『談旅遊,談日常,談產品,談人生,談賺錢,談未來,談AI,平日使用的網路就是大數據』 錢滾錢俱樂部部落格(錢滾錢俱樂部)

資料來源：http://taiwan.cnet.com/news/software/0,2000064574,20117183,00.htm

在爆發警察機關與企業因使用FOXY造成資料外洩事件後，CA（組合國際）進一步檢測多款P2P軟體後指出：受測14款P2P軟體「全部有問題」。

FOXY引發的資料外洩事件再度引起社會對P2P軟體安全性的討論，CA今(23)日發表資安警訊，指出包括FOXY、BitComet、 eDonkey、Utorrent、Ares、Azureus、BearShare、Lphant、Shareaza、Hamachi、exeem lite、Fpsetup、Morpheus、iMesh等共14款常見P2P檔案分享交換軟體，全部都存在安全威脅。

而這些P2P軟體的潛在威脅來源包括可能會覆寫檔案、為檔案重新命名、刪除檔案，或被第三方植入惡意程式等，但執得注意的是，一種名為API HOOK、可用來隱藏真正執行程序的技術，卻廣泛被P2P軟體採用，「背後隱藏很大的資安風險，」CA技術顧問林宏嘉表示。

所謂API HOOK技術，趨勢科技技術顧問簡勝財解釋其為一種程式語法，可用來攔截、中斷或是監聽程式指令，為微軟在其作業系統中提供之介面，讓軟體開發商可藉此執 行作業系統部份功能，且廣泛被使用於各種軟體上，他舉例指出，該公司的防毒軟體也利用此一技術，來監聽、掃瞄通過記憶體中的檔案。

林宏嘉則補充，API HOOK技術可用於改變API執行結果，亦即能夠隱藏檔案、目錄、登入檔機碼，乃至系統真正執行的程序。透過API HOOK，可使某些程式在背景執行，「使用者無法察覺，也難以得知軟體究竟在電腦上做哪些事，」他說。

根據CA的測試，包括FOXY、BitComet、eDonkey、Lphant、Shareaza、Utorrent以及exeem lite，都採用了API HOOK技術，林宏嘉表示，雖然API HOOK技術本身具中立性，也不是電腦病毒或惡意程式，「卻可被用來隱藏攻擊者的行為及目的，類似高隱密性的Rookit，」他說。

不過，目前並沒有證據顯示上述軟體採用API HOOK技術的目的在進行非法行為，但資安專家的確藉由分析特定軟體的程式碼以及行為，發現不合理之處。

以FOXY來說，CA資安專家分析道，該軟體利用API HOOK技術隱藏真正分享之路徑，程式碼中甚至還允許撥號至本機(Dial in)的遠端連結(Remote Access Service)，他表示，雖然允許遠端連結在P2P軟體中並非FOXY獨有，「但P2P軟體的程式碼允許他人以撥接方式連回，相當不符常理，」他表示。

除了P2P軟體本身採用的技術可能隱藏安全風險，資安專家亦警告使用者小心綠色軟體可能帶來的風險。

所謂綠色軟體(Greenware)，是指在網路上免費發放，具有檔案小、不必安裝、節省系統資源等好處的軟體，且大部分皆開放原始碼，供人修改或增加功能。

但顯然駭客也看上此點，將部分P2P軟體之程式碼改寫，提供所謂加強版或綠色版的免安裝版本，吸引使用者下載使用，甚至避過企業內部不准員工私自安裝軟體的規定，但實際上卻在這些版本中植入惡意程式。

CA便發現一款「綠色版」的FOXY軟體，會將使用者的整個硬碟分享出去，林宏嘉分析道，可能有不少使用者使用的是綠色版軟體，還以為很安全，「實際上綠色軟體可能一點都不綠！」他說。

資安專家提醒，P2P軟體的安全性絕非僅透過分享資料夾的設定就能避免資料外洩，林宏嘉便說，某些P2P軟體所採用的技術，很難讓人確知到 底在傳些什麼資料出去，他建議，企業可部署主機端入侵防禦系統(Host-Based Intrusion Prevention System, HIPS)，搭配基本的防毒、防間碟及防火牆等機制，確保安全。

