简单反黑客远程控制后门地方法.pdfVIP

简单反黑客远程控制/后门的方法 远程控制技术帖子：/thread-159998-1-1.html 前面已提到了远程控制技术，现在的很多黑客软件、外挂软件都存在后门程序的捆绑，所为 后门程序就是在你的计算机中开某一个端口后门与黑客的主控端进行连接，一旦运行了捆绑 后门的软件，你的电脑就中了后门程序，只要黑客在线就能随意的控制你的电脑了，不只是 软件，当然假如你的计算机存在漏洞已经被黑客提权并且植入了木马你也没发现，黑客总是 喜欢植入远程木马，远程木马控制你的计算机，黑客通过远程控制软件即主控端能监控你的 桌面活动、监控你在干什么；可以查看你各个磁盘的文件，还可以把你的重要隐私文件、照 片下载到黑客的电脑中；可以删除、格式化你的资料，修改你的操作系统设置，无时无刻监 控着你。更可怕的是只要你有麦，就可以监听你的语音说话声，只要你有摄像头就可以在后 台悄悄打开摄像头看到你本人。这是多么可怕的木马吧，这样把我们的全部隐私都暴露在了 黑客的眼中。如果黑客再植入盗号木马那就更麻烦了。所以现在本来在这里教大家简单的反 黑客远程控制的方法，方法很简单，大家一学就会的。学习之前我们先了解下远程木马的几 个特性然后针对这些特性如何去判别是否被远程控制，软件是否有后门？ 一、远程控制的两个通性 （1）任何一款的远程控制技术都必须与目标（被控端）建立至少一个TCP 或者UPD 连接。 如果黑客未上线，则会每隔30 秒向黑客发起连接请求。 （2）任何一款远控木马都会向系统写入至少一个随机启动项、服务启动项，或者劫持某个 系统必备的正常启动项。并且会在某个目录中隐、释放木马。以方便随机启动。 二、基于远控通性反远程控 制法——两条命令判断是 否被控制 1.最简单的方法就是通过两条命令，一条是 “netstat “。另一条就是“tasklist “命令， 这两条命令可真为是绝配的反黑客远控的方法啊。首先我们就在虚拟机中测试，在本机使用 灰鸽子主控端生成一个木马放入到虚拟机中运行。 2.确认虚拟机已经中了我们的远控木马之后我们开始执行第一条命令，首先大家先在联网的 情况，把所有联网的程序都关闭，包括杀毒软件、QQ、迅雷、等存在联网的程序关闭，保存 最原始的进程。这样很方便我们识别。再次打开开始菜单——运行——输入 “cmd”。进入 到黑色的DOS 窗口下，输入命令 “netstat -ano “。这条命令的意思是查看当前网络的连接 状态。输入之后我们查看中主要看state的状态，如果是“listenning”是端口的监听这 个可以放心，如果是 “ESTABLISHED”可要注意了，这个状态意思是正在连接！我们肯定会 想，我们都没开任何程序在联网，何来正在与远程主机连接呢？下面是中了远程控制木马的 虚拟机中网络连接状态。 3.此时捕捉到正在连接的状态的最后一行PID 值为：3920，这就是我们说的远控至少与目标 建立一个TCP 或UDP 连接，而这里建立了一个TCP 连接，并且仔细看下，“Foregin Address” 意思是外网地址，这个IP 地址可以百度进行查询下就可以知道是哪个地区的人在控制我们 的电脑，再仔细看下IP 地址后面的端口为：8000，现在很多主流的远程软件都是8000 或者 80 端口，这又更值得怀疑了。这样我们就可以查看进程，因为木马要想进行连接就必定会 在内存中进行运行，否则就无法进行连接了，我们查看内存中可疑的进程，上面捕获的连接 PID 为：3920。我们输入命令“tasklist /svc“这条命令是查看当前进程与PID 值和启动 的服务。 4.通过上面的命令找到了网络连接对应的PID 值进程3920，并且发现该进程名是一个IE 的 进程，很明显这就有问题，因为我们根本没打开浏览器，何来IE 进程呢？果断的就知道它 的一个远程控制木马伪装的进程。我们应该马上去进行一个查杀掉该进程，从内存中干掉它。 我们输入命令 “taskkill /f /pid 3920” 这条命令是强制结束PID 值为3920 的进程。 当我们强制结束掉了木马之后发现主控端远程控制软件上的肉鸡马上就下线了。这样黑客就 无法进行控制了。 5.在这里说明，我们只是暂时现在已经让黑客无法控制我们的电脑，结束了它的远程控制的 连接程序。但是我们要知道远程控制的第二个通性，就是远程控制软件为了让对方能够重启 系统后继续在黑客的远控软件上面上线，就必须会在被控者的电脑上写入一个随机启动项， 这个随机启动项就是当系统启动的时候立马运行木马，运行了木马就可以再次上线。所以我 们还需要检测我们的