現在網上許多黑客工具中,都被作者加得有後門,一不小心就很容易中招。怎麼判斷自己下載的軟件裡面到底有沒有後門呢?今天我就將自己平時檢測軟件安全性的方法告訴大家……
一、安裝程序驗身,木馬後門不得入內
從網上下載各種軟件程序,本身就是一種很危險的行為,許多下載站點網頁被惡意者攻擊掛馬,或是在安裝程序中捆綁木馬。因此,我首先對下載與安裝程序過程進行了檢測,看看是否包含木馬病毒。
1.搭建測試環境
在進行測試前,筆者往往會先對當前系統備份。筆者最常用系統備份工具是“雨過天晴電腦保護系統”(如圖1),這個軟件可為系統建立多個還原點,可恢復到任何狀態,還原速度不超過十秒鐘,最適合進行軟件安裝測試。使用方法很簡單,打開程序界面,點擊左側的“創建進度”按鈕,輸入進度名稱為描述信息,確定後即可為當前系統創建一個備份。
圖1
同時,筆者在系統中安裝了江民殺毒軟件KV2006,並升級了最新的病毒庫。然後點擊菜單“工具”→“選項”,選擇“實時監控”選項卡,開啟病毒實時監控的所有項目。
2.檢測下載網頁及安裝程序
因此在打開網頁進行下載前,確定開啟了殺毒軟件網頁實時監控項目(如圖2),然後從測試網站上下載了一個安全工具,在下載過程中殺毒軟件沒有提示報警。然後在資源管理器中,右鍵點擊下載來的工具壓縮包,選擇“江民殺毒”命令,進行徹底的病毒掃描,也未提示有病毒。
圖2
二、監視安裝過程,後門別想混進
確認開啟了KV2006實時監控中的“文件監控”與“注冊表監控”功能,開始安裝下載的安全工具,在安裝過程中KV2006未提示發現病毒,不過注冊表監控功能有了提示(如圖3)!
·經驗共享:隱藏在QQ中的秘密·警惕!武籐蘭背後,隱藏著危機!·系統技巧-如何隱藏回收站·無法正常顯示隱藏文件的解決·顯示不了隱藏文件·隱藏在系統“運行”中的七個技巧·CCProxy代理軟件中隱藏的陰謀·PS2戰神2-隱藏要素 God of War 2·被微軟“深度隱藏”的文件·掃盲:徹底清除隱藏的病毒文件 圖3
剛才安裝程序對注冊表動了什麼手腳呢?點擊KV2006界面菜單“工具”→“木馬一掃光”,打開木馬一掃光工具窗口。點擊菜單“查看”→“攔截記錄”,在中間的列表窗口中顯示了被修改注冊表鍵值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”,該注冊表項用於管理IE插件的加載(如圖4)。打開IE浏覽器,看到工具欄中居然多出了一個“情色搜索”的按鈕。
圖4
沒辦法,只好在“運行”中輸入“regedit.exe”,執行後打開注冊表管理器,找到攔截的注冊表鍵,將其刪除掉。最後再次用KV2006掃描程序的安裝目錄及整個系統,,確認系統中沒有感染木馬及病毒,繼續下面的檢測。
三、勘察程序留下的腳印
有的程序雖然沒有為系統帶來木馬和病毒,但是卻無法完全徹底的卸載清除,會在系統中留下一些後門,悄悄記錄用戶私密數據。恢復干淨的系統後,筆者進行了如下的卸載測試:
1.生成快照
在安裝程序前,首先運行了快照工具Regshot,設置“比較記錄另存為HTML文檔”;勾選“掃描”項,設置“快照目錄”為“C:\”;在“輸出路徑”中設置對比文件保存在“D:\”。然後點擊“攝取1”→“攝取並存檔”命令,程序開始對當前系統文件及注冊表情況生成快照(如圖5)。
圖5
然後安裝程序,運行一段時間後,將程序卸載掉,切換回Regshot程序。點擊界面中的“攝取2”→“攝取並存檔”命令,程序開始掃描程序卸載後的系統文件及注冊表情況並生成快照文件。
2.快照對比
