高分安全求助：找不到被开的后门

首先把我的电脑右键，属性，远程，远程控制取消

把用户里面的GUEST关闭或者设置密码

开始－运行－“servicesmsc”把里面的Telnet服务设置为禁用

然后用运行里输入CMD 在DOS先口令netstat -an

看你哪个开放端口被人侦听可以用冰刃来看 检查到之后马上关闭他

并且删除掉出了管理员外的所有账户，就能安全的保障你的系统不被远程控制

一般都是一GUEST账户登陆你的机子的

你用冰刃检查是不是有灰鸽子或其他后门进程 有就强删 记得要断网

还有WIN32服务 肯定有后门服务开着

补充;你的服务器是不是被ARP劫持了

很难说他HACK进你的机子 而且有可能把你的日志 改了LOGHOST记录

如果你用冰刃没有发现服务后门的话

那你可以试试 Arpkiller的"Sniffer杀手"扫描整个局域网IP段

运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。

影子帐户可能有

依次检查[HKEY_LOCAL_MACHINE\SAM\SAM\

Domains\Account\Users\Names]下的所有子项，如果某个子项的默认值与刚才记录下的Administrator的默认值相同 这个就是影子了

再看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\

Names]下所有子项的默认值是否有相同的

他可以用nc(netcat)把cmdexe绑定到80端口上去。telnet 你的服务器80 用你的HTTP后门

也有可能是邮件编码后门

你可以用下Anti-Arp

用卡巴 在安全模式下扫下 看有没有rootkit

有问题继续补充 我们一起解决

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

漏洞与具体系统环境之间的关系及其时间相关特性

漏洞会影响到很大范围的软硬件设备，包括作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。

因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。

同时应该看到，对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪，就没有谈论系统安全漏洞问题的发言权，即使是以前所作的工作也会逐渐失去价值。

二、漏洞问题与不同安全级别计算机系统之间的关系

目前计算机系统安全的分级标准一般都是依据“橘皮书”中的定义。橘皮书正式名称是“受信任计算机系统评量基准”（Trusted Computer System Evaluation Criteria)。橘皮书中对可信任系统的定义是这样的：一个由完整的硬件及软件所组成的系统，在不违反访问权限的情况下，它能同时服务于不限定个数的用户，并处理从一般机密到最高机密等不同范围的信息。

橘皮书将一个计算机系统可接受的信任程度加以分级,凡符合某些安全条件、基准规则的系统即可归类为某种安全等级。橘皮书将计算机系统的安全性能由高而低划分为A、B、C、D四大等级。其中：

D级——最低保护（Minimal Protection)，凡没有通过其他安全等级测试项目的系统即属于该级，如Dos，Windows个人计算机系统。

C级——自主访问控制（Discretionary Protection)，该等级的安全特点在于系统的客体（如文件、目录）可由该系统主体（如系统管理员、用户、应用程序）自主定义访问权。例如：管理员可以决定系统中任意文件的权限。当前Unix、Linux、Windows NT等作系统都为此安全等级。

B级——强制访问控制（Mandatory Protection)，该等级的安全特点在于由系统强制对客体进行安全保护，在该级安全系统中，每个系统客体（如文件、目录等资源）及主体（如系统管理员、用户、应用程序）都有自己的安全标签（Security Label），系统依据用户的安全等级赋予其对各个对象的访问权限。

A级——可验证访问控制（Verified Protection)，而其特点在于该等级的系统拥有正式的分析及数学式方法可完全证明该系统的安全策略及安全规格的完整性与一致性。 '

可见，根据定义，系统的安全级别越高，理论上该系统也越安全。可以说，系统安全级别是一种理论上的安全保证机制。是指在正常情况下，在某个系统根据理论得以正确实现时，系统应该可以达到的安全程度。

系统安全漏洞是指可以用来对系统安全造成危害，系统本身具有的，或设置上存在的缺陷。总之，漏洞是系统在具体实现中的错误。比如在建立安全机制中规划考虑上的缺陷，作系统和其他软件编程中的错误，以及在使用该系统提供的安全机制时人为的配置错误等。

安全漏洞的出现，是因为人们在对安全机制理论的具体实现中发生了错误，是意外出现的非正常情况。而在一切由人类实现的系统中都会不同程度的存在实现和设置上的各种潜在错误。因而在所有系统中必定存在某些安全漏洞，无论这些漏洞是否已被发现，也无论该系统的理论安全级别如何。

所以可以认为，在一定程度上，安全漏洞问题是独立于作系统本身的理论安全级别而存在的。并不是说，系统所属的安全级别越高，该系统中存在的安全漏洞就越少。

可以这么理解，当系统中存在的某些漏洞被入侵者利用，使入侵者得以绕过系统中的一部分安全机制并获得对系统一定程度的访问权限后，在安全性较高的系统当中，入侵者如果希望进一步获得特权或对系统造成较大的破坏，必须要克服更大的障碍。

