本文介绍通过记录DNS解析日志及监控网络流量来检测盗版软件中可能存在的后门,提供具体的bat脚本实现方法。
由于贫穷,所以一直使用盗版软件,尽管盗版软件的源还是一些正规的网站,但是自己有涉猎一些网络安全,一直害怕被留后门之类的。所以专门去问了一下一些大佬,现在做一些总结:
如果是发在社交网站的软件,一般要留后门的话,是利用域名动态绑定ip,所以这个时候检测后门的手法大概有这么两个有效的方法:
1.记录电脑的dns解析Log,因为域名一直在变,后门不断请求,dns记录会打出很多。具体可以使用下面的两个bat脚本(源码如下),使用也很简单,新建一个文本文件,修改文件类型为.bat,负责下面的代码,然后运行这个bat文件。例如命名为opendnsLog.bat
net stop dnscache
type nul > %systemroot%\system32\dnsrsvlr.log
type nul > %systemroot%\system32\dnsrslvr.log
type nul > %systemroot%\system32\asyncreg.log
cacls %systemroot%\system32\dnsrsvlr.log /E /G "NETWORK SERVICE":W
cacls %systemroot%\system32\dnsrslvr.log /E /G "NETWORK SERVICE":W
cacls %systemroot%\system32\asyncreg.log /E /G "NETWORK SERVICE":W
net start dnscache
复制代码 然后我们打开C://window/System32下面搜索dnsrsvlr.log,dnsrslvr.log,asyncreg.log然后看看有没有很多请求记录,有的话多半就是被后门了。
关闭的bat源码如下:
net stop dnscache
del %systemroot%\system32\dnsrsvlr.log
del %systemroot%\system32\dnsrslvr.log
del %systemroot%\system32\asyncreg.log
net start dnscache复制代码2.打开自己的杀毒软件,我用的是腾讯管家(杀毒软件这种东西,一般的病毒确实能杀,但是自己做的木马加免杀就可以过杀软,所以觉得杀毒软件可以装,但是不用装太大的,所以我不选择360,选择了腾讯管家),然后打开更多工具,点开里面的流量监控,查看有没有很特殊的进程一直上传(上传流量特别大),例如:
这时候可以看到,基本很少,有些系统级别的服务svhost,dashost,查看是否在system32等关键路径下,一般是就没有问题,不过这种迁移到服务的,确实很难判断了,所以中了这种木马基本认栽。
最后最合理的手段就是笔记本的摄像头用胶纸贴掉,麦克风的驱动最好是用其他厂家的驱动的替用!!!!不是卸载。
扫一扫
1230
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
