发现检测系统后门程序的方法

后门是在黑客已成功入侵目标计算机之后在其系统中创建的。因此用户若要检测系统中是否存在后门系统，则需要检测系统中的进程、系统的启动信息以及系统开放的端口等信息。

1.简单手工检测法

凡是后门，必然需要隐蔽的藏身之所，要找到这些程序，就需要仔细查找系统中每个可疑之处，如自启动项。据不完全统计，自启动项目有近80多种。

用AutoRuns检查系统启动项，观察可疑启动服务、可疑启动程序路径。如一些常见系统路径一般在system32下，如果在非系统的system32目录下发现notepad、System、smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、spoolsv.exe这类进程中的两个，那么你的计算机很可能已经中毒了。

如果是网页后门程序，一般检查最近被修改过的文件。目前一些高级Webshell后门已经支持更改自身的创建修改时间来迷惑管理员了。

2.拥有反向连接的后门检测

这类后门一般会监听某个指定断口，检查这类后门需要用到DOS命令。在没有打开任何网络连接页面和防火墙的情况下输入“netstat-an”监听本地开放端口，看是否有本地IP连接外网IP。

3.无连接的系统后门(www.xing528.com)

如shift、放大镜、屏保后门，这类后门一般都会修改系统文件，所以检测这类后门的方法就是对照它们的MD5值。如sethc.exe（shift后门）用加密工具检测的正常数值是“MD5：f09365c4d87098a209bd10d92e7a2bed”，如果数值不符，就说明被篡改过了。

4.CA后门

CA克隆账号这样的后门建立以“$”为后缀的超级管理员，在DOS下无法查看该用户，用户组管理也不显示该用户，手工检查一般是在SAM里删除该账号键值。删除时当然要慎重，没有经验的用户最好还是用工具。当然，CA后门有可能克隆的是Guest用户，所以最好在服务器上给Guest设置一个复杂密码。

5.ICMP后门

这种后门比较罕见，要预防它，只有在默认Windows防火墙中设置只允许ICMP传入的回显请求了。

6.Rootkit后门

这类后门隐藏比较深，1989年发现首例在UNIX上可以让自己的进程被ps-aux命令查看的rootkit雏形。此后这类高级隐藏工具不断发展，并在1994年成功运用在高级后门上并开始流行，一直保持着后门的领先地位，包括最新出现的BootRoot也是该后门的一个高级变种。为了抵御这类高级后门，国外也相继出现了相关查杀工具。例如：荷兰的反Rootkit的工具Gmer、Rootkit Unhooker和RKU都可以检测并清除包括变种的Rootkit。