前言

前陣子因?yàn)橐咔榈木壒?，我們都在家中，但發(fā)生了這么一件事，看到標(biāo)題你應(yīng)該知道是什么了，我被黑了?。?！咳咳咳，不能說(shuō)是被黑了，只能說(shuō)是我下載了一個(gè)后門(mén)軟件，對(duì)后門(mén)軟件，比如說(shuō)灰鴿子，流光這種，那邊的黑客遠(yuǎn)程控制了我，我知道，這是最基礎(chǔ)的軟件了。但是我還是中了，最后，我的賬號(hào)，密碼都被盜取。很難受對(duì)吧，所以我寫(xiě)個(gè)這個(gè)文章。

如何防護(hù)這種后門(mén)，木馬？

很容易，不去下載就好了。哎，你這不是廢話嗎？咳咳，最好的方法，360。360？你在說(shuō)什么？360不是毒瘤嗎？360云大腦知道嗎？雖然這個(gè)東西經(jīng)常抽風(fēng)，說(shuō)這個(gè)是木馬，那個(gè)是病毒。但是不去理就好了。不然你可試試不裝360會(huì)怎么樣，首先，我們要知道360的重要性，不然你可以換成卡巴斯基?？瓤?，進(jìn)入正題

（1）360只是第一種方法

（2）第二種linux，比如說(shuō)ubuntu，本文用CentOS系統(tǒng)演示

（3）防火墻軟件，比如說(shuō)天網(wǎng)

（4）還有最后一個(gè)方法，按我說(shuō)的做

第一種方法:360，騰訊電腦管家，火絨，卡巴斯基等殺毒

360你不會(huì)裝嗎？笨蛋，自己找教程。

第二種方法：Linux下chkrootkit+RKHunter直接性防護(hù)

第二種方法開(kāi)始。rootkit聽(tīng)說(shuō)過(guò)嗎？沒(méi)有就百度去

1. 文件級(jí)別rootkit

文件級(jí)別的rootkit一般是通過(guò)程序漏洞或者系統(tǒng)漏洞進(jìn)入系統(tǒng)后，通過(guò)修改系統(tǒng)的重要文件來(lái)達(dá)到隱藏自己的目的。在系統(tǒng)遭受rootkit攻擊后，合法的文件被木馬程序替代，變成了外殼程序，而其內(nèi)部是隱藏著的后門(mén)程序。通常容易被rootkit替換的系統(tǒng)程序有l(wèi)ogin、ls、ps、ifconfig、du、find、netstat等，其中l(wèi)ogin程序是最經(jīng)常被替換的，因?yàn)楫?dāng)訪問(wèn)Linux時(shí)，無(wú)論是通過(guò)本地登錄還是遠(yuǎn)程登錄，/bin/login程序都會(huì)運(yùn)行，系統(tǒng)將通過(guò)/bin/login來(lái)收集并核對(duì)用戶的賬號(hào)和密碼，而rootkit就是利用這個(gè)程序的特點(diǎn)，使用一個(gè)帶有根權(quán)限后門(mén)密碼的/bin/login來(lái)替換系統(tǒng)的/bin/login，這樣攻擊者通過(guò)輸入設(shè)定好的密碼就能輕松進(jìn)入系統(tǒng)。

此時(shí)，即使系統(tǒng)管理員修改root密碼或者清除root密碼，攻擊者還是一樣能通過(guò)root用戶登錄系統(tǒng)。攻擊者通常在進(jìn)入Linux系統(tǒng)后，會(huì)進(jìn)行一系列的攻擊動(dòng)作，最常見(jiàn)的是安裝嗅探器收集本機(jī)或者網(wǎng)絡(luò)中其他服務(wù)器的重要數(shù)據(jù)。在默認(rèn)情況下，Linux中也有一些系統(tǒng)文件會(huì)監(jiān)控這些工具動(dòng)作，例如ifconfig命令，所以，攻擊者為了避免被發(fā)現(xiàn)，會(huì)想方設(shè)法替換其他系統(tǒng)文件，常見(jiàn)的就是ls、ps、ifconfig、du、find、netstat等。如果這些文件都被替換，那么在系統(tǒng)層面就很難發(fā)現(xiàn)rootkit已經(jīng)在系統(tǒng)中運(yùn)行了。?

