多管齊下 揪出隱藏的後門木馬

現在網上許多黑客工具中，都被作者加得有後門，一不小心就很容易中招。怎麼判斷自己下載的軟件裡面到底有沒有後門呢？今天我就將自己平時檢測軟件安全性的方法告訴大家……

一、安裝程序驗身，木馬後門不得入內

從網上下載各種軟件程序，本身就是一種很危險的行為，許多下載站點網頁被惡意者攻擊掛馬，或是在安裝程序中捆綁木馬。因此，我首先對下載與安裝程序過程進行了檢測，看看是否包含木馬病毒。

1.搭建測試環境

在進行測試前，筆者往往會先對當前系統備份。筆者最常用系統備份工具是“雨過天晴電腦保護系統”（如圖1），這個軟件可為系統建立多個還原點，可恢復到任何狀態，還原速度不超過十秒鐘，最適合進行軟件安裝測試。使用方法很簡單，打開程序界面，點擊左側的“創建進度”按鈕，輸入進度名稱為描述信息，確定後即可為當前系統創建一個備份。

圖1

同時，筆者在系統中安裝了江民殺毒軟件KV2006，並升級了最新的病毒庫。然後點擊菜單“工具”→“選項”，選擇“實時監控”選項卡，開啟病毒實時監控的所有項目。

2.檢測下載網頁及安裝程序

因此在打開網頁進行下載前，確定開啟了殺毒軟件網頁實時監控項目（如圖2），然後從測試網站上下載了一個安全工具，在下載過程中殺毒軟件沒有提示報警。然後在資源管理器中，右鍵點擊下載來的工具壓縮包，選擇“江民殺毒”命令，進行徹底的病毒掃描，也未提示有病毒。

圖2

二、監視安裝過程，後門別想混進

確認開啟了KV2006實時監控中的“文件監控”與“注冊表監控”功能，開始安裝下載的安全工具，在安裝過程中KV2006未提示發現病毒，不過注冊表監控功能有了提示（如圖3）！

·經驗共享：隱藏在QQ中的秘密·警惕！武籐蘭背後，隱藏著危機！·系統技巧－如何隱藏回收站·無法正常顯示隱藏文件的解決·顯示不了隱藏文件·隱藏在系統“運行”中的七個技巧·CCProxy代理軟件中隱藏的陰謀·PS2戰神2-隱藏要素 God of War 2·被微軟“深度隱藏”的文件·掃盲：徹底清除隱藏的病毒文件 圖3

剛才安裝程序對注冊表動了什麼手腳呢？點擊KV2006界面菜單“工具”→“木馬一掃光”，打開木馬一掃光工具窗口。點擊菜單“查看”→“攔截記錄”，在中間的列表窗口中顯示了被修改注冊表鍵值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”，該注冊表項用於管理IE插件的加載（如圖4）。打開IE浏覽器，看到工具欄中居然多出了一個“情色搜索”的按鈕。

圖4

沒辦法，只好在“運行”中輸入“regedit.exe”，執行後打開注冊表管理器，找到攔截的注冊表鍵，將其刪除掉。最後再次用KV2006掃描程序的安裝目錄及整個系統，，確認系統中沒有感染木馬及病毒，繼續下面的檢測。

三、勘察程序留下的腳印

有的程序雖然沒有為系統帶來木馬和病毒，但是卻無法完全徹底的卸載清除，會在系統中留下一些後門，悄悄記錄用戶私密數據。恢復干淨的系統後，筆者進行了如下的卸載測試：

1.生成快照

在安裝程序前，首先運行了快照工具Regshot，設置“比較記錄另存為HTML文檔”；勾選“掃描”項，設置“快照目錄”為“C:\”；在“輸出路徑”中設置對比文件保存在“D:\”。然後點擊“攝取1”→“攝取並存檔”命令，程序開始對當前系統文件及注冊表情況生成快照（如圖5）。

圖5

然後安裝程序，運行一段時間後，將程序卸載掉，切換回Regshot程序。點擊界面中的“攝取2”→“攝取並存檔”命令，程序開始掃描程序卸載後的系統文件及注冊表情況並生成快照文件。

