安全工具暗藏殺機(jī)：快速識(shí)別后門程序 -電腦資料

    一些熱衷于安全方面的朋友可能會(huì)遇到這樣的困惑，在某些網(wǎng)站下載的 工具本身就含有后門，這有點(diǎn)像網(wǎng)絡(luò)中的“無間道”，

安全工具暗藏殺機(jī)：快速識(shí)別后門程序

    那么如何檢測自己所使用的工具中是否含有后門呢？對(duì)于有一定經(jīng)驗(yàn)的高手而言可以使用WSockExpert進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)抓包，如果系統(tǒng)中沒有WSockExpert，可以使用Netstat命令，用于顯示協(xié)議統(tǒng)計(jì)信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接及端口占用信息。

    1.關(guān)閉系統(tǒng)中所有可能連接網(wǎng)絡(luò)的程序，然后只登錄某個(gè)程序，打開命令提示符，輸入并執(zhí)行"Netstat -an>C:\NET1.TXT"命令，將未運(yùn)行木馬前的網(wǎng)絡(luò)連接狀態(tài)保存在C:\NET1.TXT之中，關(guān)閉程序，

電腦資料

    2.運(yùn)行“后門，配置并生成木馬程序。

    3.運(yùn)行生成的QQ木馬程序后重新登錄程序。打開命令提示符，輸入并執(zhí)行"Netstat -an>C:\NET2.TXT"命令，將運(yùn)行木馬后的網(wǎng)絡(luò)連接保存在C:\NET2.TXT中。

    5.比較NET1.TXT和NET2.TXT我們會(huì)發(fā)現(xiàn)在NET2.TXT中多出了幾個(gè)網(wǎng)絡(luò)地址，而除了我們配置得到木馬的連接地址外，其它就是后門了。

    在用Netstat進(jìn)行后門測試時(shí)要注意：Netstat并不能立即返回當(dāng)前的網(wǎng)絡(luò)連接狀態(tài)，會(huì)有延遲，也就是說我們執(zhí)行Netstat后看到的網(wǎng)絡(luò)連接狀態(tài)很可能是3秒鐘以前的，不過這并不影響我們對(duì)后門的測試。

    最后告訴大家，并不是所有的程序都能通過這種方式檢測，比如掃描類工具，面對(duì)很多動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境的操作，會(huì)造成多個(gè)變化的網(wǎng)絡(luò)地址加入到程序中來。