如何看软件有没后门

判断一个程序有没有后门，分析程序有没有加随系统启动功能，再用filemon监视，看该程序运行过程有没有释放什么东西出来。regmon可以监视一个程序读写注册表情况。

只要是后门，基本都会自动向某网站地址发送当前机器的IP等信息，让安装后门者知道中后门的机器的具体位置，然后连接控制，用WSockExpert可以监视一个或者多个程序的网络数据收发情况。

有些是定时连接某地址的，这个得通过反汇编来分析了，你用OllDbg来分析，如果是后门应该会找到后门里的地址，当然，反汇编前是得先脱壳的，如果有壳的话

分类: 电脑/网络 >> 反病毒

问题描述:

程序打不开,文件夹里面都有wsock32dll,把它删除了程序就可以正常运行,过段时间又有了,我在网上找了许多关于wsock32dll的文章,但都没解决,很多都说病毒,但是我照做后发现我并没有中毒有没有高手能给我一个准确的答案,最主要是怎么解决啊~~~~相当感谢了啊~~呜呜

解析:

wsock32dll是Windows Sockets应用程序接口，用于支持很多Inter和网络应用程序。

如果这是一个病毒的话，这应该是老的蠕虫病毒了。

杀毒软件升级到最新病毒库然后到安全模式下应该能清除它的。

功能和WSockExpert的一样，主要是用来探测网络上他人的封包内容就像一个电话一样,可以让FBI(美国联邦调查局)去监听其它人的谈话内容而"封包探嗅器"这个程序乃是让你去拦截他人的所有封包信息

无论如何,计算机之间的对谈包含了许多看似杂乱的二进制编码资料,因此网络封包探嗅器同样提供了一个叫做"通讯协议分析"的功能,它可以将所有计算机之间所传递的封包信息予以译码及分析,以利我们更加暸解其封包的内容

分类: 电脑/网络 >> *** 作系统/系统故障

问题描述:

我的电脑里不知道什么时候多了这个文件而且很多地方都有不知道有没有害但我觉得应该不是病毒吧

解析:

这是W95MTX病毒！

以下是我在网上找的一些解决办法：

病毒名称：W95MTX

别名： W95Oisdbo, I-WormMTX, TROJ_MTXA, MTXA, W32/MTX, I-WormM

TX, PE_MTX

危险等级：中

发作时间：无

长度： 9250字节（可变）

感染症状：无

发作症状：无

病毒类型：综合型（文件型病毒、蠕虫、后门）

*** 作平台：Windows 32位 *** 作系统

感染对象：Windows PE格式执行文件

病毒介绍：W95MTX是一个综合型病毒，含有病毒程序、蠕虫程序、后门程序等三

大部分，其中病毒部分是最主要的，而蠕虫和后门部分是由病毒部分解压出来的

。该病毒通过电子邮件传播，带毒的电子邮件没有标题，带有附件，附件的文件

名（见下文）和大小均可变。

蠕虫部分：

首先会做一个Wsock32dll的拷贝，拷贝的文件名为Wsock32mtx，该病毒之

所以能够通过电子邮件发送出去，就是通过修改这个mtx文件指向自身的代码，

这样就允许病毒任意地向外发送电子邮件。下面是该病毒发送电子邮件的附件文

件可能的名字（pif后缀名并不一定可见）：

I_wanna_see_youtxtpif

Matrix_screen_saverscr

Love_letter_for_youtxtpif

New_playboy_screen_saverscr

Bill_gates_piecejpgpif

Tiazinhajpgpif

Feiticeira_nuajpgpif

Geocities_free_sitestxtpif

New_napster_sitetxtpif

Metallica_songmp3pif

Anti_cihexe

Inter_security_forumdocpif

Alanis_screen_saverscr

Reader_digest_lettertxtpif

Win_$100_nowdocpif

Is_linux_good_enough!txtpif

Qi_testexe

Avp_updatesexe

Seicho_no_ieexe

You_are_fat!txtpif

Free_xxx_sitestxtpif

I_am_sorrydocpif

Me_nudeavipif

Sorry_about_yesterdaydocpif

Protect_your_creditpif

Jimi_hendrixmp3pif

Hansonscr

F___ing_with_dogsscr

Matrix_2_is_outscr

Zipped_filesexe

Blink_182mp3pif

此外，该病毒的蠕虫程序还会新建一个Wininitini文件，这个文件的作用是

在计算机重新启动后，将Wsock32dll删除，并将Wsock32mtx改名为Wsock32dl

l，随后就轮到病毒部分上场了。该病毒修改Wsock32dll之后，就会监控一些上

网 *** 作，如浏览网页、发送电子邮件、FTP *** 作，以此防止用户连接一些反病毒站

点，向一些反病毒软件厂商发送电子邮件。不过，该病毒的蠕虫部分有一个bug，

所以传播不太广泛。

病毒部分：

病毒部分首先查找是否有如下的病毒监控程序正在运行，如果有，病毒部分

就不运行。

AntiViral Toolkit Pro

AVP Monitor

Vsstat

Webscanx

Avconsol

McAfee VirusScan

Vshwin32

Central do McAfee VirusScan

如果病毒部分继续运行的话，它就将蠕虫部分解压缩出来，并在Windows目录

下（如C:\Windows）生成一个名为Ie_packexe的蠕虫程序和一个Win32dll文件

。随后，在当前目录、Windows目录、Temp（临时）目录查找可执行文件，并感染

之，有意思的是被感染的文件的大小必须能被101除尽，并且大于8k，而且有至少

20个入口调用指令，否则就不会被感染。

后门部分：

该病毒还会生成一个Mtx_Exe文件（后门程序），并运行之，其作用是从一

个特定的网站上（iam/[MATRIX]）下载一些特定的文件。另外还会查找注册表是

否有 HKLM\Sofare\[MATRIX] 一项，如果存在则说明电脑已经被感染，否则就

修改注册表的启动项：

HKLM\Sofare\Microsoft\Windows\CurrentVersion\Run

"SystemBackup"="C:\WINDOWS\MTX_EXE"

使得Mtx_Exe在每次计算机启动时动能运行，并且在任务列表中是不可见的。

所以该后门部分可使得系统再次感染其他的病毒或被装上其它的木马程序或

更多功能的后门程序。不过，该后门部分同样存在bug，就是在连接特定的站点时

会出现一些错误信息。

备注： 借助一些反病毒软件，如AVP、NAV、MVS、PCc（最新病毒库）等查解

所有染毒文件，删除病毒生成的文件，重新拷贝Wsock32dll，删除注册表中的病

毒注册资料。

在源文件里找到真实下载地址就可以,不会的话可以用WSockExpert进行抓包,需要注意的是,WSockExpert会被杀毒软件认为是病毒,建议先关闭杀毒软件或者将WSockExpert所在的文件夹设置为例外~~

象下面说的直接把鼠标放上的那种方法,对于那种隐藏真实地址的**,最好还是用抓包

以上就是关于如何看软件有没后门全部的内容，包括:如何看软件有没后门、wsock32.dll导致应用程序打不开、封包截取的具体教程等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！