2.快照對比

點擊“比較”按鈕，程序開始對比兩次快照文件的不同，對比完畢自動打開比較記錄文件。可以看到程序卸載後，未在硬盤中保留其它多余的文件，但是那個注冊表鍵值還保留著的（如圖6）。

·經驗共享：隱藏在QQ中的秘密·警惕！武籐蘭背後，隱藏著危機！·系統技巧－如何隱藏回收站·無法正常顯示隱藏文件的解決·顯示不了隱藏文件·隱藏在系統“運行”中的七個技巧·CCProxy代理軟件中隱藏的陰謀·PS2戰神2-隱藏要素 God of War 2·被微軟“深度隱藏”的文件·掃盲：徹底清除隱藏的病毒文件 圖6

四、檢測伴生木馬進程

有一些程序在運行時會同時在內存中解壓並運行隱蔽的後門，因此檢測程序的伴生進程是很重要的一個步驟。

1.生成進程記錄文件

點擊“開始”→“運行”菜單，執行“cmd.exe”命令，打開命令提示符窗口。在命令提示符下執行命令：“tasklist >D:\1.txt”，成功後將會在D盤下生成一個名為“1.txt”的文件，其中記錄了當前系統中所有的進程名。

運行程序後，再次執行命令：“tasklist >D:\2.txt”，將會生成新的進程記錄文件“2.txt”。

3.對比進程列表

在命令提示符窗口中執行命令：“FC D:\1.txt D:\2.txt >D:\3.txt”，成功後將會自動對比兩個進程記錄文件中的不同，並生成對比文件。打開對比文件“3.txt”，可以看到程序運行後只產生了一個名為“domain3.5.exe”的進程（如圖7）。

圖7

4.檢測隱藏進程

不過Windows中自帶的進程管理命令，無法顯示一些內核級或帶有ROOTKIT隱藏性能的進程，因此還是需要檢測程序運行時是否產生了隱藏的間諜進程。可使用我們以前介紹過的IceSword工具，使用方法很簡單，這裡就不多作介紹了。

五、查出程序後門

有的程序本身就可能有後門組件，開啟後沒有執行功能即會在後台收集用戶私密數據。要發送數據就必須打開端口，因此只要檢測系統中是否打開了多余的端口。

運行IceSword，點擊左側“查看”→“端口”，在右側觀察系統端口開放情況。然後運行程序後，在窗口中點擊右鍵，選擇“刷新列表”命令，可以看到程序連接了遠程主機的8080端口（如圖8）！在程序中很有可能包含著某些後門！那就跟蹤分析一下後門程序究竟干了些什麼！

·經驗共享：隱藏在QQ中的秘密·警惕！武籐蘭背後，隱藏著危機！·系統技巧－如何隱藏回收站·無法正常顯示隱藏文件的解決·顯示不了隱藏文件·隱藏在系統“運行”中的七個技巧·CCProxy代理軟件中隱藏的陰謀·PS2戰神2-隱藏要素 God of War 2·被微軟“深度隱藏”的文件·掃盲：徹底清除隱藏的病毒文件 圖8

六、嗅探後門程序

首先，運行Winsock Expert，點擊工具欄“打開”，在對話框中點擊程序進程名，再點擊確定按鈕，開始嗅探。在嗅探過程中，筆者進行了正常的網絡操作，浏覽一些網頁撰寫了一個文檔。過了大約二十分鐘後，返回嗅探數據窗口。查看其中“Status”欄中有“send”標記的，點擊該列數據，下方窗口顯示程序向遠程服務器發送了數據信息（如圖9）。沒想到其中居然有“Username”之類的字符串！雖然發送的數據串看起來比較奇怪，但肯定是發送用戶名數據的，那密碼之類的信息肯定也被記錄發送了！

圖9

沒想到隨便下載的一個所謂“黑客工具”，裡面居然有這樣的貓膩，筆者趕快關閉了程序並將其徹底清除出系統。網上下載的軟件使用時真的要慎重啊！如果碰上一些可疑的程序，可以按筆者介紹的方法時行檢測，看看這個程序是不是真的干淨！