怎麼發現DLL後門，希望對大家有所幫助。

怎麼發現DLL後門，希望對大家有所幫助。

　　1，安裝好系統和所有的應用程序之後，備份system32目錄下的EXE和DLL文件：打開CMD，來到WINNTsystem32目錄下，執行：dir *.exe>exe.txt & dir *.dll>dll.txt，這樣，就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中；日後，如發現異常，可以使用相同的命令再次備份EXE和DLL文件(這裏我們假設是exe0.txt和dll0.txt)，並使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思爲使用FC命令比較兩次的EXE文件和DLL文件，並將比較結果保存到exedll.txt文件中。通過這種方法，我們就可以發現多出來的EXE和DLL文件，並通過文件大小，創建時間來判斷是否是DLL後門。

　　2，使用內存/模塊工具來查看進程調用的DLL文件，比如Windows優化大師中的Windows 進程管理 2.5。這樣，可以發現進程到底調用了什麼DLL文件，在結合上邊用FC命令比較出來的結果，又能進一步來確定是否中了DLL後門。如果沒有優化大師，可以使用TaskList，這個小工具也可以顯示進程調用的DLL文件，而且還有源代碼，方便修改。

　　3，普通後門連接需要打開特定的端口，DLL後門也不例外，不管它怎麼隱藏，連接的時候都需要打開端口。我們可以用netstat –an來查看所有TCP/UDP端口的連接，以發現非法連接。大家平時要對自己打開的端口心中有數，並對netstat –an中的state屬性有所瞭解。當然，也可以使用Fport來顯示端口對應的進程，這樣，系統有什麼不明的連接和端口，都可以盡收眼底。

　　4，定期檢查系統自動加載的地方，比如：註冊表，Winstart.bat，Autoexec.bat，win.ini，system.ini，wininit.ini，Autorun.inf，Config.sys等。其次是對服務進行管理，對系統默認的服務要有所瞭解，在發現有問題的服務時，可以使用Windows 2000 Server Resource Kit中的SC來刪除。以上這些地方都可以用來加載DLL後門的Loader，如果我們把DLL後門Loader刪除了，試問？DLL後門還怎麼運行？！

　　通過使用上邊的方法，我想大多數DLL後門都可以“現形”，如果我們平時多做一些備份，那對查找DLL後門會啓到事半功倍的效果。