軟件后門檢測之軟件分類：

我們把軟件分為兩類，分別是：

1.非黑客系列軟件（播放器、即時聊天工具）

2.黑客系列軟件（例如：啊D、S掃描器等）

因為大家都知道黑客系列軟件通常都會被殺軟報毒，所以必須采用不同的分析方法，分別對待。檢測前，不要運行被檢測程序！主要工具有：PEiD0.95漢化版、捆綁文件提取工具1.0、Filemon7.04漢化版、冰刃1.22中文版、下載者監視器1.0 、Regmon704.rar、文件分析提交工具。

先說第一類非黑客系列軟件檢測方法：

1.檢測軟件是否捆綁：若捆綁，則對其進行反捆綁處理，提取其中的文件，逐個按下面方法分析；

2.檢測軟件是否加殼：若加殼，則進行脫殼處理，可用PE檢測殼的類型（無無殼，跳過此步）；

3.用文件分析工具分析文件是否包含惡意代碼（文件分析提交工具地址：http://www.qianblog.cn/post/334.html36款世界頂尖殺軟掃描，每日更新病毒庫）；

結論：如果這樣還報毒的話，該工具至少80%包含惡意代碼，需要慎重使用！

再說說第二類黑客系列軟件檢測方法：

這類工具檢測比較麻煩，最好把所有應用程序都關了，或者在虛擬機里面進行。

1.關閉殺軟等一切安全軟件（防火墻建議開啟）；

2.檢測軟件是否捆綁：若捆綁，則對其進行反捆綁處理，提取其中的文件，逐個按下面方法分析（無捆綁，跳過此步）；

3.檢測軟件是否加殼：若加殼，則進行脫殼處理，可用PE檢測殼的類型（無殼，跳過此步）；

4.開啟文件監視、注冊表監視（工具：Filemon、Regmon）；

5.開啟抓包工具（工具：WSockExpert）；

6.運行待檢測工具 看是否釋放新文件、是否添加新注冊項（其行為是否安全，需自己分析）；

7.通過抓包工具判斷是否發送其他多余數據（例如：后臺下載惡意程序）

8. 開始——運行——cmd——然后輸入——netstat -an 判斷是否連接其他IP（執行此步驟前，最好把所有需要連網的應用程序都退出）

結論：釋放可疑新文件，添加可疑新注冊項，運行工具后連接其他IP。。則一定存在軟件后門！

軟件后門檢測總結：

此種方法適用于檢測任意軟件！ 對于非黑客類程序，脫殼后包含惡意代碼，則可能有軟件后門。而黑客類程序，釋放可疑新文件、添加可疑新注冊項、運行工具后連接其他IP或下載其他程序。檢測軟件后門主要方法就這些。希望會對大家有一定的幫助。

【編輯推薦】

1. 木馬通過網頁入侵電腦
2. 計算機安全之認清木馬的原理
3. 像木馬一樣擴散 解讀網游營銷的病毒化
4. 購物類釣魚網站漲幅超三倍 謹防特價木馬病毒
5. 木馬偷偷控制攝像頭 《非誠》女嘉賓遭裸照敲詐