如何反黑客後門程序

前言

那什麼，額不是最近國慶嗎？由於疫情的緣故，咱們都在家中，但發生了這麼一件事，看到標題你應該知道是什麼了，我被黑了！！！咳咳咳，不能說是被黑了，只能說是我下載了一個後門軟件，對後門軟件，好比說灰鴿子，流光這種，那邊的黑客遠程控制了我，我知道，這是最基礎的軟件了。可是我仍是中了，最後，個人帳號，密碼都被盜取。很難受對吧，因此我寫個這個文章。html

如何防禦這種後門，木馬？

很容易，不去下載就行了。哎，你這不是廢話嗎？咳咳，最好的方法，360。360？你在說什麼？360不是毒瘤嗎？360雲大腦知道嗎？雖然這個東西常常抽風，說這個是木馬，那個是病毒。可是不去理就行了。否則你可試試不裝360會怎麼樣，首先，咱們要知道360的重要性，否則你能夠換成卡巴斯基。咳咳，進入正題前端

360只是第一種方法
第二種linux，好比說ubuntu，本文用CentOS系統演示
防火牆軟件，好比說天網
還有最後一個方法，按我說的作

第一種方法:360，騰訊電腦管家，火絨，卡巴斯基等殺毒

360你不會裝嗎？笨蛋，本身找教程。python

第二種方法：Linux下chkrootkit+RKHunter直接性防禦

第二種方法開始。rootkit據說過嗎？沒有就百度去linux

1. 文件級別rootkit

文件級別的rootkit通常是經過程序漏洞或者系統漏洞進入系統後，經過修改系統的重要文件來達到隱藏本身的目的。在系統遭受rootkit攻擊後，合法的文件被木馬程序替代，變成了外殼程序，而其內部是隱藏着的後門程序。一般容易被rootkit替換的系統程序有login、ls、ps、ifconfig、du、find、netstat等，其中login程序是最常常被替換的，由於當訪問Linux時，不管是經過本地登陸仍是遠程登陸，/bin/login程序都會運行，系統將經過/bin/login來收集並覈對用戶的帳號和密碼，而rootkit就是利用這個程序的特色，使用一個帶有根權限後門密碼的/bin/login來替換系統的/bin/login，這樣攻擊者經過輸入設定好的密碼就能輕鬆進入系統。此時，即便系統管理員修改root密碼或者清除root密碼，攻擊者仍是同樣能經過root用戶登陸系統。攻擊者一般在進入Linux系統後，會進行一系列的攻擊動做，最多見的是安裝嗅探器收集本機或者網絡中其餘服務器的重要數據。在默認狀況下，Linux中也有一些系統文件會監控這些工具動做，例如ifconfig命令，因此，攻擊者爲了不被發現，會千方百計替換其餘系統文件，常見的就是ls、ps、ifconfig、du、find、netstat等。若是這些文件都被替換，那麼在系統層面就很難發現rootkit已經在系統中運行了。c++

這就是文件級別的rootkit，對系統維護很大，目前最有效的防護方法是按期對系統重要文件的完整性進行檢查，若是發現文件被修改或者被替換，那麼極可能系統已經遭受了rootkit入侵。檢查件完整性的工具不少，常見的有Tripwire、 aide等，能夠經過這些工具按期檢查文件系統的完整性，以檢測系統是否被rootkit入侵。程序員

2. 內核級別的rootkit

內核級rootkit是比文件級rootkit更高級的一種入侵方式，它可使攻擊者得到對系統底層的徹底控制權，此時攻擊者能夠修改系統內核，進而截獲運行程序向內核提交的命令，並將其重定向到入侵者所選擇的程序並運行此程序，也就是說，當用戶要運行程序A時，被入侵者修改過的內核會僞裝執行A程序，而實際上卻執行了程序B。shell

內核級rootkit主要依附在內核上，它並不對系統文件作任何修改，所以通常的檢測工具很難檢測到它的存在，這樣一旦系統內核被植入rootkit，攻擊者就能夠對系統隨心所欲而不被發現。目前對於內核級的rootkit尚未很好的防護工具，所以，作好系統安全防範就很是重要，將系統維持在最小權限內工做，只要攻擊者不能獲取root權限，就沒法在內核中植入rootkit。ubuntu

