怎么看软件有没有后门?

作者&投稿:调陈 (若有异议请与网页底部的电邮联系)
~ 如何查看软件是否有后门? 100分
。。用C32.然后把软件加载进去后,查找HTTP或WWW,之类的,如果是陌生的网址,可能就是后门,如果都是你熟悉的网址,那没事,如果软件真的发现后门了,一定要及时修改,不然不仅仅别 人修改你的软件那么简单了,发现后门后,把后门网址,修改成000之类的就行了
如何检测软件有没有后门和捆绑
一.工具说明:

冰刃:针对一些内核级木马所必须采用的工具!

木马辅助查找器:主要利用监视C盘与程序字节大小功能!

进程端口连接器:主要查看所检测的工具开放什么敏感端口!

木马捆绑克星:没多大用处,但是这个是误报算低的了,其他的更不行!

Ollydbg:32 位分析调试器,主要简单分析下软件是怎么运行,释放的!

System Safety Monitor:类似防火墙,但在加强了应用层监视

这些工具网上都有下载,估计大家都有吧,没有的话网上搜.....

二本文我介绍两种方法检测:

1.初步简单检测法

一般我们在一些有名的软件站下载软件安全隐患是比较少的,如:天空软件站!但是不排除他们工作人员检测的很干净,人嘛,难免有疏忽!所以,我们也要做一些简单检测!

在检测之前建议大家在虚拟机中进行,预防一些超级木马(如格盘程序),这里我拿美萍密码破解做演示!

先用木马辅助查找器自带的捆绑数据检测,检测一下,是安全的!从这个检测结果看出,它主要检测的是字节,字节相等非捆绑,这也是其他木马捆绑克星所检测的基本原理!但是本文的木马克星可不不是这样,我门来看下:这个木马捆绑克星可以检测出此工具经过是加壳处理,同时也具有修改注册表的功能!但是不具有网络功能,我们下一步来运行这个工具再打开进程端口查看器看一下是不是有连接就知道了,:没有连接网络!我们再用冰刃看下此软件有没有使用到rootkit技术把进程都端口都隐藏了!如果出现隐藏进程,冰刃会有红色标记起来的!在端口里刷新一下再用命令netstat -an对比一下端口是不是有隐藏的连接了!

通过以上几个步骤,基本可以断定这个小工具是安全的了!如果还不放心,我们再用OD简单分析下它运作过程!把程序载入OD,下文件处理函数两个:

然后F9运行一下!我们来看堆栈:

我们再运行一下,程序就跑起来了,说明这个程序并有没加载其他的可执行程序,只是释放了一个无效的windows映象文件(mstfime.ime)我们也可以用木马辅助查找器来监视C盘的动作,但是万一木马释放在别的盘加载启动项就不安全了!所以这里我不推荐木马辅助查找器监视C盘,而用OD!经过这样的检测!我们完全可以断定这个工具是安全的,放心使用了!

二.全面的分析检测

通过以上的检测,我们真的是可以放心使用了,起码我在利用以上方法没有检测不到的捆绑.....如果大家对以上还不怎么放心,下面这个工具绝对让你放心!

在运行程序前,SSM必须是开着的(废话),我们用灰鸽子测试看看:

这里我们要注意一下,允许那里,我们选择此操作仅当次就可,因为第一次运行,我们无法判断它是不是正常软件,所以我们只能允许一次,如果选择始终的话,就别检测了......后面我们再说SSM跟其他防火墙不同的地方!接着走