這就是文件級(jí)別的rootkit，對(duì)系統(tǒng)維護(hù)很大，目前最有效的防御方法是定期對(duì)系統(tǒng)重要文件的完整性進(jìn)行檢查，如果發(fā)現(xiàn)文件被修改或者被替換，那么很可能系統(tǒng)已經(jīng)遭受了rootkit入侵。檢查件完整性的工具很多，常見(jiàn)的有Tripwire、 aide等，可以通過(guò)這些工具定期檢查文件系統(tǒng)的完整性，以檢測(cè)系統(tǒng)是否被rootkit入侵。

2. 內(nèi)核級(jí)別的rootkit

內(nèi)核級(jí)rootkit是比文件級(jí)rootkit更高級(jí)的一種入侵方式，它可以使攻擊者獲得對(duì)系統(tǒng)底層的完全控制權(quán)，此時(shí)攻擊者可以修改系統(tǒng)內(nèi)核，進(jìn)而截獲運(yùn)行程序向內(nèi)核提交的命令，并將其重定向到入侵者所選擇的程序并運(yùn)行此程序，也就是說(shuō)，當(dāng)用戶要運(yùn)行程序A時(shí)，被入侵者修改過(guò)的內(nèi)核會(huì)假裝執(zhí)行A程序，而實(shí)際上卻執(zhí)行了程序B。

內(nèi)核級(jí)rootkit主要依附在內(nèi)核上，它并不對(duì)系統(tǒng)文件做任何修改，因此一般的檢測(cè)工具很難檢測(cè)到它的存在，這樣一旦系統(tǒng)內(nèi)核被植入rootkit，攻擊者就可以對(duì)系統(tǒng)為所欲為而不被發(fā)現(xiàn)。目前對(duì)于內(nèi)核級(jí)的rootkit還沒(méi)有很好的防御工具，因此，做好系統(tǒng)安全防范就非常重要，將系統(tǒng)維持在最小權(quán)限內(nèi)工作，只要攻擊者不能獲取root權(quán)限，就無(wú)法在內(nèi)核中植入rootkit。

3. 主題

了解，安裝，準(zhǔn)備，使用chkrootkit

chkrootkit是一個(gè)Linux系統(tǒng)下查找并檢測(cè)rootkit后門(mén)的工具。chkrootkit沒(méi)有包含在官方的CentOS源中，因此要采取手動(dòng)編譯的方法來(lái)安裝，不過(guò)這種安裝方法也更加安全。下面簡(jiǎn)單介紹下chkrootkit的安裝過(guò)程。

1.準(zhǔn)備gcc編譯環(huán)境

對(duì)于CentOS系統(tǒng)，需要安裝gcc編譯環(huán)境，執(zhí)行下述三條命令：

2.安裝chkrootkit

為了安全起見(jiàn)，建議直接從官方網(wǎng)站下載chkrootkit源碼，然后進(jìn)行安裝，操作如下：

3.使用chkrootkit

安裝完的chkrootkit程序位于/usr/local/chkrootkit目錄下，執(zhí)行如下命令即可顯示chkrootkit的詳細(xì)用法：

chkrootkit各個(gè)參數(shù)的含義如下所示：

chkrootkit的使用比較簡(jiǎn)單，直接執(zhí)行chkrootkit命令即可自動(dòng)開(kāi)始檢測(cè)系統(tǒng)。針對(duì)被感染rootkit的系統(tǒng)，最安全而有效的方法就是備份數(shù)據(jù)重新安裝系統(tǒng)。