三、安全漏洞与系统攻击之间的关系

系统安全漏洞是在系统具体实现和具体使用中产生的错误，但并不是系统中存在的错误都是安全漏洞。只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害，只有被人在某些条件下故意使用时才会影响系统安全。

漏洞虽然可能最初就存在于系统当中，但一个漏洞并不是自己出现的，必须要有人发现。在实际使用中，用户会发现系统中存在错误，而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具，这时人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序，纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。

系统攻击者往往是安全漏洞的发现者和使用者，要对于一个系统进行攻击，如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于安全级别较高的系统尤其如此。

系统安全漏洞与系统攻击活动之间有紧密的关系。因而不该脱离系统攻击活动来谈论安全漏洞问题。了解常见的系统攻击方法，对于有针对性的理解系统漏洞问题，以及找到相应的补救方法是十分必要的。

四、常见攻击方法与攻击过程的简单描述

系统攻击是指某人非法使用或破坏某一信息系统中的资源，以及非授权使系统丧失部分或全部服务功能的行为。

通常可以把攻击活动大致分为远程攻击和内部攻击两种。现在随着互联网络的进步，其中的远程攻击技术得到很大发展，威胁也越来越大，而其中涉及的系统漏洞以及相关的知识也较多，因此有重要的研究价值。

一、修改windows默认的远程端口

　　也许有高手认为自己做的挺安全的，就算是默认端口也不用被入侵以及被破密。其实修改默认的远程端口一方面是防止入侵，另外一方面也是防止被扫描影响系统的稳定。

　　有了解过扫描3389软件的人都知道，一般的攻击者都是扫描3389端口的，所以改成其它的端口可以防止被扫描到您的主机。为什么说另外一方面也是防止被扫描3389端口影响到系统的稳定呢？如果您的服务器默认是使用3389端口，扫描软件就会强力尝试密码字典里的密码，与您的主机建议很多的连接，占用系统里的资源导致服务器出现卡的现象。所以修改默认的远程端口是有几个好处的，希望大家重视。

二、修改windows默认的用户名

　　我们做安全也是针对攻击的行为而制作相对的策略，攻击的人尝试密码破解的时候，都是使用默认的用户名administrator，当你修改了用户名之后，它猜不出您的用户名，即使密码尝试上千万次都不会成功的，如果要使用用户名字典再加下密码字典，我估计攻击者就没有那个心思了，而且也不会一时间破密到您的用户名。所以修改用户名就会减低被入侵的可能。

　　那么修改成什么样的用户名才是比较安全呢？个人建议使用中文再加上数字再上字母这样的用户名就非常强大了。例如： 非诚勿扰ADsp0973

三、使用复杂的密码

　　从扫描以及破解的软件看，都是使用简单的常用的密码进行破解的，例如1q2w3e4r5t或者123456或者12345qwert等简单的组合密码，所以使用这些密码是非常不安全的。我个人就建议避免使用简单的密码防止被破解。

　　建议使用的密码里包含 大字字母+小字字母+数字+特殊字符。 长度至少要12以上这样会好一些。

四、注意以上三点是必然的安全策略，建议还要不定时修改一下用户名与密码，远程端口，扫描病毒这些操作。

　　维护系统的安全以及业务的稳定运行，这些步骤必不可少，请各位服务器管理员重视，安全不怕做多，就怕做少。这些都是常用的操作维护系统的安全，当然也有其它方面的安全性需要巩固的，做到上面的几点都已经够了，如果系统里的哪些端口以及服务是比较危险的，这个也需要从那个方面去加固一下。

总结：以上是我平常使用的最基本方法，也是最简单的了，希望可以带给大家帮助，谢谢。如何修改远程端口、用户名与密码？这些也是很简单操作就可以的了。如果实在不懂，可以联系下我，谢谢。

就是在

服务器

上留下非合法正常登陆的模式，一般情况下，合法的用户会通过

用户名

，

密码

登陆服务器，而留下

后门

的服务器，

黑客

不用通过正常的用户名，密码验证就能直接登陆服务器。。这就是后门。。

形象的比喻服务器后门就是房子的

窗户

，主人从

大门

进入，黑客从窗户

侧面

进入。。

封死黑客的“后门”

俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧！

1删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/协议的关闭，避免针对的攻击。选择“TCP/协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

2关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USERSoftwareWindowsCurrentVersionPolicsNetWork”主键，在该主键下类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

3把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

4禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：

方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”，将值“RestrictAnonymous”的键值改为“1”即可。