////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////

源自大陸的惡意程式　Sophos：過半是想竊取身分資料

根據整合式威脅管理廠商Sophos的研究顯示，在今年10月份，源於中國大陸的惡意程式，有一半以上的目的是竊取帳號密碼等身分資料。這些惡意程式是專門被設計給網路罪犯使用，協助他們輕易入侵個人機密身分資料以取得金錢利益。

Sophos發現，有高達45.2%惡意程式的目的在於取得線上遊戲的登錄資料，其中有7.5%的惡意程式，則是提供駭客目前中國大陸最受歡迎的即時通訊軟體QQ用戶的帳號密碼。

Sophos 資深安全顧問Carole Theriault進一步解釋，對於迅速普及的中國線上遊戲市場，這樣的趨勢十分令人擔心。一旦駭客取得使用者的登錄資料，他們就能夠盡情的在網路世界扮 演「受害者」。每天有好幾百萬的人上線玩遊戲，很難在每一個遊戲中檢查每一個玩家的身分資料，網路罪犯能夠在這些遊戲中魚目混珠，例如，透過這些身分在網 路商店裡進行買賣，即便已經拖欠龐大債務，真正的受害者可能還沒有意識到。

尤其，值得注意的是，有相當高比例的惡意程式，專門設計給駭客用來進入即時通訊軟體的用戶端。Sophos警告個人電腦用戶使用安全密碼的重要性，千萬不要使用相同的密碼進入不同的網站。

「當駭客入侵一個即時通訊軟體的客戶端時，也許並不是世界末日。然而真正的危險性在於，這些網路罪犯將會在無意間入侵你的銀行帳戶，或是截斷密碼的安全保護機制，從中竊取機密資訊或財務資料。」Carole Theriault提出一個結論。

Sophos 建議商業用戶加強對他們旗下所有個人電腦的安全防護，導入防範間諜軟體、病毒和垃圾郵件過濾的解決方案，同時保證這些軟體具有自動更新最新安全防護的能力。個人電腦的使用者也應該謹慎防範那些未經批准的電子郵件，並且小心翼翼的開啟或點擊未知的連接或是附加檔案。

////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////

防止入侵：後門完全清除方法

防止入侵：後門完全清除方法

　　後門!相信這個詞語對於常玩電腦來說一定不會陌生，它的危害不然而欲，
但隨著人們的安全意識逐步增強，又加上防毒軟體的"大力支援"，使傳統的後
門無法在隱藏自己，任何稍微有點電腦知識的人，都知道"查端口""看進程"，
以便發現一些"蛛絲馬跡"。所以，後門的編寫者及時調整了思路，把目光放到
了動態鏈結程式庫(DLL)上，也就是說，把後門做成DLL文件，然後由某一個執
行檔EXE做為載體，或者使用Rundll32.exe來啟動，這樣就不會有進程，不開
tcp/ip端口等特點，也就實現了進程、端口的隱藏。
本文以"DLL的原理"，"DLL的清除"，"DLL的防範"為主題，並展開論述，旨在能
對DLL後門"快速上手"，不在恐懼後門的放毒入侵。

　　一、DLL的原理

　　1，動態鏈結程式庫

　　動態鏈結程式庫，全稱:Dynamic Link Library，簡稱:DLL，作用在於為應
用程式提供擴展功能。應用程式想要調用DLL文件，需要跟其進行"動態鏈結";
從編程的角度，應用程式需要知道此文件導出的介面(API)函數方可調用。由此
可見，DLL文件本身並不可以運行，需要應用程式調用。正因為文件運行時必須
插入到應用程式的記憶體模組當中，這就說明瞭:DLL文件無法刪除。這是由於
Windows內部機製造成的:正在運行的程式不能關閉。
所以，副檔名.DLL後門由此而生!