4. chkrootkit的缺點(diǎn)

chkrootkit在檢查rootkit的過(guò)程中使用了部分系統(tǒng)命令，因此，如果服務(wù)器被黑客入侵，那么依賴(lài)的系統(tǒng)命令可能也已經(jīng)被入侵者替換，此時(shí)chkrootkit的檢測(cè)結(jié)果將變得完全不可信。為了避免chkrootkit的這個(gè)問(wèn)題，可以在服務(wù)器對(duì)外開(kāi)放前，事先將chkrootkit使用的系統(tǒng)命令進(jìn)行備份，在需要的時(shí)候使用備份的原始系統(tǒng)命令讓chkrootkit對(duì)rootkit進(jìn)行檢測(cè)。這個(gè)過(guò)程可以通過(guò)下面的操作實(shí)現(xiàn)：

上面這段操作是在/usr/share/下建立了一個(gè).commands隱藏文件，然后將chkrootkit使用的系統(tǒng)命令進(jìn)行備份到這個(gè)目錄下。為了安全起見(jiàn)，可以將.commands目錄壓縮打包，然后下載到一個(gè)安全的地方進(jìn)行備份，以后如果服務(wù)器遭受入侵，就可以將這個(gè)備份上傳到服務(wù)器任意路徑下，然后通過(guò)chkrootkit命令的"-p"參數(shù)指定這個(gè)路徑進(jìn)行檢測(cè)即可。

rootkit后門(mén)檢測(cè)工具RKHunter

RKHunter是一款專(zhuān)業(yè)的檢測(cè)系統(tǒng)是否感染rootkit的工具，它通過(guò)執(zhí)行一系列的腳本來(lái)確認(rèn)服務(wù)器是否已經(jīng)感染rootkit。在官方的資料中，RKHunter可以作的事情有：

①M(fèi)D5校驗(yàn)測(cè)試，檢測(cè)文件是否有改動(dòng)

②檢測(cè)rootkit使用的二進(jìn)制和系統(tǒng)工具文件

③檢測(cè)特洛伊木馬程序的特征碼

④檢測(cè)常用程序的文件屬性是否異常

⑤檢測(cè)系統(tǒng)相關(guān)的測(cè)試

⑥檢測(cè)隱藏文件

⑦檢測(cè)可疑的核心模塊LKM

⑧檢測(cè)系統(tǒng)已啟動(dòng)的監(jiān)聽(tīng)端口

下面詳細(xì)講述下RKHunter的安裝與使用。

安裝RKHunter

建議從官方網(wǎng)站下載RKHunter，這里下載的版本是rkhunter-1.4.0.tar.gz。RKHunter的安裝非常簡(jiǎn)單，過(guò)程如下：

這里采用RKHunter的默認(rèn)安裝方式，rkhunter命令被安裝到了/usr/local/bin目錄下。

使用rkhunter指令

rkhunter命令的參數(shù)較多，但是使用非常簡(jiǎn)單，直接運(yùn)行rkhunter即可顯示此命令的用法。下面簡(jiǎn)單介紹下rkhunter常用的幾個(gè)參數(shù)選項(xiàng)。

[root@server ~]#/usr/local/bin/rkhunter–help

Rkhunter常用參數(shù)以及含義如下所示：

同時(shí)，如果想讓檢測(cè)程序每天定時(shí)運(yùn)行，那么可以在/etc/crontab中加入如下內(nèi)容：

30 09 * * * root /usr/local/bin/rkhunter --check --cronjob

這樣，rkhunter檢測(cè)程序就會(huì)在每天的9:30分運(yùn)行一次。

第三種：防火墻軟件

第一個(gè),windows自帶防火墻

windows自帶的防火墻windows Defender，在控制面板\系統(tǒng)和安全\Windows Defender 防火墻中，開(kāi)啟即可。但是默認(rèn)是開(kāi)啟的，反正檢查一下看看有沒(méi)有開(kāi)啟，有些軟件可以關(guān)閉防火墻，檢查一下就對(duì)了！

