|
—
本帖被 沉禹倾峰 执行提前操作(2011-06-16)
—
1.简单手工检测法 凡是后门必然需要隐蔽的藏身之所,要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处,如自启动项,据不完全统计,自启动项目有近80多种。 用AutoRuns检查系统启动项。观察可疑启动服务,可疑启动程序路径,如一些常见系统路径一般在system32下,如果执行路径种在非系统的system32目录下发现 notepad System smss.exe csrss.exe winlogon.exe services.exe lsass.exe spoolsv.exe 这类进程出现2个那你的电脑很可能已经中毒了。 如果是网页后门程序一般是检查最近被修改过的文件,当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。 2.拥有反向连接的后门检测 这类后门一般会监听某个指定断口,要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口,看是否有本地ip连接外网ip。 3.无连接的系统后门 如shift,放大镜,屏保后门,这类后门一般都是修改了系统文件,所以检测这类后门的方法就是对照他们的MD5值 如sethc.exe(shift后门)正常用加密工具检测的数值是 MD5 : f09365c4d87098a209bd10d92e7a2bed 如果数值不等于这个就说明被篡改过了。 4.CA后门 CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户,用户组管理也不显示该用户,手工检查一般是在sam里删除该帐号键值。当然要小心,没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户,所以建议服务器最好把guest设置一个复杂密码。 5.对于ICMP这种后门 这种后门比较罕见,如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。
|