”菜鸟也来查找软件后门

白银时代备注：既然说是为了菜鸟们来查找后门了，自然不会太难。建议大家查找后门的时候都在沙盒模式下或者虚拟机里面执行。
        序：现在的软件五花八门，各种各样的稀奇古怪玩意也越来越多，N多的收费软件大行其道，自然就会引来各式各样的破解版，夜路走多了难免会撞鬼。
谁又能保证是不是就有那么些心存歹意的作者呢？

        下面就介绍几种常用的后门查找方式，希望对大家有效。
有不足之处也不要笑话我，本人也不是什么大牛……

        个人认为后门的存在方式无非就分两种：
1、捆绑。
2、编程。

        不难理解吧？

        先说说捆绑一类的如何解决。
        捆绑，这是比较低级的技术了，一般都是在控制端（也就是我们运行的那个东东）上做手脚。虽然网上有各种各样的所谓的检测捆绑的工具，但是那些东西个人觉得都是垃圾。
        其捆绑检测原理都是预先载入，然后分析文件头，看有几个文件头，然后来判断是否被捆绑。
但是现在的软件很多都带有多个dll、sys一类的文件，这种检测方法越来越过时，方法过于老套，查杀效率自然也就越来越低下。

        本大王一般都是直接监测运行文件时是否有文件释放、删除等。
下面这两个小工具可以帮到各位的忙：目录监视工具、后门捕捉器

        监视C盘就可以了，看释放了哪些文件，尤其需要注意exe、dll、sys这三类文件，一般的正常文件不会同时释放这三类文件。
而sys驱动文件正常的软件是绝对不会释放的。

        一般的病毒文件都会有其特有的文件命名方式，无非我说的集中命名方式：
1、X.exe、X.dll、X.sys
      X一般都是一些单字节数字或者字母。
2、mm.exe、mm.dll、mm.sys
      mm一般就是指“木马”的前两个首字母了。而【mm】也可能代表某一英文字母，比如我个人比较喜欢的小熊远控2009，其所释放的dll名称就为kkk.dll，而pcshare所释放的则为一些无规则的英文字符。这些都很常用，大家在检测的时候注意一下就不难发现了。
3、纯数字.exe、纯数字.dll、纯数字.sys
      纯数字的命名方式一般都是感染型的病毒才会使用的，并且一般都是随机组合，这个一眼就能看出来。
因此，当捕捉到得监视列表中出现exe、dll、sys这三种类型文件的时候都要特别注意。尤其是exe和sys！

下面我们来说一说编程式后门。
        这种后门一般都比较头疼，一般都是那种独特的算法，在编程的初期就加进去了，本来是想找篇文章出来的，但是甲壳虫大牛QWERT写的那篇文章找来找去找不到，我自己凭印象也写不出来。
一般这种后门都是作者添加上去的，有些后门比较特殊，激活条件很苛刻，延迟个几天，固定系统，某个时间段来下载木马文件。这种没有一定的逆向基础的人都查不出来。本文不作考虑。
        说下平时的后门是怎么查出来的吧。用到的工具这么几个：PEID 0.94、C32ASM、SSM、脱壳机
这些工具大家可能都没有听说过，但是不用担心，都是些很傻瓜的工具，按照我说的来做就行了。
        peid是用来查文件是否带壳用的，如果文件带壳自然就得先用脱壳机脱掉它的马甲了。C32ASM是一款强大的反汇编工具，SSM是用来抓包用的。

        我们拿到一个文件之后先用PEID查壳，有壳则脱掉，然后用C32载入文件。搜索以下 HTPP  FTP COM CN NET ORG 3322  exe dll 之类的（按下Ctrl+F3，字符选择记得使用ANSI字符），当然，这个工程很烦琐，有些是利用3.3.2.2 中间留有空格。  需要个人细心排查。而dll一般都是函数调用，输入表、输出表都会调用到，一般没有人会搜索dll。
        如果这个步骤查找一遍之后还是没有发现有何异常，但是你又比较担心的话你就可以用到我提到的SSM了。配合我提到的两款文件监视工具来运行。
运行我们怀疑的文件，然后监测网络连接和文件目录。
因为本大王对SSM这款工具迄今为止都没能很熟练的掌握，所以我也不知道该怎么说才好。
        其实还有一款regsnap这款工具也要用到的，但是因为regsnap是监测注册表用的，而新手肯定对注册表不熟悉，因此我也就不再细说了。

这里提一下，DAT文件的后门大家是可以生成服务端来运行从而进行监测的，因为服务端的信息包含了所有DAT的信息。

一般的检测后门的方法就是这样了。
行文比较仓促，有什么不对的地方还望指教出来。