第二個(gè):360家庭防火墻

沒(méi)錯(cuò)，又是360，個(gè)人認(rèn)為360的防火墻還可以，下載獨(dú)立版的就好了，連接一下云大腦，簡(jiǎn)直是浪的飛起，雖然并沒(méi)有什么卵用，定時(shí)檢查一下端口就好了，我這種前端開(kāi)發(fā)的，看的就是端口，wifi的近期使用情況，誰(shuí)在用wifi，什么手機(jī)，電腦在用，看的就是這個(gè)，所以這個(gè)防火墻很好的解決了我的問(wèn)題，自然我就推薦了。主要是我們這些開(kāi)發(fā)者使用，推薦一下。

第三個(gè)：GlassWire

GlassWire是windows下的一款軟件，對(duì)windows的，界面很美觀，很簡(jiǎn)潔就像這樣 ：

這是切換中文的圖片。你不會(huì)想到這是windows下的軟件，它太簡(jiǎn)潔了！所以我強(qiáng)推這款軟件，一個(gè)字"好！"

第四個(gè)：Firewall App Blocker

Firewall App Blocker 超級(jí)簡(jiǎn)單易用的bai限制軟件訪問(wèn)網(wǎng)絡(luò)的防火墻：

對(duì)于大多數(shù)用戶，Windows自帶的防火墻雖然實(shí)用但并沒(méi)有好好利用起來(lái)，主要是因?yàn)樵O(shè)置略顯繁瑣。使用 Firewall App Blocker (Fab) 來(lái)禁止應(yīng)用聯(lián)網(wǎng)變得超級(jí)簡(jiǎn)單方便。用戶只需將需要限制的應(yīng)用程序添加到軟件的列表里即可，勾選狀態(tài)下為禁止聯(lián)網(wǎng)，取消勾選可以臨時(shí)允許聯(lián)網(wǎng)，就是這么簡(jiǎn)單。

這個(gè)軟件很好用的，它最大的好處是解決了Windows自帶防火墻的難用問(wèn)題。也推薦。但是界面沒(méi)有GlassWire那么好看。

也許你會(huì)說(shuō)：“為什么只有windows的軟件？MAC的去哪里了？”我的回答是，你也不自己去數(shù)落數(shù)落MAC的防御力，不說(shuō)是木馬了，來(lái)個(gè)頂級(jí)黑客攻進(jìn)去也要費(fèi)很多時(shí)間！至于Linux的，或許你已經(jīng)看過(guò)了，就不用我來(lái)說(shuō)了，如果你想秀技術(shù)，來(lái)個(gè)反黑客我沒(méi)意見(jiàn)。如果你真的黑成功了，那你可以做什么呢？等著網(wǎng)警來(lái)找你？不要無(wú)罪變有罪了。

最后一種方法

最后一種方法是反黑客后門(mén)軟件，直接進(jìn)入正題

了解什么是后門(mén)程序

??后門(mén)程序是指那些繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的程序方法。一般在軟件開(kāi)發(fā)時(shí)，程序員會(huì)在軟件中創(chuàng)建后門(mén)程序，這樣就可以修改程序設(shè)計(jì)中的缺陷。但是，如果這些后門(mén)被其他人知道，或是在發(fā)布軟件之前沒(méi)有刪除后門(mén)程序，那么它就成了安全風(fēng)險(xiǎn)，容易被黑客當(dāng)成漏洞進(jìn)行攻擊。通俗的講，后門(mén)程序就是留在計(jì)算機(jī)系統(tǒng)中，供某位特殊使用者通過(guò)某種特殊方式控制計(jì)算機(jī)系統(tǒng)的途徑。

一、遠(yuǎn)程控制的兩個(gè)通性

（1）任何一款的遠(yuǎn)程控制技術(shù)都必須與目標(biāo)（被控端）建立至少一個(gè)TCP或者UPD連接。如果黑客未上線，則會(huì)每隔30秒向黑客發(fā)起連接請(qǐng)求。

