论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 3487阅读
  • 2回复

[求助-安全问题]如何检测后门 [复制链接]

上一主题 下一主题
离线ahyanglf
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2011-06-16 11:21:13
— 本帖被 沉禹倾峰 执行提前操作(2011-06-16) —

1.简单手工检测法
  凡是后门必然需要隐蔽的藏身之所,要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处,如自启动项,据不完全统计,自启动项目有近80多种。
  用AutoRuns检查系统启动项。观察可疑启动服务,可疑启动程序路径,如一些常见系统路径一般在system32下,如果执行路径种在非系统的system32目录下发现
  notepad
  System
  smss.exe
  csrss.exe
  winlogon.exe
  services.exe
  lsass.exe
  spoolsv.exe
  这类进程出现2个那你的电脑很可能已经中毒了。
  如果是网页后门程序一般是检查最近被修改过的文件,当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。
  2.拥有反向连接的后门检测
  这类后门一般会监听某个指定断口,要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口,看是否有本地ip连接外网ip。
  3.无连接的系统后门
  如shift,放大镜,屏保后门,这类后门一般都是修改了系统文件,所以检测这类后门的方法就是对照他们的MD5值 如sethc.exe(shift后门)正常用加密工具检测的数值是
  MD5 : f09365c4d87098a209bd10d92e7a2bed
  如果数值不等于这个就说明被篡改过了。
  4.CA后门
  CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户,用户组管理也不显示该用户,手工检查一般是在sam里删除该帐号键值。当然要小心,没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户,所以建议服务器最好把guest设置一个复杂密码。
  5.对于ICMP这种后门
  这种后门比较罕见,如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。
1条评分电魂+10
沉禹倾峰 电魂 +10 优秀文章,谢谢分享。 2011-06-16
离线风过无湮
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2011-06-16 11:41:07
嗯认真学习  谢谢分享
离线加贝518

发帖
26274
今日发帖
最后登录
2015-10-24
只看该作者 板凳  发表于: 2011-06-16 13:57:44
这个得认真学学的