3. 主題

瞭解，安裝，準備，使用chkrootkit

chkrootkit是一個Linux系統下查找並檢測rootkit後門的工具，它的官方址: www.chkrootkit.org/。 chkrootkit沒有包含在官方的CentOS源中，所以要採起手動編譯的方法來安裝，不過這種安裝方法也更加安全。下面簡單介紹下chkrootkit的安裝過程。windows

準備gcc編譯環境

對於CentOS系統，須要安裝gcc編譯環境，執行下述三條命令：瀏覽器

yum -y install gcc
 yum -y install gcc-c++
 yum -y install make
 # 安裝gcc,g++,CMake
複製代碼

安裝chkrootkit

爲了安全起見，建議直接從官方網站下載chkrootkit源碼，而後進行安裝，操做以下：

tar zxvf chkrootkit.tar.gz
 cd chkrootkit-*
 make sense
 # 注意，上面的編譯命令爲make sense
複製代碼

使用chkrootkit

安裝完的chkrootkit程序位於/usr/local/chkrootkit目錄下，執行以下命令便可顯示chkrootkit的詳細用法：

/usr/local/chkrootkit/chkrootkit  -h #顯示幫助信息
複製代碼

chkrootkit各個參數的含義以下所示。

命令	做用
-h	顯示幫助信息
-v	顯示版本信息
-ddebug	ddebug模式，顯示檢測過程的相關指令程序
-q	安靜模式，只顯示有問題的內容
-x	高級模式，顯示全部檢測結果
-r	dir設置指定的目錄爲根目錄
-p	dir1:dir2:dirN指定chkrootkit檢測時使用系統命令的目錄
-n	跳過NFS鏈接的目錄

chkrootkit的使用比較簡單，直接執行chkrootkit命令便可自動開始檢測系統。下面是某個系統的檢測結果：

[root@server chkrootkit] # /usr/local/chkrootkit/chkrootkit
Checking ` ifconfig '... INFECTED
Checking ` ls '... INFECTED
Checking `login'... INFECTED
Checking ` netstat '... INFECTED
Checking ` ps '... INFECTED
Checking ` top '... INFECTED
Checking `sshd'... not infected
Checking `syslogd'... not tested
Checking ` tar '... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `telnetd'... not found
複製代碼

從輸出能夠看出，此係統的ifconfig、ls、login、netstat、ps和top命令已經被感染。針對被感染rootkit的系統，最安全而有效的方法就是備份數據從新安裝系統
4. chkrootkit的缺點

chkrootkit在檢查rootkit的過程當中使用了部分系統命令，所以，若是服務器被黑客入侵，那麼依賴的系統命令可能也已經被入侵者替換，此時chkrootkit的檢測結果將變得徹底不可信。爲了不chkrootkit的這個問題，能夠在服務器對外開放前，事先將chkrootkit使用的系統命令進行備份，在須要的時候使用備份的原始系統命令讓chkrootkit對rootkit進行檢測。這個過程能夠經過下面的操做實現：

[root@server ~] # mkdir /usr/share/.commands
[root@server ~] # cp `which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands
[root@server ~] # /usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/
[root@server share] # cd /usr/share/
[root@server share] # tar zcvf commands.tar.gz .commands
[root@server share] #  rm -rf commands.tar.gz
複製代碼

上面這段操做是在/usr/share/下創建了一個.commands隱藏文件，而後將chkrootkit使用的系統命令進行備份到這個目錄下。爲了安全起見，能夠將.commands目錄壓縮打包，而後下載到一個安全的地方進行備份，之後若是服務器遭受入侵，就能夠將這個備份上傳到服務器任意路徑下，而後經過chkrootkit命令的"-p"參數指定這個路徑進行檢測便可。

rootkit後門檢測工具RKHunter

RKHunter是一款專業的檢測系統是否感染rootkit的工具，它經過執行一系列的腳原本確認服務器是否已經感染rootkit。在官方的資料中，RKHunter能夠做的事情有：

MD5校驗測試，檢測文件是否有改動
檢測rootkit使用的二進制和系統工具文件
檢測特洛伊木馬程序的特徵碼
檢測經常使用程序的文件屬性是否異常
檢測系統相關的測試
檢測隱藏文件
檢測可疑的核心模塊LKM
檢測系統已啓動的監聽端口
下面詳細講述下RKHunter的安裝與使用。