**（2）任何一款遠(yuǎn)控木馬都會(huì)向系統(tǒng)寫(xiě)入至少一個(gè)隨機(jī)啟動(dòng)項(xiàng)、服務(wù)啟動(dòng)項(xiàng)，或者劫持某個(gè)系統(tǒng)必備的正常啟動(dòng)項(xiàng)。并且會(huì)在某個(gè)目錄中隱、釋放木馬。以方便隨機(jī)啟動(dòng)。

二、基于遠(yuǎn)控通性反遠(yuǎn)程控制法——兩條命令判斷是否被控制

1.最簡(jiǎn)單的方法就是通過(guò)兩條命令，一條是“netstat “ 。另一條就是“tasklist “命令，這兩條命令可真為是絕配的反黑客遠(yuǎn)控的方法啊。首先我們就在虛擬機(jī)中測(cè)試，在本機(jī)使用灰鴿子主控端生成一個(gè)木馬放入到虛擬機(jī)中運(yùn)行。

netstat # 在cmd,powershell,Git等終端中運(yùn)行，直接監(jiān)聽(tīng)端口，tasklist # 查看所有程序的占用端口

2.確認(rèn)虛擬機(jī)已經(jīng)中了我們的遠(yuǎn)控木馬之后我們開(kāi)始執(zhí)行第一條命令，首先大家先在聯(lián)網(wǎng)的情況，把所有聯(lián)網(wǎng)的程序都關(guān)閉，包括殺毒軟件、QQ、迅雷、等存在聯(lián)網(wǎng)的程序關(guān)閉，保存最原始的進(jìn)程。這樣很方便我們識(shí)別。再次打開(kāi)開(kāi)始菜單——運(yùn)行——輸入“cmd”。進(jìn)入到黑色的DOS窗口下，輸入命令“netstat -ano“。這條命令的意思是查看當(dāng)前網(wǎng)絡(luò)的連接狀態(tài)。輸入之后我們查看中主要看”state”的狀態(tài)，如果是“l(fā)istenning”是端口的監(jiān)聽(tīng)這個(gè)可以放心，如果是“ESTABLISHED”可要注意了，這個(gè)狀態(tài)意思是正在連接！我們肯定會(huì)想，我們都沒(méi)開(kāi)任何程序在聯(lián)網(wǎng)，何來(lái)正在與遠(yuǎn)程主機(jī)連接呢？下面是中了遠(yuǎn)程控制木馬的虛擬機(jī)中網(wǎng)絡(luò)連接狀態(tài)。

3.此時(shí)捕捉到正在連接的狀態(tài)的最后一行PID值為：3920，這就是我們說(shuō)的遠(yuǎn)控至少與目標(biāo)建立一個(gè)TCP或UDP連接，而這里建立了一個(gè)TCP連接，并且仔細(xì)看下，“Foregin Address”意思是外網(wǎng)地址，這個(gè)IP地址可以百度進(jìn)行查詢(xún)下就可以知道是哪個(gè)地區(qū)的人在控制我們的電腦，再仔細(xì)看下IP地址后面的端口為：8000，現(xiàn)在很多主流的遠(yuǎn)程軟件都是8000或者80端口，這又更值得懷疑了。這樣我們就可以查看進(jìn)程，因?yàn)槟抉R要想進(jìn)行連接就必定會(huì)在內(nèi)存中進(jìn)行運(yùn)行，否則就無(wú)法進(jìn)行連接了，我們查看內(nèi)存中可疑的進(jìn)程，上面捕獲的連接PID為：3920。我們輸入命令“tasklist /svc“這條命令是查看當(dāng)前進(jìn)程與PID值和啟動(dòng)的服務(wù)。

4.通過(guò)上面的命令找到了網(wǎng)絡(luò)連接對(duì)應(yīng)的PID值進(jìn)程3920，并且發(fā)現(xiàn)該進(jìn)程名是一個(gè)IE的進(jìn)程，很明顯這就有問(wèn)題，因?yàn)槲覀兏緵](méi)打開(kāi)瀏覽器，何來(lái)IE進(jìn)程呢？果斷的就知道它的一個(gè)遠(yuǎn)程控制木馬偽裝的進(jìn)程。我們應(yīng)該馬上去進(jìn)行一個(gè)查殺掉該進(jìn)程，從內(nèi)存中干掉它。我們輸入命令“taskkill /f /pid 3920” 這條命令是強(qiáng)制結(jié)束PID值為3920的進(jìn)程。當(dāng)我們強(qiáng)制結(jié)束掉了木馬之后發(fā)現(xiàn)主控端遠(yuǎn)程控制軟件上的肉雞馬上就下線了。這樣黑客就無(wú)法進(jìn)行控制了。

