检测捆绑木马及后门de方法
来源:互联网 发布:马云 阿里云 演讲 编辑:程序博客网 时间:2024/04/29 16:43
直接进入主题,这些方法是我常用的方法。也是我个人的经验,本人技术有限哪里说得不好请大家见谅。(以下为本人纯手工打,有的为借鉴)
1.手动查找软件捆绑
我这里拿cmd.exe和udp.exe做测试来检测一下捆绑文件的基本释放路径。
我们把我们的准捆绑文件(这里我是捆绑.exe)直接运行,找到C:\Documents and Settings\Administrator\Local Settings\Temp(临时文件)
发现新增了两个文件一个是cmd.exe另外一个就是udp.exe,其中cmd.exe为捆绑文件。
我们找到任务管理器发现:
当然一般捆绑为后门程序,有的后门会在任务管理器里一闪而过或者是捆绑注入其他文件
运行。这里我们用到别的方法。
2.c32或者(记事本)
我们把捆绑文件载入c32这里我为捆绑.exe 进入16进制模式,找到
一般一个文件只有一个PE头,这里我们找到两个同时在第二个PE头上面发现了被捆绑文件的名称。
txt方法同上,吧捆绑.exe改成txt就可以了、
3.杀毒软件
这里我们用到360,扫描捆绑.exe发现360扫描结果为扫描文件2
由于我没有杀毒软件这里没有图片。大家自己 去测试、
4.显示文件全名
其实很多木“马”者是利用Windows默认的“隐藏已知类型文件扩展名”,比如把木马文件改名为a.jpg的形式,同时文件图标又用常见图像图标来增强迷惑性,a.jpg实际上是a.jpg.exe这个可执行程序。牧“马”者将木马捆绑到一幅JPG图片中,当你双击打开这个文件时,的确实是一幅JPG图片,而木马却在后台偷偷的运行了。
解决方法:打开“我的电脑”,单击“工具→文件夹选项”,单击“查看”,去除“隐藏已知类型文件扩展名”前的小钩。这样如果碰到类似a.jpg.exe的文件就可以看到它的真面目,并格外小心了。
5.用专业检测捆绑软件检测
这里我推荐4款检测软件
这里我就先只暂时记起这几种检测方法,以后会更新一些新方法。我想这几种方法也可以了!
5.沙盘或者360隔离沙箱及虚拟机
注:(沙盘不仅可以防毒,还可以检测后门(吧捆绑文件拖进去会出现几个可执行文件一闪而过!))这里大家都是这种把。。。天衣防火墙或者下载者监视器(非捆绑类木马)等等监视软件都可以检测后门捆绑,我们要检测注册表,系统服务和端口,多杀毒!
6.检测软件后门(这里指收信后门,webshell后门我们只要在密码方面加以改进就好了。例如在密码前面加“#”这样默认后面的密码就被省略,或者密码之间加空格也是一样的它就收不到你的密码了。
我这里也不讲服务器后门,以后我会发几种不常见的服务器后门。)
常用的就是WSockExpert及其他一些抓包工具。
或者ace password sniffer 和网络嗅探器(同时可以查qq好友ip)
有些后门我们直接用c32或者记事本查找http就可以找到了。
7.检测感染型病毒
PEid 这个查壳的软件,这里我没有找到带感染的病毒我就说下怎么看软件是否有感染类的病毒。
一般 这个位置.text* 要是有*符号的话 80%是带感染类型的病毒。
1.手动查找软件捆绑
我这里拿cmd.exe和udp.exe做测试来检测一下捆绑文件的基本释放路径。
我们把我们的准捆绑文件(这里我是捆绑.exe)直接运行,找到C:\Documents and Settings\Administrator\Local Settings\Temp(临时文件)
发现新增了两个文件一个是cmd.exe另外一个就是udp.exe,其中cmd.exe为捆绑文件。
我们找到任务管理器发现:
当然一般捆绑为后门程序,有的后门会在任务管理器里一闪而过或者是捆绑注入其他文件
