一些熱衷于安全方面的朋友可能會遇到這樣的困惑,在某些網站下載的 工具本身就含有后門,這有點像網絡中的“無間道”,
安全工具暗藏殺機:快速識別后門程序
。我們先暫且不論到底是如何出現這種情況的,單單看一下如何才能將這些后門揪出來吧。那么如何檢測自己所使用的工具中是否含有后門呢?對于有一定經驗的高手而言可以使用WSockExpert進行網絡數據抓包,如果系統中沒有WSockExpert,可以使用Netstat命令,用于顯示協議統計信息和當前TCP/IP網絡連接及端口占用信息。
1.關閉系統中所有可能連接網絡的程序,然后只登錄某個程序,打開命令提示符,輸入并執行"Netstat -an>C:\NET1.TXT"命令,將未運行木馬前的網絡連接狀態保存在C:\NET1.TXT之中,關閉程序,
電腦資料
《安全工具暗藏殺機:快速識別后門程序》(http://salifelink.com)。2.運行“后門,配置并生成木馬程序。
3.運行生成的QQ木馬程序后重新登錄程序。打開命令提示符,輸入并執行"Netstat -an>C:\NET2.TXT"命令,將運行木馬后的網絡連接保存在C:\NET2.TXT中。
5.比較NET1.TXT和NET2.TXT我們會發現在NET2.TXT中多出了幾個網絡地址,而除了我們配置得到木馬的連接地址外,其它就是后門了。
在用Netstat進行后門測試時要注意:Netstat并不能立即返回當前的網絡連接狀態,會有延遲,也就是說我們執行Netstat后看到的網絡連接狀態很可能是3秒鐘以前的,不過這并不影響我們對后門的測試。
最后告訴大家,并不是所有的程序都能通過這種方式檢測,比如掃描類工具,面對很多動態網絡環境的操作,會造成多個變化的網絡地址加入到程序中來。