下面詳細講述下RKHunter的安裝與使用。

安裝RKHunter

RKHunter的官方網頁地址爲：www.rootkit.nl/projects/ro… 建議從這個網站下載RKHunter，這裏下載的版本是rkhunter-1.4.0.tar.gz。RKHunter的安裝很是簡單，過程以下：

[root@server ~] # ls
rkhunter-1.4.0\. tar .gz
[root@server ~] # pwd
/root
[root@server ~] # tar -zxvf rkhunter-1.4.0.tar.gz 
[root@server ~] # cd rkhunter-1.4.0
[root@server rkhunter-1.4.0] # ./installer.sh  --layout default --install
複製代碼

這裏採用RKHunter的默認安裝方式，rkhunter命令被安裝到了/usr/local/bin目錄下。
使用rkhunter指令

rkhunter命令的參數較多，可是使用很是簡單，直接運行rkhunter便可顯示此命令的用法。下面簡單介紹下rkhunter經常使用的幾個參數選項。

[root@server ~]#/usr/local/bin/rkhunter–help

Rkhunter經常使用參數以及含義以下所示：

參數	含義
--c, --check	必選參數，表示檢測當前系統
--configfile	使用特定的配置文件
--cronjob	做爲cron任務按期運行
--sk, --skip-keypress	自動完成全部檢測，跳過鍵盤輸入
--summary	顯示檢測結果的統計信息
--update	檢測更新內容
-v, --version	顯示版本信息
--versioncheck	檢測最新版本

下面是經過rkhunter對某個系統的檢測示例：

[root@server rkhunter-1.4.0] # /usr/local/bin/rkhunter   -c 
[ Rootkit Hunter version 1.4.0 ]
# 下面是第一部分，先進行系統命令的檢查，主要是檢測系統的二進制文件，由於這些文件最容易被rootkit攻擊。顯示OK字樣表示正常，顯示Warning表示有異常，須要引發注意，而顯示「Not found」字樣，通常無需理會
Checking system commands...
   Performing  'strings'  command  checks
     Checking  'strings'  command                            [ OK ]
   Performing  'shared libraries'  checks
     Checking  for  preloading variables                        [ None found ]
     Checking  for  preloaded libraries                         [ None found ]
     Checking LD_LIBRARY_PATH variable                 [ Not found ]
   Performing  file  properties checks
     Checking  for  prerequisites                              [ Warning ]
     /usr/local/bin/rkhunter   [ OK ]
     /sbin/chkconfig                                        [ OK ]
....(略)....
[Press <ENTER> to  continue ]
# 下面是第二部分，主要檢測常見的rootkit程序，顯示「Not found」表示系統未感染此rootkit
Checking  for  rootkits...
   Performing check of known rootkit files and directories
     55808 Trojan - Variant A                                 [ Not found ]
     ADM Worm                                           [ Not found ]
     AjaKit Rootkit                                         [ Not found ]
     Adore Rootkit                                          [ Not found ]
aPa Kit                                               [ Not found ]
     Apache Worm                                          [ Not found ]
     Ambient (ark) Rootkit                                    [ Not found ]
     Balaur Rootkit           [ Not found ]
     BeastKit Rootkit                                         [ Not found ]
beX2 Rootkit                                             [ Not found ]
     BOBKit Rootkit                    [ Not found ]
....(略)....
[Press <ENTER> to  continue ]
# 下面是第三部分，主要是一些特殊或附加的檢測，例如對rootkit文件或目錄檢測、對惡意軟件檢測以及對指定的內核模塊檢測
   Performing additional rootkit checks
     Suckit Rookit additional checks                          [ OK ]
     Checking  for  possible rootkit files and directories      [ None found ]
     Checking  for  possible rootkit strings                    [ None found ]
   Performing malware checks
     Checking running processes  for  suspicious files          [ None found ]
     Checking  for  login backdoors                          [ None found ]
     Checking  for  suspicious directories                     [ None found ]
     Checking  for  sniffer log files                          [ None found ]
   Performing Linux specific checks
     Checking loaded kernel modules                     [ OK ]
     Checking kernel module names                     [ OK ]
[Press <ENTER> to  continue ]
# 下面是第四部分，主要對網絡、系統端口、系統啓動文件、系統用戶和組配置、SSH配置、文件系統等進行檢測
Checking the network...
   Performing checks on the network ports
     Checking  for  backdoor ports                         [ None found ]
   Performing checks on the network interfaces
     Checking  for  promiscuous interfaces                      [ None found ]
Checking the  local  host...
   Performing system boot checks
     Checking  for  local  host name                         [ Found ]
     Checking  for  system startup files                        [ Found ]
     Checking system startup files  for  malware                [ None found ]
   Performing group and account checks
     Checking  for  passwd  file  [ Found ]
     Checking  for  root equivalent (UID 0) accounts            [ None found ]
     Checking  for  passwordless accounts                   [ None found ]
....(略)....
[Press <ENTER> to  continue ]
# 下面是第五部分，主要是對應用程序版本進行檢測
Checking application versions...
     Checking version of GnuPG[ OK ]
     Checking version of OpenSSL                        [ Warning ]
     Checking version of OpenSSH                        [ OK ]
# 下面是最後一部分，這個部分實際上是上面輸出的一個總結，經過這個總結，能夠大概瞭解服務器目錄的安全狀態。
System checks summary
=====================
File properties checks...
     Required commands check failed
     Files checked: 137
     Suspect files: 4
Rootkit checks...
     Rootkits checked : 311
     Possible rootkits: 0
Applications checks...
     Applications checked: 3
     Suspect applications: 1
The system checks took: 6 minutes and 41 seconds
複製代碼