运行。这里我们用到别的方法。
2.c32或者(记事本)
我们把捆绑文件载入c32这里我为捆绑.exe 进入16进制模式,找到
一般一个文件只有一个PE头,这里我们找到两个同时在第二个PE头上面发现了被捆绑文件的名称。
txt方法同上,吧捆绑.exe改成txt就可以了、
3.杀毒软件
这里我们用到360,扫描捆绑.exe发现360扫描结果为扫描文件2
由于我没有杀毒软件这里没有图片。大家自己 去测试、
4.显示文件全名
其实很多木“马”者是利用Windows默认的“隐藏已知类型文件扩展名”,比如把木马文件改名为a.jpg的形式,同时文件图标又用常见图像图标来增强迷惑性,a.jpg实际上是a.jpg.exe这个可执行程序。牧“马”者将木马捆绑到一幅JPG图片中,当你双击打开这个文件时,的确实是一幅JPG图片,而木马却在后台偷偷的运行了。
解决方法:打开“我的电脑”,单击“工具→文件夹选项”,单击“查看”,去除“隐藏已知类型文件扩展名”前的小钩。这样如果碰到类似a.jpg.exe的文件就可以看到它的真面目,并格外小心了。
5.用专业检测捆绑软件检测
这里我推荐4款检测软件
这里我就先只暂时记起这几种检测方法,以后会更新一些新方法。我想这几种方法也可以了!
5.沙盘或者360隔离沙箱及虚拟机
注:(沙盘不仅可以防毒,还可以检测后门(吧捆绑文件拖进去会出现几个可执行文件一闪而过!))这里大家都是这种把。。。天衣防火墙或者下载者监视器(非捆绑类木马)等等监视软件都可以检测后门捆绑,我们要检测注册表,系统服务和端口,多杀毒!
6.检测软件后门(这里指收信后门,webshell后门我们只要在密码方面加以改进就好了。例如在密码前面加“#”这样默认后面的密码就被省略,或者密码之间加空格也是一样的它就收不到你的密码了。
我这里也不讲服务器后门,以后我会发几种不常见的服务器后门。)
常用的就是WSockExpert及其他一些抓包工具。
或者ace password sniffer 和网络嗅探器(同时可以查qq好友ip)
有些后门我们直接用c32或者记事本查找http就可以找到了。
7.检测感染型病毒
PEid 这个查壳的软件,这里我没有找到带感染的病毒我就说下怎么看软件是否有感染类的病毒。
一般 这个位置.text* 要是有*符号的话 80%是带感染类型的病毒。
- 检测捆绑木马及后门de方法
- 修改注册表对付病毒木马后门及黑客
- 修改注册表对付病毒、木马、后门及黑客程序
- 通过Mysql 的语句生成后门木马的方法!
- 通过Mysql 的语句生成后门木马的方法
- 运用Mysql语句生成后门木马的具体方法
- 通过Mysql的语句生成后门木马的方法
- 通过Mysql的语句生成后门木马的方法
- Linux系统木马后门查杀方法详解
- Linux后门入侵检测方法以及工具
- php 一句话木马、后门
- 木马捆绑器设计思路
- 检测木马
- 检测木马
- 广外专版-木马后门
- 通达OA应对后门检测的临时方法
- 如何检测网站后门
- siglow及netplayone木马查杀方法
- inner join cross join 创建视图
- 小结《第一次软工文档之旅》
- 如何成为一名黑客(转)
- 让屏幕录像专家做出的动画到最小
- PC电源暴拆全面解析
- 检测捆绑木马及后门de方法
- 工作!生活!学习!我的2013
- 黑马程序员_String
- An ffmpeg and SDL Tutorial
- xslt for-each 中,使用动态select
- Tutorial 02: Outputting to the Screen
- 异或交换变量内容
- Tutorial 03: Playing Sound
- 宏指令、代码、语句
