我怎么检测黑客工具没有后门没有捆绑

[推荐]黑软的后门如何去除？经典的软件，被人插入了后门怎么办?相信第一时间，你会想到杀毒软件，但是它要履行起自己的职责，会不留一个“活口”，使其连带的经典软件也一并删除，看来刚正不阿有时也是个错误。如果能清除后门，又不影响其经典软件的正常使用该有多好，于是经过笔者的尝试，终于得出“鱼和熊掌可以兼得”的两全其美法!

小提示:在做操作之前，需要准备好被人恶意插入的后门软件。如果你无法确定某款软件是否含有后门，可以使用本机装有的杀毒软件，进行查杀测试。倘若能弹出“病毒警报”对话框，就代表该软件含有后门，反之没有我们还需另找其他软件进行测试。

对于复杂编程技术，大家或许跟笔者一样一窍不通，但是恶意作者在软件中，所插入的后门，既然是以地址形式链接在内部，我们可以按照网址必有的规格，搜索其地址头部http://字符，便可“顺藤摸瓜”找到所插入的后门地址。这里需要用到ResScope编辑器，它是一款类似eXeScope的软件资源分析工具，可以编辑32位软件和16位软件，并且最重要的是它可以改变其软件内部的资源大小。实施你所想要“减肥”效果，是所有编程爱好者，手头必备的编辑软件之一。

打开“ResScope编辑器”客户端程序，单击“文件”菜单，选择“打开”选项，找到事先准备的软件后门程序，然后单击“打开”按钮导入，资源栏会出现软件内部的基本结构。此时展开里面的1003文件夹，选中其下102选项标签，编辑区就会以代码形式显示出软件制作内容，但是要想从这茫茫代码的“海洋”里，找到所插入后门的地址，并非是件容易事。所以这里请单击“搜索”→“查找”选项，在弹出的“查找文本”对话框内，输入关键字为http://的网址字符，然后单击“确定”按钮，便可快速的在编辑区内，找到所填写的网址关键字，而后选中其周围的代码字符（如图），单击键盘Delete(删除键)按钮，将所选中的恶意后门地址即可删除，最后在单击上方“保存”按钮，使其删除后门的操作生效，这样在不影响该软件的正常使用情况下，后门地址已经被清除掉，“鱼和熊掌”我们不客气的兼收吧!

(转）

ps,除了代码中插入的后门以外，还经常有捆绑木马的情况，我们只需要下个反捆绑，祛除捆绑就好了。不知道各位还知道哪些关于祛除黑软上后门的方法？不吝赐教。。多多益善。

如何知道自己的电脑是否被留后门？

首先进入安全模式（按F8）然后在打开：开始—运行 在里面输入cmd 然后 进你的磁盘。（D：回车 在打attrib 回车 出现rising.exe 和autorun.inf 文件 。他们前面都有个h 在输入attrib 后面跟 这两个文件的名字 空格 后面在加上-h 在回车 这样就会出现它们 先把autorun.inf 按此方法这样打开把里面的=号全都去掉 然后保存关闭 ）

在打del 删除他们。

其次，你打开我的电脑，进入磁盘分区（不要双击，右键打开就行） 点工具栏上的工具选项---文件夹选项----查看，然后将显示所有文件和文件夹选项选中再点应用然后确定。 这样在把显示出来的东西删除。在建立几个文件夹 名称和病毒名称要一样（包括带后缀名，每个磁盘都做同样的操作)。重新启动就OK了

如何检测固件是否存在后门

首先我们要认识一下什么是后门程序? 在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径!!——很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山! 正因如此所以后门技术与反后门的检测技术也成为了黑客功防战的焦点。正所谓知己知彼，百战不殆。要了解反后门技术那么我们就要更多的深入去学习与了解后门知识。后门的分类后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法： 前面讲了这么多理论知识是不是觉得有点头大了呢?下面我们来讲讲一些常见的后门工具吧 1.网页后门 此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式，比如ASP、PHP、cgi脚本后门等。 典型后门程序：海洋顶端，红粉佳人个人版，后来衍生出来很多版本的这类网页后门，编写语言asp,aspx,jsp,php的都有种类比较繁多。 2.线程插入后门 利用系统自身的某个服务或者线程，将后门程序插入到其中，这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。 典型后门程序：代表BITS，还有我在安全焦点上看到的xdoor(首款进程插入后门)也属于进程插入类后门。 3.扩展后门 所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。 典型后门程序：Wineggdroup shell 4.C/S后门 这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光. 典型后门程序：ICMP Door 5.root kit 好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。 典型后门程序：hacker defender 以上是我在网上搜集的前人总结，值得指出的是这些分类还不够完善，还没有真正指出后门的强大。 下面我继续补充点我更新黑基技术文章时看到的一些比较少见的后门技术。 6 BootRoot 通过在Windows内核启动过程中额外插入第三方代码的技术项目，即为“BootRoot”。国外组织eBye在通过这种新的Rootkit启动技术，并赋予这种无需依赖Windows内核启动过称去加载自身代码的技术及其衍生品——“BootKit”，即“Boot Rootkit”。 Mebroot是如何实现MBR感染与运作的 Mebroot比Windows还要早一步启动，然后将自身驱动代码插入内核执行，从而绕过了注册表HIVE检测的缺陷。同时采用的底层技术让大部分Anti-Rootkit工具失明——因为它根本没有在系统内留下任何启动项目。检测工具自然会检测失效。然后通过DLL远程注入用户进程，为系统打开后门并下载木马运行。在这非传统的渗透思路下，反Rootkit工具是无法根除它的。 看到以上这么多可怕的后门知识是不是对这些有所了解了呢? 下面我们来谈谈如何检测后门 1.简单手工检测法 凡是后门必然需要隐蔽的藏身之所，要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处，如自启动项，据不完全统计，自启动项目有近80多种。 用AutoRuns检查系统启动项。观察可疑启动服务，可疑启动程序路径，如一些常见系统路径一般在system32下，如果执行路径种在非系统的system32目录下发现 notepad System smss.exe csrss.exe winlogon.exe services.exe lsass.exe spoolsv.exe 这类进程出现2个那你的电脑很可能已经中毒了。 如果是网页后门程序一般是检查最近被修改过的文件，当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。 2.拥有反向连接的后门检测 这类后门一般会监听某个指定断口，要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口，看是否有本地ip连接外网ip。 3.无连接的系统后门 如shift，放大镜，屏保后门，这类后门一般都是修改了系统文件，所以检测这类后门的方法就是对照他们的MD5值 如sethc.exe(shift后门)正常用加密工具检测的数值是 MD5 : f09365c4d87098a209bd10d92e7a2bed 如果数值不等于这个就说明被篡改过了。 4.CA后门 CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户，用户组管理也不显示该用户，手工检查一般是在sam里删除该帐号键值。当然要小心，没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户，所以建议服务器最好把guest设置一个复杂密码。 5.对于ICMP这种后门 这种后门比较罕见，如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。 6.对于rootkit 这类后门隐藏比较深，从一篇安全焦点的文献我们可以了解到他的历史也非常长，1989年发现首例在Unix上可以过滤自己进程被ps -aux 命令的查看的rootkit雏形。此后这类高级隐藏工具不断发展完整，并在94年成功运用到了高级后门上并开始流行，一直保持着后门的领先地位，包括最新出现的Boot Root也是该后门的一个高级变种。为了抵御这类高级后门国外也相续出现了这类查杀工具。例如：荷兰的反Root Kit的工具Gmer,Rootkit Unhooker和RKU都可以检测并清除这些包括变种的RootKit.

