由于贫穷,所以一直使用盗版软件,尽管盗版软件的源还是一些正规的网站,但是自己有涉猎一些网络安全,一直害怕被留后门之类的。所以专门去问了一下一些大佬,现在做一些总结:
如果是发在社交网站的软件,一般要留后门的话,是利用域名动态绑定ip,所以这个时候检测后门的手法大概有这么两个有效的方法:
1.记录电脑的dns解析Log,因为域名一直在变,后门不断请求,dns记录会打出很多。具体可以使用下面的两个bat脚本(源码如下),使用也很简单,新建一个文本文件,修改文件类型为.bat,负责下面的代码,然后运行这个bat文件。例如命名为opendnsLog.bat
net stop dnscachetype nul > %systemroot%\system32\dnsrsvlr.logtype nul > %systemroot%\system32\dnsrslvr.logtype nul > %systemroot%\system32\asyncreg.logcacls %systemroot%\system32\dnsrsvlr.log /E /G "NETWORK SERVICE":Wcacls %systemroot%\system32\dnsrslvr.log /E /G "NETWORK SERVICE":Wcacls %systemroot%\system32\asyncreg.log /E /G "NETWORK SERVICE":Wnet start dnscache复制代码
然后我们打开C://window/System32下面搜索dnsrsvlr.log,dnsrslvr.log,asyncreg.log然后看看有没有很多请求记录,有的话多半就是被后门了。
关闭的bat源码如下:
net stop dnscachedel %systemroot%\system32\dnsrsvlr.logdel %systemroot%\system32\dnsrslvr.logdel %systemroot%\system32\asyncreg.lognet start dnscache复制代码
2.打开自己的杀毒软件,我用的是腾讯管家(杀毒软件这种东西,一般的病毒确实能杀,但是自己做的木马加免杀就可以过杀软,所以觉得杀毒软件可以装,但是不用装太大的,所以我不选择360,选择了腾讯管家),然后打开更多工具,点开里面的流量监控,查看有没有很特殊的进程一直上传(上传流量特别大),例如:
这时候可以看到,基本很少,有些系统级别的服务svhost,dashost,查看是否在system32等关键路径下,一般是就没有问题,不过这种迁移到服务的,确实很难判断了,所以中了这种木马基本认栽。
最后最合理的手段就是笔记本的摄像头用胶纸贴掉,麦克风的驱动最好是用其他厂家的驱动的替用!!!!不是卸载。