　　2，DLL後門原理及特點

　　把一個實現了後門功能的代碼寫成一個動態聯結的DLL文件，然後插入到一
個執行檔(EXE)文件當中，使其可以執行，這樣就不需要佔用進程，也就沒有相
對應的程序識別碼(PID)號，也就可以在工作管理員中隱藏。DLL文件本身和EXE
文件相差不大，但必須使用程式(EXE)調用才能執行DLL文件。DLL文件的執行，
需要EXE文件載入，但EXE想要載入DLL文件，需要知道一個DLL文件的入口函數
(即為DLL文件的導出函數)，所以，根據DLL文件的編寫標準:EXE必須執行DLL文
件中的DLLMain()作為載入的條件(如同EXE的mian())。
做DLL後門基本分為兩種:
1.把所有功能都在DLL文件中實現;
2.把DLL做成一個啟動文件，在需要的時候啟動一個普通的EXE後門。

　　常見的編寫方法有三種:

　　(1).只有一個動態連結程式的DLL文件

　　這類後門很簡單，只把自己做成一個DLL文件，在我的電腦/登錄編程
式/Run鍵值(在
HKEY_CURRENT_ USER\SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run)
(HKEY_LOCAL_ MACHINE\SOFTWARE \Microsoft\ Windows\CurrentV ersion\Run)
或其他可以被系統自動載入的地方，使用Rundll32.exe來自動啟動。

Rundll32.exe是什麼?顧名思意，"執行32位的DLL文件"。它的作用是執行文件
中的內部函數，這樣在進程當中，只會有Rundll32.exe，而不會有DLL後門的進
程，這樣，就實現了進程上的隱藏。如果看到系統中有多個Rundll32.exe，不
必驚慌，這證明用Rundll32.exe啟動了多少個的DLL文件。當然，這些
Rundll32.exe執行的DLL文件是什麼，我們都可以從系統自動載入的地方找到。

　　現在，來介紹一下Rundll32.exe這個文件，意思上邊已經說過，功能就是
以命令行的方式調用動態鏈結程式庫。系統中還有一個Rundll.exe文件，他的
意思是"執行16位的DLL文件"，這裡要注意一下。在來看看Rundll32.exe使用的
函數原型:

其命令行下的使用方法為:Rundll32.exe DLLname,Functionnam e [Arguments]

　　Void CALLBACK FunctionName (

　　HWND hwnd,

　　HINSTANCE hinst,

　　LPTSTR lpCmdLine,

　　Int nCmdShow

　　);

　　DLLname解釋為需要執行的DLL文件名;Functionname解釋為前邊需要執行的
DLL文件的具體引出函數;[Arguments]解釋為引出函數的具體參數。

　　(2).替換系統中動態連結程式的DLL文件

　　這類後門就比上邊的先進了一些，它把實現了後門功能的代碼做成一個和
系統匹配的副檔名.DLL文件，並把原來的DLL文件改名。遇到應用程式請求原來
的文件時， DLL後門就啟一個轉發的作用，把"參數"傳遞給原來的DLL文件;如
果遇到特殊的請求時(比如客戶端)，DLL後門就開始，啟動並運行了。
對於這類後門，把所有操作都在DLL文件中實現最為安全，但需要的編程知識也
非常多，也非常不容易編寫。所以，這類後門一般都是把DLL文件做成一個"啟
動"文件，在遇到特殊的情況下(比如客戶端的請求)，就啟動一個普通的EXE後
門;在客戶端結束連接之後，把EXE後門停止，然後DLL文件進入"休息"狀態，在
下次客戶端連接之前，都不會啟動。但隨著微軟的"數字簽名"和"文件恢復"的
功能出臺，這種後門已經逐步衰落。

　　提示:

　　在C:\WINDOWS\system32目錄下，有一個dllcache(動態連結快取)文件夾包
包，裏邊存放著眾多DLL文件(也包括一些重要的EXE文件)，在DLL文件被非法修
改之後，系統就從這裡來恢復被修改的文件。如果要修改某個DLL文件，首先應
該把dllcache目錄下的同名DLL文件刪除或更名，否則系統會自動恢復。

　　(3).動態嵌入式

　　這才是DLL後門最常用的方法。其意義是將DLL文件嵌入到正在運行的系統
進程當中。在Windows系統中，每個進程都有自己的私有記憶體空間，但還是有
種種方法來進入其進程的私有記憶體空間，來實現動態嵌入式。由於系統的關
鍵進程是不能終止的，所以這類後門非常隱蔽，查殺也非常困難。常見的動態
嵌入式有:"掛接介面(API)"，"全局鉤子(HOOK)"，"遠程線程"等。

　　遠程線程技術指的是通過在一個進程中創建遠程線程的方法來進入那個進
程的記憶體地址空間。當EXE載體(或Rundll32.exe)在那個被插入的進程裏創建
了遠程線程，並命令它執行某個DLL文件時，我們的後門就挂上去執行了，這裡
不會產生新的進程，要想讓DLL後門停止，只有讓這個鏈結DLL後門的進程終
止。但如果和某些系統的關鍵進程鏈結，那就不能終止了，如果你終止了系統
進程，那Windows也隨即被終止!!!