在Linux終端使用rkhunter來檢測，最大的好處在於每項的檢測結果都有不一樣的顏色顯示，若是是綠色的表示沒有問題，若是是紅色的，那就要引發關注了。另外，在上面執行檢測的過程當中，在每一個部分檢測完成後，須要以Enter鍵來繼續。若是要讓程序自動運行，能夠執行以下命令：

[root@server ~]# /usr/local/bin/rkhunter --check --skip-keypress 
複製代碼

同時，若是想讓檢測程序天天定時運行，那麼能夠在/etc/crontab中加入以下內容：

30 09 * * * root /usr/local/bin/rkhunter --check --cronjob 
複製代碼

這樣，rkhunter檢測程序就會在天天的9:30分運行一次。

第三種：防火牆軟件

第一個,windows自帶防火牆

windows自帶的防火牆windows Defender，在

**控制面板\系統和安全\Windows

Defender 防火牆

中，開啓便可。可是默認是開啓的，反正檢查一下看看有沒有開啓，有些軟件能夠關閉防火牆，檢查一下就對了！

第二個:360家庭防火牆

沒錯，又是360，我的認爲360的防火牆還能夠，下載獨立版的就行了，鏈接一下雲大腦，簡直是浪的飛起，雖然並無什麼卵用，定時檢查一下端口就行了，我這種前端開發的，看的就是端口，wifi的近期使用狀況，誰在用wifi，什麼手機，電腦在用，看的就是這個，因此這個防火牆很好的解決了個人問題，天然我就推薦了。主要是咱們這些開發者使用，推薦一下。

第三個：GlassWire

GlassWire是windows下的一款軟件，對windows的，界面很美觀，很簡潔就像這樣這是切換中文的圖片。你不會想到這是windows下的軟件，它太簡潔了！因此我強推這款軟件，一個字"好！"

第四個：Firewall App Blocker

Firewall App Blocker 超級簡單易用的bai限制軟件訪問網絡的防火牆：

對於大多數用戶，Windows自帶的防火牆雖然實用但並無好好利用起來，主要是由於設置略顯繁瑣。使用 Firewall App Blocker (Fab) 來禁止應用聯網變得超級簡單方便。用戶只需將須要限制的應用程序添加到軟件的列表裏便可，勾選狀態下爲禁止聯網，取消勾選能夠臨時容許聯網，就是這麼簡單。

這個軟件很好用的，它最大的好處是解決了Windows自帶防火牆的難用問題。也推薦。可是界面沒有GlassWire那麼好看。

也許你會說：「爲何只有windows的軟件？MAC的去哪裏了？」個人回答是，你也不本身去數落數落MAC的防護力，不說是木馬了，來個頂級黑客攻進去也要費不少時間！至於Linux的，或許你已經看過了，就不用我來講了，若是你想秀技術，來個反黑客我沒意見。若是你真的黑成功了，那你能夠作什麼呢？等着網警來找你？不要無罪變有罪了。

