教你迅速識(shí)別后門程序

一些熱衷于安全方面的朋友可能會(huì)遇到這樣的困惑， 在某些網(wǎng)站下載的黑客工具本身就含有后門， 這有點(diǎn)像網(wǎng)絡(luò)中的“無間道”。 我們先暫且不論到底是如何出現(xiàn)這種情況的， 單單看一下如何才能將這些后門揪出來吧。 　　那么如何檢測(cè)自己所使用的工具中是否含有后門呢?對(duì)于有一定經(jīng)驗(yàn)的高手而言可以使用WSockExpert進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)抓包， 如果系統(tǒng)中沒有WSockExpert， 可以使用Netstat命令， 用于顯示協(xié)議統(tǒng)計(jì)信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接及端口占用信息。 　　1.關(guān)閉系統(tǒng)中所有可能連接網(wǎng)絡(luò)的程序， 然后只登錄某個(gè)程序， 打開命令提示符， 輸入并執(zhí)行Netstat -an>C:\NET1.TXT命令， 將未運(yùn)行木馬前的網(wǎng)絡(luò)連接狀態(tài)保存在C:\NET1.TXT之中， 關(guān)閉程序。 　　2.運(yùn)行“后門， 配置并生成木馬程序。 　　3.運(yùn)行生成的QQ木馬程序后重新登錄程序。 打開命令提示符， 輸入并執(zhí)行Netstat -an>C:\NET2.TXT命令， 將運(yùn)行木馬后的網(wǎng)絡(luò)連接保存在C:\NET2.TXT中。 　　5.比較NET1.TXT和NET2.TXT我們會(huì)發(fā)現(xiàn)在NET2.TXT中多出了幾個(gè)網(wǎng)絡(luò)地址， 而除了我們配置得到木馬的連接地址外， 其它就是后門了。 　　在用Netstat進(jìn)行后門測(cè)試時(shí)要注意：Netstat并不能立即返回當(dāng)前的網(wǎng)絡(luò)連接狀態(tài)， 會(huì)有延遲， 也就是說我們執(zhí)行Netstat后看到的網(wǎng)絡(luò)連接狀態(tài)很可能是3秒鐘以前的， 不過這并不影響我們對(duì)后門的測(cè)試。 　　最后告訴大家， 并不是所有的程序都能通過這種方式檢測(cè)， 比如掃描類工具， 面對(duì)很多動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境的操作， 會(huì)造成多個(gè)變化的網(wǎng)絡(luò)地址加入到程序中來。