看,它开始调用C盘windows下的程序(它自己释放的),我们接着走

允许上两次动作以后,程序已经运行,它开始想插入IE进程里了(如果这时我们没有开网页,却有这样的请求....大家该杀毒了~呵呵)接着允许下去

除了有些P处理安装程序需要调用CMD以外,一个不知名软件也调?接着允许

这里才是关键,吊用命令行插入启动项.....一个反弹木马运行的整个过程就是这样,如果我们在OD里调试这个软件就会看到它所调用的P处理文件类型,可以从它所释放目录里复制出来分析一下!这个软件跟防火墙不同的地方是,可以检测到任意执行文件都会弹出一个对话框提示操作,而防火墙只会提示网络连接!,如果是一些破坏型木马,我们用网络防火墙来监视不是等于没用了吗!但是国内的风云防火墙文件监视能力也不......
怎么查看一个软件有没有后门
这个估计一般不懂语言的人,是看不到的,这个比较专业了,
怎么查看一个软件是否有后门?
教你一招!你可以用360安全卫士里的网络连接状态察看这个疑似后门的软件是否打开了不明IP地址,把这个IP地址记录下来,然后用瑞星卡卡的IP查询工具查询,如果确有问题,那恭把这个软件删除!
如何查看自己的电脑有没有后门
后门,是程序形成的,只要杀软确认系统里无毒,基本上就没啥后门了,后门就是个木马,就是个软件而已,不要自己吓自己说谁连接到你的IP了。。。
那有查看有后门的软件啊比如查看灰鸽子有没有后门怎么查看
给你一个简单的方法不用第三方软件 点“开始”——“运行”——cmd (再键入netstat -ano)查看相应的后门软件的端口号,比如灰鸽子=8080,8102=网络神偷(还要看对应IP) 8000端口一般是QQ用的,如没开QQ有这个端口哪么对应进程(就是后门程序)和IP就是对应控制端 当然只是哪个IP只是对方和你电脑最近端IP,因为很多用后门软件的都会用代理! 呵呵,希望能帮到你·
如何判断一个软件有无后门
先去虚拟机里 打开软件啊 一般捆绑的软件会出问题啊 然后看下进程。有没有远控的进程。在杀毒啊 杀出来的毒百度搜下下看看是什么病毒啊
如何查看自己的系统有没有后门
利用杀毒软件,扫描利用防火墙,在防火墙看开启的端口及对应的进程,一般不是系统默认开启的端口都是可疑的,要找一下对应的进程,找到对应进程,对相应进程进行抓包,看他通信的数据,分析是不是后门
如何查一个软件有没有后门或者把这个软件的运行记录下
首先用杀毒软件查查有没有病毒,其次要装防火墙,在确认没有病毒的情况下打开这个程序,看防火墙有没有提示这个程序要连接互联网(在没有需要的情况下)。不过即使连接互联网也算是正常的,因为很多软件都要在线升级。关键要自己把握,一个软件到底是有后门还是没有后面,都说不准,多上网搜索相关的帖子,查查看这个软件的评价到底怎样。
如何查看自己的电脑有没有后门
经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。

系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。

文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。

经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。

提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制,因查看的是整个网络盘的大小,其实"私人盘"上容量已用完了。

软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。

出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。

启动黑屏:病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等

数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。键盘或鼠标无端地锁死:病毒作怪,特别要留意"木马";键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。

系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。

通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。


如何判断软件中有没有后门?有又如何防范?
哥们你好,这情况个人建议你安装360安全卫士,用它对电脑进行全面体检,体检扫描后就可以看到没有有后门,如果扫描出问题,用它的一键修复一般可以处理。

带后门的软件能不能用杀毒软件查出来
这就要看他免杀做的怎么样,如果做的是单一只针对特定几种杀毒软件的话,一般多用几款杀软能查出来,如果免杀做的很好的话,那就试试装一个主动防御软件(东方微点),然后再运行那个程序。有后门的话立即就会阻拦提示,就会看的到。因为主动防御主要是以行为判定而不是特征码判定。

为什么安装的安全软件会提示有后门程序呢?
因为内置了后门程序。大量的问题软件包含有一个叫Plankton的程序,它可以登录远程服务器并上传手机信息比如IMEI码、收藏夹和历史记录信息到目 标服务器。这个后门程序目前正在通过大量的自制程序广泛传播,而其中支持主流App的插件程序更是成为了主要因素。游戏以小鸟报复偷走鸟蛋的肥猪为背景,讲述了小鸟与肥猪...

如何查看app有后门? 比如说安卓的软件,我想知道,它是否给我安了后门...
朋友,个人建议你使用360手机木马专杀处理试试,它可以彻底查杀无法正常卸载的多种流行恶意木马。

怎么样检测一个软件有没有后门
两个字——很难!你想一下啊,如果你一旦找到了软件的后门,你就有了这个软件的管理权,等于你有了一间房屋的钥匙,那房主还得了?不过后门难找,但软件的BUG(也就是漏洞)确是有的,这就涉及到高深的软件逆向工程技术,如软件的调试,反汇翩等。如果是普通的网民,只要注意所用软件的安全性就行...

常见的后门程序有那几类,特点是什么?
常见的后门程序分为以下几类:一、木马后门程序 这类后门通常以伪装成正常软件或文件的形式出现,欺骗用户下载安装并执行,一旦运行就会给攻击者留下后门,以便日后再次入侵。其特点包括:隐蔽性强,难以察觉;可远程操控受害者的计算机;能够收集用户信息并窃取数据。二、系统漏洞后门程序 这类后门程序利用...

怎么看软件有没有后门?
对 这个不容易,但如果软件的开发者有提供软件的MD5值,便很容易的判别软件是否被修改过。每个文件都对应一个唯一的MD5值(就和人类的指纹一样),一旦文件被修改(无论怎样修改)他的MD5值就会变。

如何判断后门软件
优化大师赢政版里面可以检测后门 window优化大师出新版本了7.76(出自官方完全免费)无需破解 新版本的window优化大师7.76标准版 完全免费 正版,不用注册就可以2007年9月5日 Windows优化大师 V7.76 Build 7.905 发布!更新如下:1、改进了系统信息检测。(1)、增加对多核处理器的各核心温度分别监测。

后门和木马有什么区别?
后门和木马的区别为:性质不同、不同、用途不同。一、性质不同 1、后门:后门程序包括了木马程序。2、木马:木马是后门程序的一种。二、引入不同 1、后门:后门可在软件开发过程中和使用过程中引入。2、木马:木马在软件使用过程中引入。三、用途不同 1、后门:后门程序大多数情况下用于远程控制...

