安全方面的朋友可能會遇到這樣的困惑,在某些網(wǎng)站下載的 工具本身就含有后門,這有點像網(wǎng)絡(luò)中的“無間道”,
安全工具暗藏殺機:快速識別后門程序
。我們先暫且不論到底是如何出現(xiàn)這種情況的,單單看一下如何才能將這些后門揪出來吧。那么如何檢測自己所使用的工具中是否含有后門呢?對于有一定經(jīng)驗的高手而言可以使用WSockExpert進行網(wǎng)絡(luò)數(shù)據(jù)抓包,如果系統(tǒng)中沒有WSockExpert,可以使用Netstat命令,用于顯示協(xié)議統(tǒng)計信息和當前TCP/IP網(wǎng)絡(luò)連接及端口占用信息。
1.關(guān)閉系統(tǒng)中所有可能連接網(wǎng)絡(luò)的程序,然后只登錄某個程序,打開命令提示符,輸入并執(zhí)行"Netstat -an>C:\NET1.TXT"命令,將未運行木馬前的網(wǎng)絡(luò)連接狀態(tài)保存在C:\NET1.TXT之中,關(guān)閉程序,
電腦資料
《安全工具暗藏殺機:快速識別后門程序》(http://www.oriental01.com)。2.運行“后門,配置并生成木馬程序。
3.運行生成的QQ木馬程序后重新登錄程序。打開命令提示符,輸入并執(zhí)行"Netstat -an>C:\NET2.TXT"命令,將運行木馬后的網(wǎng)絡(luò)連接保存在C:\NET2.TXT中。
5.比較NET1.TXT和NET2.TXT我們會發(fā)現(xiàn)在NET2.TXT中多出了幾個網(wǎng)絡(luò)地址,而除了我們配置得到木馬的連接地址外,其它就是后門了。
在用Netstat進行后門測試時要注意:Netstat并不能立即返回當前的網(wǎng)絡(luò)連接狀態(tài),會有延遲,也就是說我們執(zhí)行Netstat后看到的網(wǎng)絡(luò)連接狀態(tài)很可能是3秒鐘以前的,不過這并不影響我們對后門的測試。
最后告訴大家,并不是所有的程序都能通過這種方式檢測,比如掃描類工具,面對很多動態(tài)網(wǎng)絡(luò)環(huán)境的操作,會造成多個變化的網(wǎng)絡(luò)地址加入到程序中來。