前言
那什麼,額不是最近國慶嗎?因為疫情的緣故,我們都在家中,但發生了這麼一件事,看到標題你應該知道是什麼了,我被黑了!!!咳咳咳,不能說是被黑了,只能說是我下載了一個後門軟體,對後門軟體,比如說灰鴿子,流光這種,那邊的黑客遠端控制了我,我知道,這是最基礎的軟體了。但是我還是中了,最後,我的賬號,密碼都被盜取。很難受對吧,所以我寫個這個文章。
如何防護這種後門,木馬?
很容易,不去下載就好了。哎,你這不是廢話嗎?咳咳,最好的方法,360。360?你在說什麼?360不是毒瘤嗎?360雲大腦知道嗎?雖然這個東西經常抽風,說這個是木馬,那個是病毒。但是不去理就好了。不然你可試試不裝360會怎麼樣,首先,我們要知道360的重要性,不然你可以換成卡巴斯基。咳咳,進入正題
- 360只是第一種方法
- 第二種linux,比如說ubuntu,本文用CentOS系統演示
- 防火牆軟體,比如說天網
- 還有最後一個方法,按我說的做
第一種方法:360,騰訊電腦管家,火絨,卡巴斯基等防毒
360你不會裝嗎?笨蛋,自己找教程。
第二種方法:Linux下chkrootkit+RKHunter直接性防護
第二種方法開始。rootkit聽說過嗎?沒有就百度去
1. 檔案級別rootkit
檔案級別的rootkit一般是通過程式漏洞或者系統漏洞進入系統後,通過修改系統的重要檔案來達到隱藏自己的目的。在系統遭受rootkit攻擊後,合法的檔案被木馬程式替代,變成了外殼程式,而其內部是隱藏著的後門程式。通常容易被rootkit替換的系統程式有login、ls、ps、ifconfig、du、find、netstat等,其中login程式是最經常被替換的,因為當訪問Linux時,無論是通過本地登入還是遠端登入,/bin/login程式都會執行,系統將通過/bin/login來收集並核對使用者的賬號和密碼,而rootkit就是利用這個程式的特點,使用一個帶有根許可權後門密碼的/bin/login來替換系統的/bin/login,這樣攻擊者通過輸入設定好的密碼就能輕鬆進入系統。此時,即使系統管理員修改root密碼或者清除root密碼,攻擊者還是一樣能通過root使用者登入系統。攻擊者通常在進入Linux系統後,會進行一系列的攻擊動作,最常見的是安裝嗅探器收集本機或者網路中其他伺服器的重要資料。在預設情況下,Linux中也有一些系統檔案會監控這些工具動作,例如ifconfig命令,所以,攻擊者為了避免被發現,會想方設法替換其他系統檔案,常見的就是ls、ps、ifconfig、du、find、netstat等。如果這些檔案都被替換,那麼在系統層面就很難發現rootkit已經在系統中執行了。
這就是檔案級別的rootkit,對系統維護很大,目前最有效的防禦方法是定期對系統重要檔案的完整性進行檢查,如果發現檔案被修改或者被替換,那麼很可能系統已經遭受了rootkit入侵。檢查件完整性的工具很多,常見的有Tripwire、 aide等,可以通過這些工具定期檢查檔案系統的完整性,以檢測系統是否被rootkit入侵。
2. 核心級別的rootkit
核心級rootkit是比檔案級rootkit更高階的一種入侵方式,它可以使攻擊者獲得對系統底層的完全控制權,此時攻擊者可以修改系統核心,進而截獲執行程式向核心提交的命令,並將其重定向到入侵者所選擇的程式並執行此程式,也就是說,當使用者要執行程式A時,被入侵者修改過的核心會假裝執行A程式,而實際上卻執行了程式B。
核心級rootkit主要依附在核心上,它並不對系統檔案做任何修改,因此一般的檢測工具很難檢測到它的存在,這樣一旦系統核心被植入rootkit,攻擊者就可以對系統為所欲為而不被發現。目前對於核心級的rootkit還沒有很好的防禦工具,因此,做好系統安全防範就非常重要,將系統維持在最小許可權內工作,只要攻擊者不能獲取root許可權,就無法在核心中植入rootkit。
3. 主題
瞭解,安裝,準備,使用chkrootkit
chkrootkit是一個Linux系統下查詢並檢測rootkit後門的工具,它的官方址: http://www.chkrootkit.org/。 chkrootkit沒有包含在官方的CentOS源中,因此要採取手動編譯的方法來安裝,不過這種安裝方法也更加安全。下面簡單介紹下chkrootkit的安裝過程。
- 準備gcc編譯環境
對於CentOS系統,需要安裝gcc編譯環境,執行下述三條命令:
yum -y install gcc
yum -y install gcc-c++
yum -y install make
# 安裝gcc,g++,CMake
- 安裝chkrootkit
為了安全起見,建議直接從官方網站下載chkrootkit原始碼,然後進行安裝,操作如下:
tar zxvf chkrootkit.tar.gz
cd chkrootkit-*
make sense