什么是后门程序?
一旦后门程序被安装和激活,攻击者就可以绕过正常的系统安全机制,实现未经授权的访问和操作。这种程序通常会隐藏在合法的软件或系统文件中,以躲避检测和安全防护。后门程序的存在严重危害了系统的安全性和隐私,可能导致数据泄露、系统瘫痪等风险。后门程序的特点主要有以下几点:1. 隐蔽性:后门程序通常会以...

合川区19571989329: 怎么查看某个软件 是否有后门 -
百包立健: 腾讯问问电脑安全特聘专家 李涛 : 基本上任何软件都会有后门的 .(为了在线修正该软件的BUG或者私欲或者公利需要的操作) 要向查看 基本上可以通过查看该软件的流量走向 .一般P2P BT定点端口数据流量走在80端口 用一些工具就可以查看的到 不过没必要 因为这些东西 好坏不一 不能仅仅用 有后门就断定它是坏的

合川区19571989329: 如何检查一款软件是否有后门?? -
百包立健: 那不叫后门.那是捆绑木马.用捆绑检测器.你也可以用资源查看器来看下..

合川区19571989329: 怎样知道软件是否被人加后门?
百包立健: 你是玩黑的.就应该知道影子系统.虚拟机这些东西是干什么的. 清除入查找办法: 第一步.用PEID及捆绑检测工具. 第二步.用C32打开.如果有两个或两个以上的PE头就要注意了.另外还要注意里面"HTTP://XXX"的这的东西.因为这可能带有下载功能. 第三步.用下载者监视器.文件监督器这样的工具. 你师傅连这些最基本的都没有教你给.你应该回去抽 他.

合川区19571989329: 谁知道怎么检测软件有没有后门,方便快捷一点的 -
百包立健: 所谓后门一般指软件编写者特意留下为了提供软件出问题时便于修复的一种绕过检测方法的进入手段.或者是软件先天性的缺陷.可以绕过认证机制进入系统之内的一种BUG 一般从安全公司的软件管家下的软件都没有后门,比如说360.从360下的软件都没后门,360公司都检测了软件的安全性的

合川区19571989329: 怎样检测一个软件是否有后门?
百包立健: OD和C32AM只是反汇编工具,OD可以动态调试,但是不能自动检测出木马或后门,只能人工分析汇编代码,动态调试后,才能分析出是否含有后门代码.

合川区19571989329: 怎么看软件有没有后门? -
百包立健: 对 这个不容易,但如果软件的开发者有提供软件的MD5值,便很容易的判别软件是否被修改过. 每个文件都对应一个唯一的MD5值(就和人类的指纹一样),一旦文件被修改(无论怎样修改)他的MD5值就会变.

合川区19571989329: 如何识别软件存不存在后门(台)?
百包立健: 可以到黑客网站下载那种专门查后门的软件(不过要小心) 有的杀毒软件也可识别的

合川区19571989329: 如何检测软件有没有后门和捆绑 -
百包立健: 一.工具说明:冰刃:针对一些内核级木马所必须采用的工具!木马辅助查找器:主要利用监视C盘与程序字节大小功能!进程端口连接器:主要查看所检测的工具开放什么敏感端口!木马捆绑克星:没多大用处,但是这个是误报算低的了,其他...

合川区19571989329: 怎么样才能知道黑客软件有没有后门呀?
百包立健: 判断一个程序有没有后门,分析程序有没有加随系统启动功能,再用filemon监视,看该程序运行过程有没有释放什么东西出来.regmon可以监视一个程序读写注册表情况. 只要是后门,基本都会自动向某网站地址发送当前机器的IP等信息,让安装后门者知道中后门的机器的具体位置,然后连接控制,用WSockExpert可以监视一个或者多个程序的网络数据收发情况. 有些是定时连接某地址的,这个得通过反汇编来分析了,你用OllDbg来分析,如果是后门应该会找到后门里的地址,当然,反汇编前是得先脱壳的,如果有壳的话

合川区19571989329: 怎么检测后门软件
百包立健: 木马后门软件,通常造成影响后,杀毒软件才能更新采取措施实施 封杀 ,封堵... 和警察一样的....亡羊补牢的....

本站内容来自于网友发表,不代表本站立场,仅表示其个人看法,不对其真实性、正确性、有效性作任何的担保
相关事宜请发邮件给我们
© 星空见康网