3，DLL後門的啟動特性

　　啟動DLL後門的載體EXE是不可缺少的，也是非常重要的，它被稱為:Loader
(裝載者)。如果沒有Loader，那我們的後門如何啟動呢?因此，一個好的後門會
盡力保護自己的Loader不被查殺。它的方式有很多，可以是為我們的DLL後門而
專門編寫的一個EXE文件;也可以是系統自帶的Rundll32.exe，即使停止了
Rundll32.exe，後門的主體還是存在的。

　　二、DLL的清除

　　本節以三款比較有名的DLL後門例，分別
為"SvchostDLL. dll"，"BITS.dll"，"QoServer. dll"。詳細講解其手工清除方
法。希望在看過這三款DLL後門的清除方法之後，能夠舉一反三，靈活運用，在
不懼怕後門。其實，手工清除後門還是比較簡單的，無非就是在登錄編輯程式
中做文章。具體怎麼做，請看下文。

　　1. PortLess BackDoor(非端口後門)

　　這是一款功能非常強大的DLL後門病毒程式，除了可以獲得本系統(Local
System)許可權的建立(Shell)資料夾包包之外，還支援如"檢測克隆帳戶""安裝
終端服務"等一系列功能(具體可以參見程式幫助)，適用Windows2000/ xp/2003
等系統。程式使用svchost.exe(主端服務執行檔)來啟動，平常不開端口，可以
進行反向連接(最大的特點)，對於有防火牆的主機來說，這個功能在好不過
了。

　　在介紹清除方法之前，我們先來簡單的介紹一下svchost.exe這個系統的關
鍵服務:

　　Svchost只是做為服務的宿主，本身並不實現什麼功能，如果需要使用它來
啟動服務，則某個服務是以動態聯結形式(DLL)實現的，該DLL的載體(Loader)
指向主端服務(svchost)，所以，在啟動服務的時候由它(svchost)調用該服務
的DLL來實現啟動的目的。使用svchost啟動某個服務的DLL文件是由登錄編輯程
式中的參數來決定的，在需要啟動服務的下邊都有一個Parameters(& #21442;數)子
鍵，其中的ServiceDll表明該服務由哪個DLL文件負責，並且這個文件必須導出
一個ServiceMain( )函數，為處理服務任務提供支援。

　　看了上邊的理論，我們來看看具體的內容。有兩個方法可觀察：
一.(我的電腦/右鍵/登錄編輯程式)
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Services\ RpcSs下的
Parameters子鍵，看右邊資料其鍵值為%SystemRoot% \system32\ rpcss.dll。這
就說明:啟動RpcSs服務時。Svchost調用WINDOWS\system32目錄下的
rpcss.dll。

　二.　(我的電腦/右鍵/登錄編輯程式)的
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows
NT\CurrentVersion\ Svchost，裏邊存放著Svchost啟動的組和組內的各個服
務，其中netsvcs組的服務最多。要使用Svchost啟動某個服務，則該服務名就
會出現在HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows
NT\CurrentVersion\ SvcHost下。這裡有四種方法來實現:

　　1， 添加一個新的組，在組裏添加服務名

　　2， 在現有組裏添加服務名

　　3， 直接使用現有組裏的一個服務名，但是本機沒有安裝的服務

　　4， 修改現有組裏的現有服務屬性，把它的ServiceDll指向自己的DLL後門

　判斷方法:病毒程式要通過真正的Svchost.exe進程載入，就必須要修改相關
的注冊表資料，
觀察有沒有增加新的服務組，同時要留意服務組中的服務列表，觀察有沒有可
疑的服務名稱，通常來說，病毒不會在只有一個服務名稱的組中添加，往往會
選擇LocalService和netsvcs這兩個載入服務較多的組，以干擾分析，還有通過
修改服務屬性指向病毒程式的，通過注冊表判斷起來都比較困難，這時可以利
用，分別打開LocalService和netsvcs分支，逐個檢查右邊服務列表中的服務屬
性，尤其要注意服務描述資訊全部為英文的，微軟的系統服務程式是絕對不可
能出現這種現象的。如果出現有第三方語言安裝的服務，同時要結合它的文件
描述、版本、公司等相關資訊，進行綜合判斷。
　
　　
後門的裝載者(Loader)把SvchostDLL. dll插入Svchost進程當中，所以，我們先
打開Windows優化大師中的Windows進程管理2.5，查看Svchost進程中的模組資
訊，SvchostDLL.dll已經插入到Svchost進程中了，在根據"直接使用現有組裏
的一個服務名，但是本機沒有安裝的服務"的提示，我們可以斷定，在"管理工
具"—"服務"中會有一項新的服務。此服務名稱為:IPRIP，由Svchost啟動，-k
netsvcs表示此服務包含在netsvcs服務組中。

　　我們把該服務停掉，然後打開登錄編輯器(我的電腦)，來到
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Services\ IPRIP下，查看其
Parameters子鍵。Program鍵的鍵值SvcHostDLL.exe為後門的
Loader;ServiceDll的鍵值C:\WINNT\system32\ svchostdll. dll為調用的DLL文
件，這正是後門的DLL文件。現在我們刪除IPRIP子鍵(或者用SC來刪除)，然後
在來到HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows
NT\CurrentVersion\ Svchost下，編輯netsvcs服務組，把49 00 70 00 72 00
69 00 70 00 00 00刪除，這裡對應的就是IPRIP的服務名。然後退出，重啟。
重啟之後刪除C:\WINDOWS\system32目錄下的後門文件即可。

　　2，BITS.dll

　　這也是DLL後門，和SvchostDLL.dll原理基本一樣，不過這裡使用的是上邊
介紹的第四種方法，即"修改現有組裏的現有服務，把它的ServiceDll指向自己
的DLL後門"。換句話說，該後門修改現有的某一個服務，把其原有服務的DLL指
向自己(也就是BITS.dll)，這樣就達到了自動載入的目的;其次，該後門沒有自
己的裝載者(Loader)，而是使用系統自帶的Rundll32.exe來載入。我們還是用
工作管理員(按三個鍵)來查看，從中，我們可以看到bits.dll已經插入到
Svchost進程當中。

　　好，現在我們來看看具體的清除方法，由於該後門是修改現有服務，而我
們並不知道具體是修改了哪個服務，所以，在登錄編輯程式中搜索bits.dll，
最後在HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Services\ RasAuto下
搜索到了bits.dll，查看Parameters子鍵下的ServiceDll，其鍵值為
C:\WINDOWS\system32 \bits.dll。原來，該後門把RasAuto服務原來的DLL文件
替換為bits.dll了，這樣來實現自動載入。知道了原因就好辦了，現在我們把
ServiceDll的鍵值修改為RasAuto服務原有的DLL文件，即%SystemRoot%
\System32\rasauto. dll，退出，重啟。之後刪除C:\WINDOWS\ system32目錄下
的bits.dll即可。

　　3，NOIR--QUEEN

　　NOIR--QUEEN(守護者)是一個DLL後門&木馬程式，服務端以DLL文件的形式
插入到系統的Lsass.exe進程裏(位於C:\WINDOWS\system32 )，
由於Lsass.exe是系統的內建關鍵進程，所以不能終止。在來介紹清除方法之
前，我先介紹一下Lsass.exe進程:

　　這是一個本地的安全授權服務，並且它會為使用視窗登入(Winlogon)服務
的授權用戶生成一個進程，如果授權是成功的，Lsass就會產生用戶的進入令
牌，令牌使用啟動初始 的建立(Shell)。其他的由用戶初始化的進程會繼承這
個令牌。

