六个软件和起来的查毒连接；http://r.virscan.org/report/bae2a9c6bd4914056dcb54778020fddc.html（注意这是六个合起来的所以查毒数是6个加起来的）
现在网络上的东西愈来愈不可信了。
不论下载什么工具都得多个心眼，特别是经常玩黑的朋友。
俗话说：常在河边走，哪有不湿鞋。弄不好哪天自己就中招了。
下面我就简单分析下，如何判断软件是否有后门。。
我把软件分为两大类：1.非黑*客系列软件（播放器、即时聊天工具）
2.黑*客系列软件（例如：啊D、S扫描器、**等）
因为大家都知道黑*客系列软件通常都会被杀软报毒，所以必须采用不同的分析方法，分别对待。
——————————————————————————
检测前，不要运行被检测程序！



帖子所需要的工具我附上~~！
主要工具有：PEiD0.95汉化版、捆绑文件提取工具1.0、Filemon7.04汉化版、XueTr、下载者监视器1.0 、Regmon704.rar （已经有好多的文件已经在网络上很难找到了）
————————————————————————————————————————
先说第一类非黑*客系列软件检测方法：
         1.检测软件是否捆绑；
             1.1.若捆绑，则对其进行反捆绑处理，提取其中的文件，逐个按下面方法分析；
         2.检测软件是否加壳；
              2.1.若加壳，则进行脱壳处理，可用PE检测壳的类型（无加壳，跳过此步）；  
         3.用在线文件分析网站分析文件是否包含恶意代码（在线文件分析网站地址：http://www.virscan.org/  或   http://www.virustotal.com/index.html 世界较为著名的杀软扫描，每日更新病du库）；
         结论：如果这样还报毒的话，该工具至少80%包含恶意代码，需要慎重使用！ （需考虑误报的情况，目前易语言会被部分杀软误报）
——————————————————————————
再说说第二类黑*客系列软件检测方法：
这类工具检测比较麻烦，最好把所有应用程序都关了。。或者在虚拟机里面进行
         1.关闭杀软等一切安全软件（防火墙建议开启）；
         2.检测软件是否捆绑；  
              2.1.若捆绑，则对其进行反捆绑处理，提取其中的文件，逐个按下面方法分析（无捆绑，跳过此步）；
反捆绑工具


3.检测软件是否加壳；
              3.1.若加壳，则进行脱壳处理，可用PE检测壳的类型（无壳，跳过此步）；  
         4.开启文件监视、注册表监视（工具：Filemon、Regmon）；  
         5.开启抓包工具（工具：WSockExpert）；  
10.查看下载者监视器日志；
         6.开启下载者监视工具（工具：下载者监视器）；
         7.运行 待检测工具   看是否释放新文件、是否添加新注册项（其行为是否安全，需自己分析）；
    8.打开XueTr，选择“服务”选项页，看看是否注册可疑新服务；
XueTr服务


9.通过抓包工具判断是否发送其他多余数据（例如：后台下载恶意程序）；  

下载者监视器


11.  开始——运行——cmd——然后输入——netstat -an  判断是否连接其他可疑IP（执行此步骤前，最好把所有需要连网的应用程序都退出）

                 或者运行XueTr，选择“网络”选项页，查看程序连接可疑IP


                                                      工具下载地址.zip[点击下载](1 K) 下载次数:1 累计下载获得 ＤＢ 2 刀

外链是不允许的，注意编辑