# 注意,上面的編譯命令為make sense
- 使用chkrootkit
安裝完的chkrootkit程式位於/usr/local/chkrootkit目錄下,執行如下命令即可顯示chkrootkit的詳細用法:
/usr/local/chkrootkit/chkrootkit -h #顯示幫助資訊
chkrootkit各個引數的含義如下所示。
| 命令 | 作用 |
|---|---|
| -h | 顯示幫助資訊 |
| -v | 顯示版本資訊 |
| -ddebug | ddebug模式,顯示檢測過程的相關指令程式 |
| -q | 安靜模式,只顯示有問題的內容 |
| -x | 高階模式,顯示所有檢測結果 |
| -r | dir設定指定的目錄為根目錄 |
| -p | dir1:dir2:dirN指定chkrootkit檢測時使用系統命令的目錄 |
| -n | 跳過NFS連線的目錄 |
chkrootkit的使用比較簡單,直接執行chkrootkit命令即可自動開始檢測系統。下面是某個系統的檢測結果:
[root@server chkrootkit] # /usr/local/chkrootkit/chkrootkit
Checking ` ifconfig '... INFECTED
Checking ` ls '... INFECTED
Checking `login'... INFECTED
Checking ` netstat '... INFECTED
Checking ` ps '... INFECTED
Checking ` top '... INFECTED
Checking `sshd'... not infected
Checking `syslogd'... not tested
Checking ` tar '... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `telnetd'... not found
從輸出可以看出,此係統的ifconfig、ls、login、netstat、ps和top命令已經被感染。針對被感染rootkit的系統,最安全而有效的方法就是備份資料重新安裝系統
4. chkrootkit的缺點
chkrootkit在檢查rootkit的過程中使用了部分系統命令,因此,如果伺服器被黑客入侵,那麼依賴的系統命令可能也已經被入侵者替換,此時chkrootkit的檢測結果將變得完全不可信。為了避免chkrootkit的這個問題,可以在伺服器對外開放前,事先將chkrootkit使用的系統命令進行備份,在需要的時候使用備份的原始系統命令讓chkrootkit對rootkit進行檢測。這個過程可以通過下面的操作實現:
[root@server ~] # mkdir /usr/share/.commands
[root@server ~] # cp `which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands
[root@server ~] # /usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/
[root@server share] # cd /usr/share/
[root@server share] # tar zcvf commands.tar.gz .commands
[root@server share] # rm -rf commands.tar.gz
上面這段操作是在/usr/share/下建立了一個.commands隱藏檔案,然後將chkrootkit使用的系統命令進行備份到這個目錄下。為了安全起見,可以將.commands目錄壓縮打包,然後下載到一個安全的地方進行備份,以後如果伺服器遭受入侵,就可以將這個備份上傳到伺服器任意路徑下,然後通過chkrootkit命令的"-p"引數指定這個路徑進行檢測即可。
rootkit後門檢測工具RKHunter
RKHunter是一款專業的檢測系統是否感染rootkit的工具,它通過執行一系列的指令碼來確認伺服器是否已經感染rootkit。在官方的資料中,RKHunter可以作的事情有:
- MD5校驗測試,檢測檔案是否有改動
- 檢測rootkit使用的二進位制和系統工具檔案
- 檢測特洛伊木馬程式的特徵碼
- 檢測常用程式的檔案屬性是否異常
- 檢測系統相關的測試
- 檢測隱藏檔案
- 檢測可疑的核心模組LKM
- 檢測系統已啟動的監聽埠
- 下面詳細講述下RKHunter的安裝與使用。
下面詳細講述下RKHunter的安裝與使用。
- 安裝RKHunter
RKHunter的官方網頁地址為:http://www.rootkit.nl/projects/rootkit_hunter.html 建議從這個網站下載RKHunter,這裡下載的版本是rkhunter-1.4.0.tar.gz。RKHunter的安裝非常簡單,過程如下:
[root@server ~] # ls
rkhunter-1.4.0. tar .gz
[root@server ~] # pwd
/root
[root@server ~] # tar -zxvf rkhunter-1.4.0.tar.gz
[root@server ~] # cd rkhunter-1.4.0
[root@server rkhunter-1.4.0] # ./installer.sh --layout default --install
這裡採用RKHunter的預設安裝方式,rkhunter命令被安裝到了/usr/local/bin目錄下。
使用rkhunter指令
rkhunter命令的引數較多,但是使用非常簡單,直接執行rkhunter即可顯示此命令的用法。下面簡單介紹下rkhunter常用的幾個引數選項。
[root@server ~]#/usr/local/bin/rkhunter–help
Rkhunter常用引數以及含義如下所示:
| 引數 | 含義 |
|---|---|
| --c, --check | 必選引數,表示檢測當前系統 |
| --configfile |
使用特定的配置檔案 |
| --cronjob | 作為cron任務定期執行 |
| --sk, --skip-keypress | 自動完成所有檢測,跳過鍵盤輸入 |
| --summary | 顯示檢測結果的統計資訊 |
| --update | 檢測更新內容 |
| -v, --version | 顯示版本資訊 |
| --versioncheck | 檢測最新版本 |
下面是通過rkhunter對某個系統的檢測示例:
[root@server rkhunter-1.4.0] # /usr/local/bin/rkhunter -c
[ Rootkit Hunter version 1.4.0 ]
# 下面是第一部分,先進行系統命令的檢查,主要是檢測系統的二進位制檔案,因為這些檔案最容易被rootkit攻擊。顯示OK字樣表示正常,顯示Warning表示有異常,需要引起注意,而顯示“Not found”字樣,一般無需理會
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing file properties checks
Checking for prerequisites [ Warning ]
/usr/local/bin/rkhunter [ OK ]
/sbin/chkconfig [ OK ]
....(略)....
[Press <ENTER> to continue ]
# 下面是第二部分,主要檢測常見的rootkit程式,顯示“Not found”表示系統未感染此rootkit
Checking for rootkits...
Performing check of known rootkit files and directories
55808 Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
AjaKit Rootkit [ Not found ]
Adore Rootkit [ Not found ]
aPa Kit [ Not found ]
Apache Worm [ Not found ]
Ambient (ark) Rootkit [ Not found ]
Balaur Rootkit [ Not found ]
BeastKit Rootkit [ Not found ]
beX2 Rootkit [ Not found ]
BOBKit Rootkit [ Not found ]
....(略)....
[Press <ENTER> to continue ]
# 下面是第三部分,主要是一些特殊或附加的檢測,例如對rootkit檔案或目錄檢測、對惡意軟體檢測以及對指定的核心模組檢測
Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]
Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]
Performing Linux specific checks
Checking loaded kernel modules [ OK ]
Checking kernel module names [ OK ]
[Press <ENTER> to continue ]
# 下面是第四部分,主要對網路、系統埠、系統啟動檔案、系統使用者和組配置、SSH配置、檔案系統等進行檢測
Checking the network...
