那麼如何檢測自己所使用的程式中是否含有後門呢?
對於有一定經驗的高手來說,他們會使用WSockExpert進行網絡數據抓包,如果系統中沒有WSockExpert,可以使用Netstat命令(這個是使用DOS來控製),用於顯示協議統計信息和當前TCP/IP網絡連接及端口佔用信息(即係系統會話你知邊個使用網絡連接進入左你台電腦)。
1.關閉系統中所有可能連接網絡的程序,然後只登錄某個程序,打開命令提示符(在SEARCH到找cmd這個程式),輸入並執行"Netstat -an>C:\NET1.TXT"命令,將未運行木馬前的網絡連接狀態保存在C:\NET1.TXT之中,關閉程序。
2.運行“後門"(姐系有backdoor的程式),配置並生成木馬程式。
3.運行會生成的木馬程式後重新登錄程序。打開命令提示符,輸入並執行"Netstat -an>C:\NET2.TXT"命令,將運行木馬後的網絡連接保存在C:\NET2.TXT中。
4.比較NET1.TXT和NET2.TXT我們會發現在NET2.TXT中多出了幾個網絡地址,而除了我們配置得到木馬的連接地址外,其它就是後門了。
在用Netstat進行後門測試時要注意:Netstat並不能立即返回當前的網絡連接狀態,會有延遲,也就是說我們執行Netstat後看到的網絡連接狀態很可能是3秒鐘以前的,不過這並不會影響我們對後門的測試。
最後告訴大家,並不是所有的程序都能通過這種方式檢測,比如掃描類工具,面對很多動態網絡環境的操作,會造成多個變化的網絡地址加入到程序來。
