论文部分内容阅读
出于利益原因,很多所谓的免费版黑客工具中大都含有后门,尤其以盗号工具最为典型。当新手使用这些所谓的免费版工具时,自己不但会引“马”入室,还会被后门出卖自己的“劳动”成果。
那么如何检测自己所使用的工具中是否含有后门呢?对于有一定经验的高手而言可以使用WSockExpert进行网络数据抓包,可如果系统中没有WSockExpert,难道我们就束手无策了吗?别急,其实WINDOWS操作系统中早已为我们备下了这一利器——Netstat。Netstat需要在命令提示符环境下运行,用于显示协议统计信息和当前TCP/IP网络连接及端口占用信息。这里我们以“QQ大盗2008国庆免杀版”为例来实战命令提示符下的后门测试。
1关闭系统中所有可能连接网络的程序(包括杀毒软件和千千静听之类的程序)然后只登录QQ程序,打开命令提示符,输入并执行"Netstat -an>C:TESTNET1.TXT"命令,将未运行木马前的网络连接状态保存在C:TESTNET1.TXT之中,关闭QQ程序。
2运行“QQ大盗2008国庆免杀版”,配置并生成木马程序,为了方便测试,这里我们只选择ASP收信方式(图1)。
3在命令提示符中输入并执行PING www.zifeng.com命令。其中www.zifeng.com 表示我们的ASP收信空间所在服务器域名,可根据实际情况自行更改。这时命令提示符中会返回该ASP收信空间的IP地址为220.181.5.31(图2)。
4运行生成的QQ木马程序后重新登录QQ。打开命令提示符,输入并执行"Netstat -an>C:TESTNET2.TXT"命令,将运行木马后的网络连接保存在C:TESTNET2.TXT中。
5比较NET1.TXT和NET2.TXT我们会发现在NET2.TXT中多出了三个网络连接220.181.5.31,212.76.45.28和212.76.47.35(图3),而220.181.5.31是我们的ASP收信空间地址,则另外两个网络连接就应该是QQ大盗作者留下的后门了。
在用Netstat进行后门测试时要注意:Netstat并不能立即返回当前的网络连接状态,会有3~5秒左右的延迟,也就是说我们执行Netstat后看到的网络连接状态很可能是3秒钟以前的,不过这并不影响我们对后门的测试。
记得有句古话说“伤人一千,自损八百”,对经常玩黑客的朋友来说体会甚是深刻,一着不慎,满盘皆马。毕竟天下没有免费的午餐啊。
那么如何检测自己所使用的工具中是否含有后门呢?对于有一定经验的高手而言可以使用WSockExpert进行网络数据抓包,可如果系统中没有WSockExpert,难道我们就束手无策了吗?别急,其实WINDOWS操作系统中早已为我们备下了这一利器——Netstat。Netstat需要在命令提示符环境下运行,用于显示协议统计信息和当前TCP/IP网络连接及端口占用信息。这里我们以“QQ大盗2008国庆免杀版”为例来实战命令提示符下的后门测试。
1关闭系统中所有可能连接网络的程序(包括杀毒软件和千千静听之类的程序)然后只登录QQ程序,打开命令提示符,输入并执行"Netstat -an>C:TESTNET1.TXT"命令,将未运行木马前的网络连接状态保存在C:TESTNET1.TXT之中,关闭QQ程序。
2运行“QQ大盗2008国庆免杀版”,配置并生成木马程序,为了方便测试,这里我们只选择ASP收信方式(图1)。
3在命令提示符中输入并执行PING www.zifeng.com命令。其中www.zifeng.com 表示我们的ASP收信空间所在服务器域名,可根据实际情况自行更改。这时命令提示符中会返回该ASP收信空间的IP地址为220.181.5.31(图2)。
4运行生成的QQ木马程序后重新登录QQ。打开命令提示符,输入并执行"Netstat -an>C:TESTNET2.TXT"命令,将运行木马后的网络连接保存在C:TESTNET2.TXT中。
5比较NET1.TXT和NET2.TXT我们会发现在NET2.TXT中多出了三个网络连接220.181.5.31,212.76.45.28和212.76.47.35(图3),而220.181.5.31是我们的ASP收信空间地址,则另外两个网络连接就应该是QQ大盗作者留下的后门了。
在用Netstat进行后门测试时要注意:Netstat并不能立即返回当前的网络连接状态,会有3~5秒左右的延迟,也就是说我们执行Netstat后看到的网络连接状态很可能是3秒钟以前的,不过这并不影响我们对后门的测试。
记得有句古话说“伤人一千,自损八百”,对经常玩黑客的朋友来说体会甚是深刻,一着不慎,满盘皆马。毕竟天下没有免费的午餐啊。