5.在這里說(shuō)明，我們只是暫時(shí)現(xiàn)在已經(jīng)讓黑客無(wú)法控制我們的電腦，結(jié)束了它的遠(yuǎn)程控制的連接程序。但是我們要知道遠(yuǎn)程控制的第二個(gè)通性，就是遠(yuǎn)程控制軟件為了讓對(duì)方能夠重啟系統(tǒng)后繼續(xù)在黑客的遠(yuǎn)控軟件上面上線，就必須會(huì)在被控者的電腦上寫(xiě)入一個(gè)隨機(jī)啟動(dòng)項(xiàng)，這個(gè)隨機(jī)啟動(dòng)項(xiàng)就是當(dāng)系統(tǒng)啟動(dòng)的時(shí)候立馬運(yùn)行木馬，運(yùn)行了木馬就可以再次上線。所以我們還需要檢測(cè)我們的啟動(dòng)項(xiàng)。很多啟動(dòng)項(xiàng)都是寫(xiě)入注冊(cè)表的，我們這里給大家列出一些木馬可能寫(xiě)入的啟動(dòng)鍵值。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon? 下的shell鍵值

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows? 下的load鍵值**

*? 在CMD下切換到該目錄下進(jìn)程一個(gè)強(qiáng)制刪除吧，切換到目錄后輸入命令“del /ah /f svchot.exe “ 就可以強(qiáng)制刪除隱藏的木馬了。2.此時(shí)我們把隱藏的以服務(wù)啟動(dòng)的木馬干掉了，你可以去停止服務(wù)，或者通過(guò)sc delete 去刪除服務(wù)，這里就不多講了，因?yàn)榉?wù)啟動(dòng)的木馬已經(jīng)被干掉了，即使服務(wù)存在也無(wú)法找到啟動(dòng)程序了。我們這里將虛擬機(jī)重啟下，再查看下網(wǎng)絡(luò)連接是否還會(huì)與黑客建立TCP遠(yuǎn)程控制連接呢？

三、基于遠(yuǎn)控的通性反黑客遠(yuǎn)程控制法——兩個(gè)軟件判斷是否存在后門(mén)

1.這兩個(gè)工具分別是icesword（中文：冰刃）和SSM軟件。第一個(gè)軟件主要是應(yīng)對(duì)一些DLL進(jìn)程注入或者是存在Rootkit的木馬，所謂的Rootkit就是隱藏的意思，這樣的木馬有隱藏網(wǎng)絡(luò)連接狀態(tài)、隱藏進(jìn)程的功能。但是使用iceword查看就能查看到這種內(nèi)核級(jí)隱藏的木馬。例如下面就是GHOST木馬的DLL注入，它是通過(guò)DLL注入到svchost.exe進(jìn)程的，從icesword就可以找到可疑的dll模塊。?

并且大家都說(shuō)”Svchost.exe“如果與外界的IP連接就肯定是被控制了，這是有道理的。因?yàn)楝F(xiàn)在的遠(yuǎn)控比如ghost、白金遠(yuǎn)控就是會(huì)有這種現(xiàn)象就是DLL注入到“svhochst.exe“進(jìn)程進(jìn)行控制的，所以會(huì)有連接，一般來(lái)說(shuō)“svchost.exe“除了在微軟更新的時(shí)候可能存在與美國(guó)IP的連接，但是其它時(shí)候都不會(huì)存在與外界進(jìn)行IP連接的。通過(guò)360的網(wǎng)絡(luò)連接就可以直接看的出來(lái)。?