點擊“比較”按鈕,程序開始對比兩次快照文件的不同,對比完畢自動打開比較記錄文件。可以看到程序卸載後,未在硬盤中保留其它多余的文件,但是那個注冊表鍵值還保留著的(如圖6)。
·經驗共享:隱藏在QQ中的秘密·警惕!武籐蘭背後,隱藏著危機!·系統技巧-如何隱藏回收站·無法正常顯示隱藏文件的解決·顯示不了隱藏文件·隱藏在系統“運行”中的七個技巧·CCProxy代理軟件中隱藏的陰謀·PS2戰神2-隱藏要素 God of War 2·被微軟“深度隱藏”的文件·掃盲:徹底清除隱藏的病毒文件 圖6
四、檢測伴生木馬進程
有一些程序在運行時會同時在內存中解壓並運行隱蔽的後門,因此檢測程序的伴生進程是很重要的一個步驟。
1.生成進程記錄文件
點擊“開始”→“運行”菜單,執行“cmd.exe”命令,打開命令提示符窗口。在命令提示符下執行命令:“tasklist >D:\1.txt”,成功後將會在D盤下生成一個名為“1.txt”的文件,其中記錄了當前系統中所有的進程名。
運行程序後,再次執行命令:“tasklist >D:\2.txt”,將會生成新的進程記錄文件“2.txt”。
3.對比進程列表
在命令提示符窗口中執行命令:“FC D:\1.txt D:\2.txt >D:\3.txt”,成功後將會自動對比兩個進程記錄文件中的不同,並生成對比文件。打開對比文件“3.txt”,可以看到程序運行後只產生了一個名為“domain3.5.exe”的進程(如圖7)。
圖7
4.檢測隱藏進程
不過Windows中自帶的進程管理命令,無法顯示一些內核級或帶有ROOTKIT隱藏性能的進程,因此還是需要檢測程序運行時是否產生了隱藏的間諜進程。可使用我們以前介紹過的IceSword工具,使用方法很簡單,這裡就不多作介紹了。
五、查出程序後門
有的程序本身就可能有後門組件,開啟後沒有執行功能即會在後台收集用戶私密數據。要發送數據就必須打開端口,因此只要檢測系統中是否打開了多余的端口。
運行IceSword,點擊左側“查看”→“端口”,在右側觀察系統端口開放情況。然後運行程序後,在窗口中點擊右鍵,選擇“刷新列表”命令,可以看到程序連接了遠程主機的8080端口(如圖8)!在程序中很有可能包含著某些後門!那就跟蹤分析一下後門程序究竟干了些什麼!
·經驗共享:隱藏在QQ中的秘密·警惕!武籐蘭背後,隱藏著危機!·系統技巧-如何隱藏回收站·無法正常顯示隱藏文件的解決·顯示不了隱藏文件·隱藏在系統“運行”中的七個技巧·CCProxy代理軟件中隱藏的陰謀·PS2戰神2-隱藏要素 God of War 2·被微軟“深度隱藏”的文件·掃盲:徹底清除隱藏的病毒文件 圖8
六、嗅探後門程序
首先,運行Winsock Expert,點擊工具欄“打開”,在對話框中點擊程序進程名,再點擊確定按鈕,開始嗅探。在嗅探過程中,筆者進行了正常的網絡操作,浏覽一些網頁撰寫了一個文檔。過了大約二十分鐘後,返回嗅探數據窗口。查看其中“Status”欄中有“send”標記的,點擊該列數據,下方窗口顯示程序向遠程服務器發送了數據信息(如圖9)。沒想到其中居然有“Username”之類的字符串!雖然發送的數據串看起來比較奇怪,但肯定是發送用戶名數據的,那密碼之類的信息肯定也被記錄發送了!
圖9
沒想到隨便下載的一個所謂“黑客工具”,裡面居然有這樣的貓膩,筆者趕快關閉了程序並將其徹底清除出系統。網上下載的軟件使用時真的要慎重啊!如果碰上一些可疑的程序,可以按筆者介紹的方法時行檢測,看看這個程序是不是真的干淨!