多管齐下 揪出隐藏的后门木马(2)

不过Windows中自带的进程管理命令，无法显示一些内核级或带有ROOTKIT隐藏性能的进程，因此还是需要检测程序运行时是否产生了隐藏的间谍进程。可使用我们以前介绍过的IceSword工具，使用方法很简单，这里就不多作介绍了。

五、查出程序后门

有的程序本身就可能有后门组件，开启后没有执行功能即会在后台收集用户私密数据。要发送数据就必须打开端口，因此只要检测系统中是否打开了多余的端口。

运行IceSword，点击左侧“查看”→“端口”，在右侧观察系统端口开放情况。然后运行程序后，在窗口中点击右键，选择“刷新列表”命令，可以看到程序连接了远程主机的8080端口（如图8）！在程序中很有可能包含着某些后门！那就跟踪分析一下后门程序究竟干了些什么！

图8

六、嗅探后门程序

首先，运行Winsock Expert，点击工具栏“打开”，在对话框中点击程序进程名，再点击确定按钮，开始嗅探。在嗅探过程中，笔者进行了正常的网络操作，浏览一些网页撰写了一个文档。过了大约二十分钟后，返回嗅探数据窗口。查看其中“Status”栏中有“send”标记的，点击该列数据，下方窗口显示程序向远程服务器发送了数据信息（如图9）。没想到其中居然有“Username”之类的字符串！虽然发送的数据串看起来比较奇怪，但肯定是发送用户名数据的，那密码之类的信息肯定也被记录发送了！

图9

没想到随便下载的一个所谓“黑客工具”，里面居然有这样的猫腻，笔者赶快关闭了程序并将其彻底清除出系统。网上下载的软件使用时真的要慎重啊！如果碰上一些可疑的程序，可以按笔者介绍的方法时行检测，看看这个程序是不是真的干净！

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有