最後一種方法

前言

這個方法很繞，若是實在是聽不下去就別聽了（博主的衷心勸告），最後一種方法是反黑客後門軟件，前言很少說，直接進入正題

正題

立刻進入正題！

瞭解什麼是後門程序

後門程序是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。通常在軟件開發時，程序員會在軟件中建立後門程序，這樣就能夠修改程序設計中的缺陷。可是，若是這些後門被其餘人知道，或是在發佈軟件以前沒有刪除後門程序，那麼它就成了安全風險，容易被黑客當成漏洞進行攻擊。通俗的講，後門程序就是留在計算機系統中，供某位特殊使用者經過某種特殊方式控制計算機系統的途徑。

1、遠程控制的兩個通性

（1）任何一款的遠程控制技術都必須與目標（被控端）創建至少一個TCP或者UPD鏈接。若是黑客未上線，則會每隔30秒向黑客發起鏈接請求。

**（2）任何一款遠控木馬都會向系統寫入至少一個隨機啓動項、服務啓動項，或者劫持某個系統必備的正常啓動項。而且會在某個目錄中隱、釋放木馬。以方便隨機啓動。

2、基於遠控通性反遠程控制法——兩條命令判斷是否被控制

最簡單的方法就是經過兩條命令，一條是「netstat 「。另外一條就是「tasklist 「命令，這兩條命令可真爲是絕配的反黑客遠控的方法啊。首先咱們就在虛擬機中測試，在本機使用灰鴿子主控端生成一個木馬放入到虛擬機中運行。

netstat # 在cmd,powershell,Git等終端中運行，直接監聽端口 tasklist # 查看全部程序的佔用端口
確認虛擬機已經中了咱們的遠控木馬以後咱們開始執行第一條命令，首先你們先在聯網的狀況，把全部聯網的程序都關閉，包括殺毒軟件、QQ、迅雷、等存在聯網的程序關閉，保存最原始的進程。這樣很方便咱們識別。再次打開開始菜單——運行——輸入「cmd」。進入到黑色的DOS窗口下，輸入命令「netstat -ano「。這條命令的意思是查看當前網絡的鏈接狀態。輸入以後咱們查看中主要看」state」的狀態，若是是「listenning」是端口的監聽這個能夠放心，若是是「ESTABLISHED」可要注意了，這個狀態意思是正在鏈接！咱們確定會想，咱們都沒開任何程序在聯網，何來正在與遠程主機鏈接呢？下面是中了遠程控制木馬的虛擬機中網絡鏈接狀態。
此時捕捉到正在鏈接的狀態的最後一行PID值爲：3920，這就是咱們說的遠控至少與目標創建一個TCP或UDP鏈接，而這裏創建了一個TCP鏈接，而且仔細看下，「Foregin Address」意思是外網地址，這個IP地址能夠百度進行查詢下就能夠知道是哪一個地區的人在控制咱們的電腦，再仔細看下IP地址後面的端口爲：8000，如今不少主流的遠程軟件都是8000或者80端口，這又更值得懷疑了。這樣咱們就能夠查看進程，由於木馬要想進行鏈接就一定會在內存中進行運行，不然就沒法進行鏈接了，咱們查看內存中可疑的進程，上面捕獲的鏈接PID爲：3920。咱們輸入命令「tasklist /svc「這條命令是查看當前進程與PID值和啓動的服務。
經過上面的命令找到了網絡鏈接對應的PID值進程3920，而且發現該進程名是一個IE的進程，很明顯這就有問題，由於咱們根本沒打開瀏覽器，何來IE進程呢？果斷的就知道它的一個遠程控制木馬假裝的進程。咱們應該立刻去進行一個查殺掉該進程，從內存中幹掉它。咱們輸入命令「taskkill /f /pid 3920」這條命令是強制結束PID值爲3920的進程。當咱們強制結束掉了木馬以後發現主控端遠程控制軟件上的肉雞立刻就下線了。這樣黑客就沒法進行控制了。
在這裏說明，咱們只是暫時如今已經讓黑客沒法控制咱們的電腦，結束了它的遠程控制的鏈接程序。可是咱們要知道遠程控制的第二個通性，就是遠程控制軟件爲了讓對方可以重啓系統後繼續在黑客的遠控軟件上面上線，就必須會在被控者的電腦上寫入一個隨機啓動項，這個隨機啓動項就是當系統啓動的時候立馬運行木馬，運行了木馬就能夠再次上線。因此咱們還須要檢測咱們的啓動項。不少啓動項都是寫入註冊表的，咱們這裏給你們列出一些木馬可能寫入的啓動鍵值。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的shell鍵值 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下的load鍵值**

