判断一个程序有没有后门,分析程序有没有加随系统启动功能,再用filemon监视,看该程序运行过程有没有释放什么东西出来。regmon可以监视一个程序读写注册表情况。
只要是后门,基本都会自动向某网站地址发送当前机器的IP等信息,让安装后门者知道中后门的机器的具体位置,然后连接控制,用WSockExpert可以监视一个或者多个程序的网络数据收发情况。
有些是定时连接某地址的,这个得通过反汇编来分析了,你用OllDbg来分析,如果是后门应该会找到后门里的地址,当然,反汇编前是得先脱壳的,如果有壳的话
清除入查找办法:第一步.用PEID及捆绑检测工具.
第二步.用C32打开.如果有两个或两个以上的PE头就要注意了.另外还要注意里面"http://XXX"的这的东西.因为这可能带有下载功能.
第三步.用下载者监视器.文件监督器这样的工具.