如何检测网站漏洞和后门及如何预防攻击

如何知道您的网站有没有漏洞呢？近来很多网站受到了各种各样形式的攻击，黑客攻击和入侵的动机各不一样，黑客人攻击的目标也有不确定性，作为一家企业的网管、或CEO，您是否担心您的网站也遭受同样的命运呢？

普通的黑客主要通过上传漏洞、暴库、注入、旁注等几种方式入侵近7成网站的。当然，还有更高级别的入侵行为，有些黑客为寻找一个入侵点而跟进一个网站好几个月的情况也是有的。我们先重点看看这些容易被黑的网站。

1、上传漏洞

这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

温馨提醒：

大多网站的程序都是在公有的程序基础上修改的，程序总会存在漏洞。聪明的网站管理员应该学会熟练的掌握以上工具，时常关注自己web程序最新的漏洞。并使用上述工具进行自我检测，以确保网站安全。

2、暴库：

许多站点有这个漏洞可以利用。非常危险！

温馨提醒：

数据库始终是黑客最感兴趣的东西。数据库安全性却不是每个程序员在编程的时候能全面考虑到的。应该在上线后，找专业的安全公司进行测试数据库渗透测试，以确保数据库安全。

3、注入漏洞：

这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞。

温馨提醒：

大型公司的网站应该找懂安全编程的高级程序员来进行，并且开发上线后，应该请专业公司进行安全性测试。以确保程序安全、可靠！

4、旁注：

我们入侵某站时可能这个站坚固的无懈可击，我们可以找下和这个站同一服务器的站点，然后在利用这个站点用提权，嗅探等方法来入侵我们要入侵的站点。

温馨提醒：

大型公司的网站，最好可以自己拥有独立的服务器。并做好服务器安全设置，可利用禁用端口，限制登录IP，及时打好补丁等方式来保障服务器的安全。

如何检查网站源码是否有后门

一，把网站源码放到空间里把网站建起来

二，百度搜　360网站安全检测，找到360用来检测网站的站

三，认证网站，提交网址

四，几分钟后就会帮你检测出网站的木马或漏洞了

五，当然了，免费源码漏洞肯有的，有些可能检不出来，他是属于程序员的经验不足造成的，还有的是黑客故意留的，明显的会检查出来，免费源码常理是不能用的，一是因为有版权问题，用了以后会有麻烦，另外还有安全隐患．别忘了放了这些源码的都是些什么人，他们让你用这些源码的目的．如果你是想正规做站，个人建议你还是去淘宝，200源码网，拍拍，A5论坛花几百元买些正品来用，注意是花几百元，不是几元几十元，因为那些几十元的大多也是免费的．

如何判断一台Windows服务器被黑客植入后门

封死黑客的“后门”

俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧！

1.删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/协议的关闭，避免针对的攻击。选择“TCP/协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USERSoftwareWindowsCurrentVersionPolicsNetWork”主键，在该主键下类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

3.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

4.禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：

方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”，将值“RestrictAnonymous”的键值改为“1”即可。

最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的！

四、隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。

与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务器的网站有很多，你也可以自己用等工具来查找。

五、关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

六、更换管理员帐户

Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。

首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

七、杜绝Guest帐户的入侵

Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。

禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。

八、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

九、防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。

十、不要回陌生人的邮件

有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。

做好IE的安全设置

ActiveX控件和 Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与相关选项禁用。谨慎些总没有错！

另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和 Applets时有更多的选择，并对本地电脑安全产生更大的影响。

下面是具体的方法：打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展开到：HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全等级设定高些，这样的防范更严密。