怎麼看軟件有沒有後門?
如何查看軟件是否有後門? 100分
。。用C32.然後把軟件加載進去後,查找HTTP或WWW,之類的,如果是陌生的網址,可能就是後門,如果都是你熟悉的網址,那沒事,如果軟件真的發現後門了,一定要及時修改,不然不僅僅別 人修改你的軟件那麼簡單了,發現後門後,把後門網址,修改成000之類的就行了
如何檢測軟件有沒有後門和捆綁
一.工具說明:
冰刃:針對一些內核級木馬所必須採用的工具!
木馬輔助查找器:主要利用監視C盤與程序字節大小功能!
進程端口連接器:主要查看所檢測的工具開放什麼敏感端口!
木馬捆綁剋星:沒多大用處,但是這個是誤報算低的了,其他的更不行!
Ollydbg:32 位分析調試器,主要簡單分析下軟件是怎麼運行,釋放的!
System Safety Monitor:類似防火牆,但在加強了應用層監視
這些工具網上都有下載,估計大家都有吧,沒有的話網上搜.....
二本文我介紹兩種方法檢測:
1.初步簡單檢測法
一般我們在一些有名的軟件站下載軟件安全隱患是比較少的,如:天空軟件站!但是不排除他們工作人員檢測的很乾淨,人嘛,難免有疏忽!所以,我們也要做一些簡單檢測!
在檢測之前建議大家在虛擬機中進行,預防一些超級木馬(如格盤程序),這裡我拿美萍密碼破解做演示!
先用木馬輔助查找器自帶的捆綁數據檢測,檢測一下,是安全的!從這個檢測結果看出,它主要檢測的是字節,字節相等非捆綁,這也是其他木馬捆綁剋星所檢測的基本原理!但是本文的木馬克星可不不是這樣,我門來看下:這個木馬捆綁剋星可以檢測出此工具經過是加殼處理,同時也具有修改註冊表的功能!但是不具有網絡功能,我們下一步來運行這個工具再打開進程端口查看器看一下是不是有連接就知道了,:沒有連接網絡!我們再用冰刃看下此軟件有沒有使用到rootkit技術把進程都端口都隱藏了!如果出現隱藏進程,冰刃會有紅色標記起來的!在端口裡刷新一下再用命令netstat -an對比一下端口是不是有隱藏的連接了!
通過以上幾個步驟,基本可以斷定這個小工具是安全的了!如果還不放心,我們再用OD簡單分析下它運作過程!把程序載入OD,下文件處理函數兩個:
然後F9運行一下!我們來看堆棧:
我們再運行一下,程序就跑起來了,說明這個程序並有沒加載其他的可執行程序,只是釋放了一個無效的windows映象文件(mstfime.ime)我們也可以用木馬輔助查找器來監視C盤的動作,但是萬一木馬釋放在別的盤加載啟動項就不安全了!所以這裡我不推薦木馬輔助查找器監視C盤,而用OD!經過這樣的檢測!我們完全可以斷定這個工具是安全的,放心使用了!
二.全面的分析檢測
通過以上的檢測,我們真的是可以放心使用了,起碼我在利用以上方法沒有檢測不到的捆綁.....如果大家對以上還不怎麼放心,下面這個工具絕對讓你放心!
在運行程序前,SSM必須是開著的(廢話),我們用灰鴿子測試看看:
這裡我們要注意一下,允許那裡,我們選擇此操作僅當次就可,因為第一次運行,我們無法判斷它是不是正常軟件,所以我們只能允許一次,如果選擇始終的話,就別檢測了......後面我們再說SSM跟其他防火牆不同的地方!接著走
看,它開始調用C盤windows下的程序(它自己釋放的),我們接著走
允許上兩次動作以後,程序已經運行,它開始想插入IE進程裡了(如果這時我們沒有開網頁,卻有這樣的請求....大家該殺毒了~呵呵)接著允許下去
除了有些P處理安裝程序需要調用CMD以外,一個不知名軟件也調?接著允許
這裡才是關鍵,吊用命令行插入啟動項.....一個反彈木馬運行的整個過程就是這樣,如果我們在OD裡調試這個軟件就會看到它所調用的P處理文件類型,可以從它所釋放目錄裡複製出來分析一下!這個軟件跟防火牆不同的地方是,可以檢測到任意執行文件都會彈出一個對話框提示操作,而防火牆只會提示網絡連接!,如果是一些破壞型木馬,我們用網絡防火牆來監視不是等於沒用了嗎!但是國內的風雲防火牆文件監視能力也不......
怎麼查看一個軟件有沒有後門
這個估計一般不懂語言的人,是看不到的,這個比較專業了,
怎麼查看一個軟件是否有後門?
教你一招!你可以用360安全衛士裡的網絡連接狀態察看這個疑似後門的軟件是否打開了不明IP地址,把這個IP地址記錄下來,然後用瑞星卡卡的IP查詢工具查詢,如果確有問題,那恭把這個軟件刪除!