最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的！

四、隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。

与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务器的网站有很多，你也可以自己用等工具来查找。

五、关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

六、更换管理员帐户

Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。

首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

七、杜绝Guest帐户的入侵

Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。

禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。

八、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

九、防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。

十、不要回陌生人的邮件

有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。

做好IE的安全设置

ActiveX控件和 Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与相关选项禁用。谨慎些总没有错！

另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和 Applets时有更多的选择，并对本地电脑安全产生更大的影响。

下面是具体的方法：打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regeditexe，打开注册表编辑器，点击前面的“+”号顺次展开到：HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全等级设定高些，这样的防范更严密。

首先我们要认识一下什么是后门程序　在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径!!——很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山!　　正因如此所以后门技术与反后门的检测技术也成为了黑客功防战的焦点。正所谓知己知彼，百战不殆。要了解反后门技术那么我们就要更多的深入去学习与了解后门知识。　　后门的分类　　后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：　　前面讲了这么多理论知识是不是觉得有点头大了呢下面我们来讲讲一些常见的后门工具吧　　1网页后门　　此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式，比如ASP、PHP、cgi脚本后门等。　　典型后门程序：海洋顶端，红粉佳人个人版，后来衍生出来很多版本的这类网页后门，编写语言asp,aspx,jsp,php的都有种类比较繁多。　　2线程插入后门　　利用系统自身的某个服务或者线程，将后门程序插入到其中，这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。　　典型后门程序：代表BITS，还有我在安全焦点上看到的xdoor(首款进程插入后门)也属于进程插入类后门。　　3扩展后门　　所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。　　典型后门程序：Wineggdroup shell　　4C/S后门　　这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光　　典型后门程序：ICMP Door　　5root kit　　好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。　　典型后门程序：hacker defender　　以上是我在网上搜集的前人总结，值得指出的是这些分类还不够完善，还没有真正指出后门的强大。　　下面我继续补充点我更新黑基技术文章时看到的一些比较少见的后门技术。6 BootRoot　　通过在Windows内核启动过程中额外插入第三方代码的技术项目，即为“BootRoot”。国外组织eBye在通过这种新的Rootkit启动技术，并赋予这种无需依赖Windows内核启动过称去加载自身代码的技术及其衍生品——“BootKit”，即“Boot Rootkit”。　　Mebroot是如何实现MBR感染与运作的　　Mebroot比Windows还要早一步启动，然后将自身驱动代码插入内核执行，从而绕过了注册表HIVE检测的缺陷。同时采用的底层技术让大部分Anti-Rootkit工具失明——因为它根本没有在系统内留下任何启动项目。检测工具自然会检测失效。然后通过DLL远程注入用户进程，为系统打开后门并下载木马运行。在这非传统的渗透思路下，反Rootkit工具是无法根除它的。　　看到以上这么多可怕的后门知识是不是对这些有所了解了呢　　下面我们来谈谈如何检测后门　　1简单手工检测法　　凡是后门必然需要隐蔽的藏身之所，要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处，如自启动项，据不完全统计，自启动项目有近80多种。　　用AutoRuns检查系统启动项。观察可疑启动服务，可疑启动程序路径，如一些常见系统路径一般在system32下，如果执行路径种在非系统的system32目录下发现　　notepad　　System　　smssexe　　csrssexe　　winlogonexe　　servicesexe　　lsassexe　　spoolsvexe　　这类进程出现2个那你的电脑很可能已经中毒了。　　如果是网页后门程序一般是检查最近被修改过的文件，当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。　　2拥有反向连接的后门检测　　这类后门一般会监听某个指定断口，要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口，看是否有本地ip连接外网ip。　　3无连接的系统后门　　如shift，放大镜，屏保后门，这类后门一般都是修改了系统文件，所以检测这类后门的方法就是对照他们的MD5值 如sethcexe(shift后门)正常用加密工具检测的数值是　　MD5 : f09365c4d87098a209bd10d92e7a2bed　　如果数值不等于这个就说明被篡改过了。　　4CA后门　　CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户，用户组管理也不显示该用户，手工检查一般是在sam里删除该帐号键值。当然要小心，没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户，所以建议服务器最好把guest设置一个复杂密码。　　5对于ICMP这种后门　　这种后门比较罕见，如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。　　6对于rootkit　　这类后门隐藏比较深，从一篇安全焦点的文献我们可以了解到他的历史也非常长，1989年发现首例在Unix上可以过滤自己进程被ps -aux 命令的查看的rootkit雏形。此后这类高级隐藏工具不断发展完整，并在94年成功运用到了高级后门上并开始流行，一直保持着后门的领先地位，包括最新出现的Boot Root也是该后门的一个高级变种。为了抵御这类高级后门国外也相续出现了这类查杀工具。例如：荷兰的反Root Kit的工具Gmer,Rootkit Unhooker和RKU都可以检测并清除这些包括变种的RootKit