Performing checks on the network ports
Checking for backdoor ports [ None found ]
Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]
Checking the local host...
Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]
Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
....(略)....
[Press <ENTER> to continue ]
# 下面是第五部分,主要是對應用程式版本進行檢測
Checking application versions...
Checking version of GnuPG[ OK ]
Checking version of OpenSSL [ Warning ]
Checking version of OpenSSH [ OK ]
# 下面是最後一部分,這個部分其實是上面輸出的一個總結,通過這個總結,可以大概瞭解伺服器目錄的安全狀態。
System checks summary
=====================
File properties checks...
Required commands check failed
Files checked: 137
Suspect files: 4
Rootkit checks...
Rootkits checked : 311
Possible rootkits: 0
Applications checks...
Applications checked: 3
Suspect applications: 1
The system checks took: 6 minutes and 41 seconds
在Linux終端使用rkhunter來檢測,最大的好處在於每項的檢測結果都有不同的顏色顯示,如果是綠色的表示沒有問題,如果是紅色的,那就要引起關注了。另外,在上面執行檢測的過程中,在每個部分檢測完成後,需要以Enter鍵來繼續。如果要讓程式自動執行,可以執行如下命令:
[root@server ~]# /usr/local/bin/rkhunter --check --skip-keypress
同時,如果想讓檢測程式每天定時執行,那麼可以在/etc/crontab中加入如下內容:
30 09 * * * root /usr/local/bin/rkhunter --check --cronjob
這樣,rkhunter檢測程式就會在每天的9:30分執行一次。
第三種:防火牆軟體
第一個,windows自帶防火牆
windows自帶的防火牆windows Defender,在 控制皮膚\系統和安全\Windows Defender 防火牆 中,開啟即可。但是預設是開啟的,反正檢查一下看看有沒有開啟,有些軟體可以關閉防火牆,檢查一下就對了!
第二個:360家庭防火牆
沒錯,又是360,個人認為360的防火牆還可以,下載獨立版的就好了,連線一下雲大腦,簡直是浪的飛起,雖然並沒有什麼卵用,定時檢查一下埠就好了,我這種前端開發的,看的就是埠,wifi的近期使用情況,誰在用wifi,什麼手機,電腦在用,看的就是這個,所以這個防火牆很好的解決了我的問題,自然我就推薦了。主要是我們這些開發者使用,推薦一下。
第三個:GlassWire
GlassWire是windows下的一款軟體,對windows的,介面很美觀,很簡潔就像這樣 
這是切換中文的圖片。你不會想到這是windows下的軟體,它太簡潔了!所以我強推這款軟體,一個字"好!"
第四個:Firewall App Blocker
Firewall App Blocker 超級簡單易用的bai限制軟體訪問網路的防火牆:
對於大多數使用者,Windows自帶的防火牆雖然實用但並沒有好好利用起來,主要是因為設定略顯繁瑣。使用 Firewall App Blocker (Fab) 來禁止應用聯網變得超級簡單方便。使用者只需將需要限制的應用程式新增到軟體的列表裡即可,勾選狀態下為禁止聯網,取消勾選可以臨時允許聯網,就是這麼簡單。
這個軟體很好用的,它最大的好處是解決了Windows自帶防火牆的難用問題。也推薦。但是介面沒有GlassWire那麼好看。
也許你會說:“為什麼只有windows的軟體?MAC的去哪裡了?”我的回答是,你也不自己去數落數落MAC的防禦力,不說是木馬了,來個頂級黑客攻進去也要費很多時間!至於Linux的,或許你已經看過了,就不用我來說了,如果你想秀技術,來個反黑客我沒意見。如果你真的黑成功了,那你可以做什麼呢?等著網警來找你?不要無罪變有罪了。“那麼這麼多軟體,要怎麼下載呢?”給出網址你認為我會告訴你密碼嗎?想知道密碼?很容易,發郵件到我的郵箱裡3225454747@qq.com關鍵字:密碼是啥?或者陳殤好帥。都可以。
做後一種方法
前言
這個方法很繞,如果實在是聽不下去就別聽了(博主的衷心勸告),最後一種方法是反黑客後門軟體,前言不多說,直接進入正題
正題
馬上進入正題!