icesword里面的進(jìn)程都是黑色顯示的，如果出現(xiàn)有紅色的進(jìn)程，一般都是運(yùn)用了內(nèi)核級(jí)的rootkit技術(shù)的木馬。這樣的木馬通過(guò)任務(wù)管理器或者tasklist /svc 一般都是查看不到進(jìn)程的，但是用冰刃卻可以很快的查看到。

2.icesword的軟件很強(qiáng)大這里就不多說(shuō)了，上面已經(jīng)舉例說(shuō)了。下面說(shuō)下SSM工具的使用，首先我先在虛擬機(jī)里面安裝下這個(gè)軟件吧。并且開(kāi)啟這個(gè)軟件，開(kāi)啟這個(gè)軟件后只要我們運(yùn)行任何一個(gè)程序都會(huì)報(bào)警說(shuō)明軟件執(zhí)行了什么動(dòng)作！這里我們將一個(gè)灰鴿子遠(yuǎn)控木馬拷貝進(jìn)到我們的虛擬機(jī)，當(dāng)我們點(diǎn)擊遠(yuǎn)控木馬的時(shí)候SSM馬上就報(bào)警了，提示程序啟動(dòng)，這個(gè)動(dòng)作是正常的，因?yàn)樵摮绦蛐枰猠xplorer圖形化程序進(jìn)程啟動(dòng)的。

3.當(dāng)我們運(yùn)行之后會(huì)發(fā)現(xiàn)，這時(shí)候程序突然來(lái)了一個(gè)注冊(cè)表修改的動(dòng)作，懂注冊(cè)表的都知道這個(gè)就是向HKLC\System\CurretcontrolSet\services里面寫(xiě)入服務(wù)。這個(gè)就不太正常了，不是安裝什么程序，一個(gè)簡(jiǎn)單的程序居然寫(xiě)入服務(wù)，增加服務(wù)，可疑！

4.當(dāng)我們?cè)试S此次操作的時(shí)候，你會(huì)發(fā)現(xiàn)不停的會(huì)向注冊(cè)表寫(xiě)入服務(wù)鍵值，這個(gè)肯定就是個(gè)可疑的動(dòng)作，最后發(fā)現(xiàn)木馬又釋放了程序到系統(tǒng)目錄。照理說(shuō)一個(gè)執(zhí)行程序不會(huì)隨意釋放程序到系統(tǒng)目錄，可疑！

5.此允許發(fā)現(xiàn)最后一步又有一個(gè)進(jìn)程嘗試注入到IE里面進(jìn)行以IE后臺(tái)啟動(dòng)木馬，很明顯就能分析出就是個(gè)可疑的木馬程序，很可能就是后門(mén)木馬，它有寫(xiě)入服務(wù)的這一通性！通過(guò)SSM的攔截程序動(dòng)作就可以分析一個(gè)程序是不是綁有后門(mén)木馬。

以上就是我分享的反黑客教程，希望可以幫助你??

C語(yǔ)言C++編程學(xué)習(xí)交流圈子，【點(diǎn)擊進(jìn)入】微信公眾號(hào)：C語(yǔ)言編程學(xué)習(xí)基地

分享（源碼、項(xiàng)目實(shí)戰(zhàn)視頻、項(xiàng)目筆記，基礎(chǔ)入門(mén)教程）

歡迎轉(zhuǎn)行和學(xué)習(xí)編程的伙伴，利用更多的資料學(xué)習(xí)成長(zhǎng)比自己琢磨更快哦！

學(xué)習(xí)C/C++編程知識(shí)，提升C/C++編程能力，歡迎關(guān)注UP一起來(lái)成長(zhǎng)！
另外，UP在主頁(yè)上傳了一些學(xué)習(xí)C/C++編程的視頻教程，有興趣或者正在學(xué)習(xí)的小伙伴一定要去看一看哦！會(huì)對(duì)你有幫助的~

編程學(xué)習(xí)書(shū)籍：

編程學(xué)習(xí)視頻：