简单反黑客远程控制后门的方法(原创超级详细).pdf

简单反黑客远程控制 / 后门的方法（原创超级详细） 前面已提到了远程控制技术， 现在的很多黑客软件、 外挂软件都存在后门程序的捆绑， 所为后门程序就是在你的计算机中开某一个端口后门与黑客的主控端进行连接， 一旦运行了 捆绑后门的软件， 你的电脑就中了后门程序， 只要黑客在线就能随意的控制你的电脑了， 不 只是软件， 当然假如你的计算机存在漏洞已经被黑客提权并且植入了木马你也没发现， 黑客 总是喜欢植入远程木马， 远程木马控制你的计算机， 黑客通过远程控制软件即主控端能监控 你的桌面活动、 监控你在干什么； 可以查看你各个磁盘的文件， 还可以把你的重要隐私文件、 照片下载到黑客的电脑中；可以删除、格式化你的资料， 修改你的操作系统设置， 无时无刻 监控着你 。更可怕的是只要你有麦， 就可以监听你的语音说话声， 只要你有摄像头就可以在 后台悄悄打开摄像头看到你本人 。这是多么可怕的木马吧， 这样把我们的全部隐私都暴露在 了黑客的眼中。 如果黑客再植入盗号木马那就更麻烦了。 所以现在本来在这里教大家简单的 反黑客远程控制的方法， 方法很简单， 大家一学就会的。 学习之前我们 先了解下远程木马的 几个特性 然后针对这些特性如何去判别是否被远程控制，软件是否有后门？ 一、远程控制的两个通性 （1 ）任何一款的远程控制技术都必须与目标（被控端）建立至少一个 TCP 或者 UPD 连 接。如果黑客未上线，则会每隔 30 秒向黑客发起连接请求 。 （2 ）任何一款远控木马都会向系统写入至少一个随机启动项、服务启动项，或者劫持某个 系统必备的正常启动项。并且会在某个目录中隐、释放木马。以方便随机启动 。 二、基于远控通性反远程 控制法 —— 两条命令判断 是否被控制 1. 最简单的方法就是通过两条命令，一条是 “netstat “。另一条就是 “tasklist “命令，这 两条命令可真为是绝配的反黑客远控的方法啊。 首先我们就在虚拟机中测试， 在本机使用灰 鸽子主控端生成一个木马放入到虚拟机中运行。 2. 确认虚拟机已经中了我们的远控木马之后我们开始执行第一条命令， 首先大家先在联网的 情况，把所有联网的程序都关闭，包括杀毒软件、 QQ 、迅雷、等存在联网的程序关闭，保 存最原始的进程。 这样很 方便我们识别 。再次打开开始菜单 —— 运行 —— 输入 “cmd ”。进入 到黑色的 DOS 窗口下， 输入命令 “netstat -ano “。这条命令的意思是查看当前网络的连接 状态。输入之后我们查看中主要看 state 的状态，如果是 “listenning ”是端口的监听这个 可以放心，如果是 “ESTABLISHED ”可要注意了， 这个状态意思是正在连接！ 我们肯定会想， 我们都没开任何程序在联网， 何来正在与远程主机连接呢？下面是中了远程控制木马的虚拟 机中网络连接状态。 3. 此时捕捉到正在连接的状态的最后一行 PID 值为： 3920 ，这就是我们说的 远控至少与目 标建立一个 TCP 或 UDP 连接，而这里建立了一个 TCP 连接 ，并且仔细看下，