瞭解什麼是後門程式
後門程式是指那些繞過安全性控制而獲取對程式或系統訪問權的程式方法。一般在軟體開發時,程式設計師會在軟體中建立後門程式,這樣就可以修改程式設計中的缺陷。但是,如果這些後門被其他人知道,或是在釋出軟體之前沒有刪除後門程式,那麼它就成了安全風險,容易被黑客當成漏洞進行攻擊。通俗的講,後門程式就是留在計算機系統中,供某位特殊使用者通過某種特殊方式控制計算機系統的途徑。
一、遠端控制的兩個通性
(1)任何一款的遠端控制技術都必須與目標(被控端)建立至少一個TCP或者UPD連線。如果黑客未上線,則會每隔30秒向黑客發起連線請求。
(2)任何一款遠控木馬都會向系統寫入至少一個隨機啟動項、服務啟動項,或者劫持某個系統必備的正常啟動項。並且會在某個目錄中隱、釋放木馬。以方便隨機啟動。
二、基於遠控通性反遠端控制法——兩條命令判斷是否被控制
- 最簡單的方法就是通過兩條命令,一條是“netstat “ 。另一條就是“tasklist “命令,這兩條命令可真為是絕配的反黑客遠控的方法啊。首先我們就在虛擬機器中測試,在本機使用灰鴿子主控端生成一個木馬放入到虛擬機器中執行。
netstat # 在cmd,powershell,Git等終端中執行,直接監聽埠
tasklist # 檢視所有程式的佔用埠
-
確認虛擬機器已經中了我們的遠控木馬之後我們開始執行第一條命令,首先大家先在聯網的情況,把所有聯網的程式都關閉,包括防毒軟體、QQ、迅雷、等存在聯網的程式關閉,儲存最原始的程式。這樣很方便我們識別。再次開啟開始選單——執行——輸入“cmd”。進入到黑色的DOS視窗下,輸入命令“netstat -ano“。這條命令的意思是檢視當前網路的連線狀態。輸入之後我們檢視中主要看”state”的狀態,如果是“listenning”是埠的監聽這個可以放心,如果是“ESTABLISHED”可要注意了,這個狀態意思是正在連線!我們肯定會想,我們都沒開任何程式在聯網,何來正在與遠端主機連線呢?下面是中了遠端控制木馬的虛擬機器中網路連線狀態。
-
此時捕捉到正在連線的狀態的最後一行PID值為:3920,這就是我們說的遠控至少與目標建立一個TCP或UDP連線,而這裡建立了一個TCP連線,並且仔細看下,“Foregin Address”意思是外網地址,這個IP地址可以百度進行查詢下就可以知道是哪個地區的人在控制我們的電腦,再仔細看下IP地址後面的埠為:8000,現在很多主流的遠端軟體都是8000或者80埠,這又更值得懷疑了。這樣我們就可以檢視程式,因為木馬要想進行連線就必定會在記憶體中進行執行,否則就無法進行連線了,我們檢視記憶體中可疑的程式,上面捕獲的連線PID為:3920。我們輸入命令“tasklist /svc“這條命令是檢視當前程式與PID值和啟動的服務。
-
通過上面的命令找到了網路連線對應的PID值程式3920,並且發現該程式名是一個IE的程式,很明顯這就有問題,因為我們根本沒開啟瀏覽器,何來IE程式呢?果斷的就知道它的一個遠端控制木馬偽裝的程式。我們應該馬上去進行一個查殺掉該程式,從記憶體中幹掉它。我們輸入命令“taskkill /f /pid 3920” 這條命令是強制結束PID值為3920的程式。當我們強制結束掉了木馬之後發現主控端遠端控制軟體上的肉雞馬上就下線了。這樣黑客就無法進行控制了。
-
在這裡說明,我們只是暫時現在已經讓黑客無法控制我們的電腦,結束了它的遠端控制的連線程式。但是我們要知道遠端控制的第二個通性,就是遠端控制軟體為了讓對方能夠重啟系統後繼續在黑客的遠控軟體上面上線,就必須會在被控者的電腦上寫入一個隨機啟動項,這個隨機啟動項就是當系統啟動的時候立馬執行木馬,執行了木馬就可以再次上線。所以我們還需要檢測我們的啟動項。很多啟動項都是寫入登錄檔的,我們這裡給大家列出一些木馬可能寫入的啟動鍵值。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的shell鍵值
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下的load鍵值
- 在CMD下切換到該目錄下程式一個強制刪除吧,切換到目錄後輸入命令“del /ah /f svchot.exe “ 就可以強制刪除隱藏的木馬了。
- 此時我們把隱藏的以服務啟動的木馬乾掉了,你可以去停止服務,或者通過sc delete
去刪除服務,這裡就不多講了,因為服務啟動的木馬已經被幹掉了,即使服務存在也無法找到啟動程式了。我們這裡將虛擬機器重啟下,再檢視下網路連線是否還會與黑客建立TCP遠端控制連線呢?
