教你怎么检查软件是否带毒
什么叫做进程?程序创建的过程叫做进程。
在这个过程中如果要想启动另外一个程序,他有以下途径,也是唯一的途径。
分为4个部分
1.文件释放
2.内存创建
3.添加启动
4.网络访问
后门软件分为两种:
1.捆绑型: 把恶意程序和正常程序一起捆绑,当运行捆绑文件的时候同时运行了恶意程序和正常的程序。
2.后门型:软件的作者在软件中加入执行病毒的代码,只有当满足某个指定的条件才执行该代码。
本次检查的软件为某远控软件
做好准备工作在开启软件
1. 开启文件创建监视 这里使用的工具是 : 文件监视小助手 v2.7 ,大家也可以用其他工具(该工具监视文件创建能力不理想)
2.使用 Regmon.exe 同步监视注册表 先设置下
选项--字体 -- 字号: 12
选项-- 过滤器--包含:Super远程控制(华夏专版).exe //这里是监视的进程名
3.打开冰刃,并切换到功能---监视进程创建
4.开启网刃
准备工作完成,下面运行程序 Super远程控制(华夏专版).exe
1.文件创建方面,只拦截到 Super远程控制.exe 进程释放的易语言模块,说明该程序由易语言完成,没有创建其他文件。
注意:这个不是绝对的安全,因为如果我们出发了事件也有可能释放文件,比如等半个小时 等用户大意了才写出文件,也可能当按了某个按钮才释放文件。
2.
该程序写入的注册表的信息不会让他自启动,如果有更多可疑项,建议大家多问,多搜索。这个程序是安全的。
3.
刷新下冰刃的创建进程列表,这里是由 explorer.exe 执行的 Super远程控制(华夏专版).exe 然后 Super远程控制(华夏专版).exe 就没有再次执行任何程序
说明这个程序未调用其他程序。
4.
除了创建端口外没有其他发送和接受的数据,所以这也是安全的。
所以断定:
生成器无问题
接着我们检查 生成出来的木马文件。
我生成的文件名为 test.exe ,方法如上。 把 Super远程控制.exe 更换为 test.exe
内存方面 没有发现该 test 运行进程。
网络上也连接的本机IP(刚设置)。
现木马在注册表中写入
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
印象劫持, 屏蔽360等安全软件
该木马
创建了系统服务,还借刀杀人用系统进程来创建。 嘿嘿。。。
到这里就检查结束了。结论是安全,无后门。
但是不保证绝对的安全,因为部分后门会在一定的事件后在执行后门事件。
所以最好要多监视一会。 另外 如果要求确切100% 的判断是否含有后门,必须对该文件脱壳,OD查找拦截 API的 createfile() 函数 ,然后在逐步分析。。
或者是临时释放文件的检测,对于转载的webshell,接下来我会介绍IE缓存检测的方法!
好了,本文就到这里,几乎可以检查到所有的后门软件。