|
|
—
本帖被 沉禹倾峰 执行提前操作(2011-06-16)
—
1.简单手工检测法
凡是后门必然需要隐蔽的藏身之所,要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处,如自启动项,据不完全统计,自启动项目有近80多种。
用AutoRuns检查系统启动项。观察可疑启动服务,可疑启动程序路径,如一些常见系统路径一般在system32下,如果执行路径种在非系统的system32目录下发现
notepad
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
spoolsv.exe
这类进程出现2个那你的电脑很可能已经中毒了。
如果是网页后门程序一般是检查最近被修改过的文件,当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。
2.拥有反向连接的后门检测
这类后门一般会监听某个指定断口,要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口,看是否有本地ip连接外网ip。
3.无连接的系统后门
如shift,放大镜,屏保后门,这类后门一般都是修改了系统文件,所以检测这类后门的方法就是对照他们的MD5值 如sethc.exe(shift后门)正常用加密工具检测的数值是
MD5 : f09365c4d87098a209bd10d92e7a2bed
如果数值不等于这个就说明被篡改过了。
4.CA后门
CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户,用户组管理也不显示该用户,手工检查一般是在sam里删除该帐号键值。当然要小心,没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户,所以建议服务器最好把guest设置一个复杂密码。
5.对于ICMP这种后门
这种后门比较罕见,如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。
|
微博帐号登录