如何查看自己的電腦有沒有後門
後門,是程序形成的,只要殺軟確認系統裡無毒,基本上就沒啥後門了,後門就是個木馬,就是個軟件而已,不要自己嚇自己說誰連接到你的IP了。。。
那有查看有後門的軟件啊比如查看灰鴿子有沒有後門怎麼查看
給你一個簡單的方法不用第三方軟件 點“開始”——“運行”——cmd (再鍵入netstat -ano)查看相應的後門軟件的端口號,比如灰鴿子=8080,8102=網絡神偷(還要看對應IP) 8000端口一般是QQ用的,如沒開QQ有這個端口哪麼對應進程(就是後門程序)和IP就是對應控制端 當然只是哪個IP只是對方和你電腦最近端IP,因為很多用後門軟件的都會用代理! 呵呵,希望能幫到你·
如何判斷一個軟件有無後門
先去虛擬機裡 打開軟件啊 一般捆綁的軟件會出問題啊 然後看下進程。有沒有遠控的進程。在殺毒啊 殺出來的毒百度搜下下看看是什麼病毒啊
如何查看自己的系統有沒有後門
利用殺毒軟件,掃描利用防火牆,在防火牆看開啟的端口及對應的進程,一般不是系統默認開啟的端口都是可疑的,要找一下對應的進程,找到對應進程,對相應進程進行抓包,看他通信的數據,分析是不是後門
如何查一個軟件有沒有後門或者把這個軟件的運行記錄下
首先用殺毒軟件查查有沒有病毒,其次要裝防火牆,在確認沒有病毒的情況下打開這個程序,看防火牆有沒有提示這個程序要連接互聯網(在沒有需要的情況下)。不過即使連接互聯網也算是正常的,因為很多軟件都要在線升級。關鍵要自己把握,一個軟件到底是有後門還是沒有後面,都說不準,多上網搜索相關的帖子,查查看這個軟件的評價到底怎樣。
如何查看自己的電腦有沒有後門
經常死機:病毒打開了許多文件或佔用了大量內存;不穩定(如內存質量差,硬件超頻性能差等);運行了大容量的軟件佔用了大量的內存和磁盤空間;使用了一些測試軟件(有許多BUG);硬盤空間不夠等等;運行網絡上的軟件時經常死機也許是由於網絡速度太慢,所運行的程序太大,或者自己的工作站硬件配置太低。
系統無法啟動:病毒修改了硬盤的引導信息,或刪除了某些啟動文件。如引導型病毒引導文件損壞;硬盤損壞或參數設置不正確;系統文件人為地誤刪除等。
文件打不開:病毒修改了文件格式;病毒修改了文件鏈接位置。文件損壞;硬盤損壞;文件快捷方式對應的鏈接位置發生了變化;原來編輯文件的軟件刪除了;如果是在局域網中多表現為服務器中文件存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。
經常報告內存不夠:病毒非法佔用了大量內存;打開了大量的軟件;運行了需內存資源的軟件;系統配置不正確;內存本就不夠(目前基本內存要求為128M)等。
提示硬盤空間不夠:病毒複製了大量的病毒文件(這個遇到過好幾例,有時好端端的近10G硬盤安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟件就提示硬盤空間不夠。硬盤每個分區容量太小;安裝了大量的大容量軟件;所有軟件都集中安裝在一個分區之中;硬盤本身就小;如果是在局域網中系統管理員為每個用戶設置了工作站用戶的"私人盤"使用空間限制,因查看的是整個網絡盤的大小,其實"私人盤"上容量已用完了。
軟盤等設備未訪問時出讀寫信號:病毒感染;軟盤取走了還在打開曾經在軟盤中打開過的文件。
出現大量來歷不明的文件:病毒複製文件;可能是一些軟件安裝中產生的臨時文件;也或許是一些軟件的配置信息及運行記錄。
啟動黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等
數據丟失:病毒刪除了文件;硬盤扇區損壞;因恢復文件而覆蓋原文件;如果是在網絡上的文件,也可能是由於其它用戶誤刪除了。鍵盤或鼠標無端地鎖死:病毒作怪,特別要留意"木馬";鍵盤或鼠標損壞;主板上鍵盤或鼠標接口損壞;運行了某個鍵盤或鼠標鎖定程序,所運行的程序太大,長時間系統很忙,表現出按鍵盤或鼠標不起作用。
系統運行速度慢:病毒佔用了內存和CPU資源,在後臺運行了大量非法操作;硬件配置低;打開的程序太多或太大;系統配置不正確;如果是運行網絡上的程序時多數是由於你的機器配置太低造成,也有可能是此時網路上正忙,有許多用戶同時打開一個程序;還有一種可能就是你的硬盤空間不夠用來運行程序時作臨時交換數據用。
系統自動執行操作:病毒在後臺執行非法操作;用戶在註冊表或啟動組中設置了有關程序的自動運行;某些軟件安裝或升級後需自動重啟系統。
通過以上的分析對比,我們知道其實大多數故障都可能是由於人為或軟、硬件故障造成的,當我們發現異常後不要急於下斷言,在殺毒還不能解決的情況下,應仔細分析故障的特徵,排除軟、硬件及人為的可能性。