巧識(shí)后門程序 系統(tǒng)防御訣竅

      如何檢測自己所使用的工具中是否含有后門呢?對于有一定經(jīng)驗(yàn)的高手而言可以使用WSockExpert進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)抓包，如果系統(tǒng)中沒有WSockExpert，可以使用Netstat命令，用于顯示協(xié)議統(tǒng)計(jì)信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接及端口占用信息。

      1.關(guān)閉系統(tǒng)中所有可能連接網(wǎng)絡(luò)的程序，然后只登錄某個(gè)程序，打開命令提示符，輸入并執(zhí)行"Netstat -an>C:\NET1.TXT"命令，將未運(yùn)行木馬前的網(wǎng)絡(luò)連接狀態(tài)保存在C:\NET1.TXT之中，關(guān)閉程序。

      2.運(yùn)行“后門，配置并生成木馬程序。

      3.運(yùn)行生成的QQ木馬程序后重新登錄程序。打開命令提示符，輸入并執(zhí)行"Netstat -an>C:\NET2.TXT"命令，將運(yùn)行木馬后的網(wǎng)絡(luò)連接保存在C:\NET2.TXT中。

      4.比較NET1.TXT和NET2.TXT我們會(huì)發(fā)現(xiàn)在NET2.TXT中多出了幾個(gè)網(wǎng)絡(luò)地址，而除了我們配置得到木馬的連接地址外，其它就是后門了。

      在用Netstat進(jìn)行后門測試時(shí)要注意：Netstat并不能立即返回當(dāng)前的網(wǎng)絡(luò)連接狀態(tài)，會(huì)有延遲，也就是說我們執(zhí)行Netstat后看到的網(wǎng)絡(luò)連接狀態(tài)很可能是3秒鐘以前的，不過這并不影響我們對后門的測試。

      最后系統(tǒng)之家告訴大家，并不是所有的程序都能通過這種方式檢測，比如掃描類工具，面對很多動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境的操作，會(huì)造成多個(gè)變化的網(wǎng)絡(luò)地址加入到程序中來。