*** 在CMD下切換到該目錄下進程一個強制刪除吧，切換到目錄後輸入命令「del /ah /f svchot.exe 「就能夠強制刪除隱藏的木馬了。** 2. 此時咱們把隱藏的以服務啓動的木馬乾掉了，你能夠去中止服務，或者經過sc delete 去刪除服務，這裏就很少講了，由於服務啓動的木馬已經被幹掉了，即便服務存在也沒法找到啓動程序了。咱們這裏將虛擬機重啓下，再查看下網絡鏈接是否還會與黑客創建TCP遠程控制鏈接呢？

3、基於遠控的通性反黑客遠程控制法——兩個軟件判斷是否存在後門

這兩個工具分別是icesword（中文：冰刃）和SSM軟件。第一個軟件主要是應對一些DLL進程注入或者是存在Rootkit的木馬，所謂的Rootkit就是隱藏的意思，這樣的木馬有隱藏網絡鏈接狀態、隱藏進程的功能。可是使用iceword查看就能查看到這種內核級隱藏的木馬。例以下面就是GHOST木馬的DLL注入，它是經過DLL注入到svchost.exe進程的，從icesword就能夠找到可疑的dll模塊。

而且你們都說」Svchost.exe「若是與外界的IP鏈接就確定是被控制了，這是有道理的。由於如今的遠控好比ghost、白金遠控就是會有這種現象就是DLL注入到「svhochst.exe「進程進行控制的，因此會有鏈接，通常來講「svchost.exe「除了在微軟更新的時候可能存在與美國IP的鏈接，可是其它時候都不會存在與外界進行IP鏈接的。經過360的網絡鏈接就能夠直接看的出來。

icesword裏面的進程都是黑色顯示的，若是出現有紅色的進程，通常都是運用了內核級的rootkit技術的木馬。這樣的木馬經過任務管理器或者tasklist /svc 通常都是查看不到進程的，可是用冰刃卻能夠很快的查看到。
icesword的軟件很強大這裏就很少說了，上面已經舉例說了。下面說下SSM工具的使用，首先我先在虛擬機裏面安裝下這個軟件吧。而且開啓這個軟件，開啓這個軟件後只要咱們運行任何一個程序都會報警說明軟件執行了什麼動做！這裏咱們將一個灰鴿子遠控木馬拷貝進到咱們的虛擬機，當咱們點擊遠控木馬的時候SSM立刻就報警了，提示程序啓動，這個動做是正常的，由於該程序須要explorer圖形化程序進程啓動的。
當咱們運行以後會發現，這時候程序忽然來了一個註冊表修改的動做，懂註冊表的都知道這個就是向HKLC\System\CurretcontrolSet\services裏面寫入服務。這個就不太正常了，不是安裝什麼程序，一個簡單的程序竟然寫入服務，增長服務，可疑！
當咱們容許這次操做的時候，你會發現不停的會向註冊表寫入服務鍵值，這個確定就是個可疑的動做，最後發現木馬又釋放了程序到系統目錄。照理說一個執行程序不會隨意釋放程序到系統目錄，可疑！
此容許發現最後一步又有一個進程嘗試注入到IE裏面進行以IE後臺啓動木馬，很明顯就能分析出就是個可疑的木馬程序，極可能就是後門木馬，它有寫入服務的這一通性！經過SSM的攔截程序動做就能夠分析一個程序是否是綁有後門木馬。

以上就是我分享的反黑客教程，但願能夠幫助你😉

最後，小編想說：我是一名python開發工程師，整理了一套最新的python系統學習教程，想要這些資料的能夠關注私信小編「01」便可（免費分享哦）但願能對你有所幫助.