描述:请输入描述
图片:.png
描述:请输入描述
图片:.png
当然一般捆绑为后门程序,有的后门会在任务管理器里一闪而过或者是捆绑注入其他文件
运行。这里我们用到别的方法。
描述:请输入描述
图片:.png
描述:请输入描述
图片:.png
描述:请输入描述
图片:.png
一般一个文件只有一个PE头,这里我们找到两个同时在第二个PE头上面发现了被捆绑文件的名称。
txt方法同上,吧捆绑.exe改成txt就可以了、
3.杀毒软件
这里我们用到360,扫描捆绑.exe发现360扫描结果为扫描文件2
由于我没有杀毒软件这里没有图片。大家自己 去测试、
4.显示文件全名
其实很多木“马”者是利用Windows默认的“隐藏已知类型文件扩展名”,比如把木马文件改名为a.jpg的形式,同时文件图标又用常见图像图标来增强迷惑性,a.jpg实际上是a.jpg.exe这个可执行程序。牧“马”者将木马捆绑到一幅JPG图片中,当你双击打开这个文件时,的确实是一幅JPG图片,而木马却在后台偷偷的运行了。
解决方法:打开“我的电脑”,单击“工具→文件夹选项”,单击“查看”,去除“隐藏已知类型文件扩展名”前的小钩。这样如果碰到类似a.jpg.exe的文件就可以看到它的真面目,并格外小心了。
描述:请输入描述
图片:.png
描述:请输入描述
图片:.png
描述:请输入描述
图片:0.png
描述:请输入描述
图片:.png
这里我就先只暂时记起这几种检测方法,以后会更新一些新方法。我想这几种方法也可以了!
5.沙盘或者360隔离沙箱及虚拟机
注:(沙盘不仅可以防毒,还可以检测后门(吧捆绑文件拖进去会出现几个可执行文件一闪而过!))这里大家都是这种把。。。天衣防火墙或者下载者监视器(非捆绑类木马)等等监视软件都可以检测后门捆绑,我们要检测注册表,系统服务和端口,多杀毒!
6.检测软件后门(这里指收信后门,webshell后门我们只要在密码方面加以改进就好了。例如在密码前面加“#”这样默认后面的密码就被省略,或者密码之间加空格也是一样的它就收不到你的密码了。
我这里也不讲服务器后门,以后我会发几种不常见的服务器后门。)
常用的就是WSockExpert及其他一些抓包工具。
或者ace password sniffer 和 络嗅探器(同时可以查qq好友ip)
有些后门我们直接用c32或者记事本查找http就可以找到了。
7.检测感染型病毒
PEid 这个查壳的软件,这里我没有找到带感染的病毒我就说下怎么看软件是否有感染类的病毒。
一般 这个位置.text* 要是有*符 的话 80%是带感染类型的病毒。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!