　　從上邊的介紹我們就可以看出Lsass對系統的重要性，那具體怎麼清除呢?
請看下文。

　　後門在安裝成功後，會在服務中添加一個名為QoSserver的服務，並把
QoSserver.dll後門文件插入到Lsass進程當中，使其可以隱藏進程並自動啟
動。現在我們打開註冊表，來到(我的電腦/右鍵/登錄編輯程式)
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Services\ QoSserver，直接
刪除QoSserver鍵，然後重啟。重啟之後，我們在來到服務列表中，會看到
QoSserver服務還在，但沒有啟動，類別是自動，我們把他修改為"已禁用";然
後往上看，會發現一個服務名為AppCPI的服務，其可執行程式指向
QoSserver.exe(原因後邊我會說到)。我們再次打開，來到
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Services\ AppCPI，刪除
AppCPI鍵，重啟，再刪除QoSserver，最後刪除WINNT\system32目錄下的後門文
件。

本人和這個後門"搏鬥"了3個多小時，重啟N次。原因在於即使刪除了QoSserver
服務，後門還是在運行，而且服務列表中的QoSserver服務又"死灰複燃"。後來
才知道原因:在我刪除了QoSserver服務並重啟之後，插入到Lsass進程當中的
QoSserver.dll文件又恢復了QoSserver服務，並且生成了另外一個服務，即
AppCPI，所以我們必須在到登錄編輯程式中刪除AppCPI服務才算是把該後門清
除。由此可以看出，現在的後門的保護措施，真是一環扣環。

　　注意:在刪除QoSserver服務並重啟之後，恢復的QoSserver的啟動類別要修
改為"已禁用"，否則即便刪除了AppCPI服務，QoSserver服務又運行了。

　　三、DLL的防範

　　看了上邊的例子，我想大家對清除DLL後門的方法有了一定的了解，但在現
實中，後門並不會使用默認的文件名，所以你也就不能肯定是否中了哪一類後
門。對於後門，system32目錄下dllcache 資料包是個好地方，大多數後門也是
如此，所以這裡要非常注意。下面具體介紹一下怎麼發現DLL後門，希望對大家
有所幫助。

　　1，安裝好系統和所有的應用程式之後，備份system32目錄下的EXE和DLL文
件:打開 開始/所有程式/附屬應用程式/命令提示字元，於黑色框架按 cd\ 以
便回到 C:\>
而後輸入 cd WINDOWS 後再按enter鍵，在輸入cd system32 後再按enter鍵，
來到WINDOWS\system32目錄下，執行:dir *.exe>exe.txt & dir
*.dll>dll.txt，這樣，就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文
件中;日後，如發現異常，可以使用相同的命令再次備份EXE和DLL文件(這裡我
們假設是exe0.txt和dll0.txt)，並使用:fc exe.txt exe0.txt>exedll. txt &
fc dll.txt dll0.txt>exedll. txt，其意思為使用FC命令比較兩次的EXE文件和
DLL文件，並將比較結果保存到exedll.txt文件中。通過這種方法，我們就可以
發現多出來的EXE和DLL文件，並通過文件大小，創建時間來判斷是否是DLL後
門。

　　2，使用記憶體/模組工具來查看進程調用的DLL文件，比如Windows優化大
師中的Windows 進程管理 2.5。這樣，可以發現進程到底調用了什麼DLL文件，
在結合上邊用FC命令比較出來的結果，又能進一步來確定是否中了DLL後門。如
果沒有優化大師，可以使用TaskList，這個小工具也可以顯示進程調用的DLL文
件，而且還有源代碼，方便修改。

　　3，普通後門連接需要打開特定的端口，DLL後門也不例外，不管它怎麼隱
藏，連接的時候都需要打開端口。我們可以用netstat -an來查看所有TCP/UDP
端口的連接，以發現非法連接。大家平時要對自己打開的端口心中有數，並對
netstat -an中的state屬性有所了解。當然，也可以使用Fport來顯示端口對應
的進程，這樣，系統有什麼不明的連接和端口，都可以盡收眼底。

　　4，定期檢查系統自動載入的地方，比如:登錄編輯程式，或者對C磁碟的檔
案 Winstart.bat，Autoexec.bat，win.ini，system.ini，wininit.ini，
Autorun.inf，Config.sys等。其次是對服務進行管理，對系統默認的服務要有
所了解，在發現有問題時，以上這些地方都可以用來載入後門的Loader，如果
我們把DLL後門的裝載者(Loader)刪除了，試問後門還怎麼運行侵入!

　　通過使用上邊的方法，我想大多數後門都可以"現形"，如果我們平時多注
意一些，那對防止後門的侵入會做到事半功倍的效果。