三、基於遠控的通性反黑客遠端控制法——兩個軟體判斷是否存在後門
- 這兩個工具分別是icesword(中文:冰刃)和SSM軟體。第一個軟體主要是應對一些DLL程式注入或者是存在Rootkit的木馬,所謂的Rootkit就是隱藏的意思,這樣的木馬有隱藏網路連線狀態、隱藏程式的功能。但是使用iceword檢視就能檢視到這種核心級隱藏的木馬。例如下面就是GHOST木馬的DLL注入,它是通過DLL注入到svchost.exe程式的,從icesword就可以找到可疑的dll模組。
並且大家都說”Svchost.exe“如果與外界的IP連線就肯定是被控制了,這是有道理的。因為現在的遠控比如ghost、白金遠控就是會有這種現象就是DLL注入到“svhochst.exe“程式進行控制的,所以會有連線,一般來說“svchost.exe“除了在微軟更新的時候可能存在與美國IP的連線,但是其它時候都不會存在與外界進行IP連線的。通過360的網路連線就可以直接看的出來。
icesword裡面的程式都是黑色顯示的,如果出現有紅色的程式,一般都是運用了核心級的rootkit技術的木馬。這樣的木馬通過工作管理員或者tasklist /svc 一般都是檢視不到程式的,但是用冰刃卻可以很快的檢視到。 - icesword的軟體很強大這裡就不多說了,上面已經舉例說了。下面說下SSM工具的使用,首先我先在虛擬機器裡面安裝下這個軟體吧。並且開啟這個軟體,開啟這個軟體後只要我們執行任何一個程式都會報警說明軟體執行了什麼動作!這裡我們將一個灰鴿子遠控木馬拷貝進到我們的虛擬機器,當我們點選遠控木馬的時候SSM馬上就報警了,提示程式啟動,這個動作是正常的,因為該程式需要explorer圖形化程式程式啟動的。
- 當我們執行之後會發現,這時候程式突然來了一個登錄檔修改的動作,懂登錄檔的都知道這個就是向HKLC\System\CurretcontrolSet\services裡面寫入服務。這個就不太正常了,不是安裝什麼程式,一個簡單的程式居然寫入服務,增加服務,可疑!
- 當我們允許此次操作的時候,你會發現不停的會向登錄檔寫入服務鍵值,這個肯定就是個可疑的動作,最後發現木馬又釋放了程式到系統目錄。照理說一個執行程式不會隨意釋放程式到系統目錄,可疑!
- 此允許發現最後一步又有一個程式嘗試注入到IE裡面進行以IE後臺啟動木馬,很明顯就能分析出就是個可疑的木馬程式,很可能就是後門木馬,它有寫入服務的這一通性!通過SSM的攔截程式動作就可以分析一個程式是不是綁有後門木馬。
以上就是我分享的反黑客教程,希望可以幫助你?