以往Xcode、putty等下载软件被安装后门，最近又爆出xshell被安装后门，一些常用下载软件被安装后门几乎成了常态。怎么用简单方法检查后门、监视自己系统就成了一种生存秘籍。

以往APT对抗时一些简单的检查后门的方法和经验，就可以用来对付这些软件中的后门。因为是APT对抗时的检查后门，为了不被对方发现，检查方法都非常简单实用，基于一些常见工具或者系统的一些简单配置。

思路1是检查系统中的异常模块，2是检查数据特别是DNS请求。如果比较懂一点，再深入一些检查，基本上这些常见的针对大众的攻击就能避免。

这些都是些实战经验，还有dlllist过滤0x10000000地址查木马，vc默认模块地址0x10000000,微软为了加快加载地址不冲突自己的模块都错开分配好了的，而绝大多数木马开发者不懂这些，简单工具就过滤90%以上木马。再配合我的独门绝技打开Dnsrslvr.log记录DNS，基本上简单的手工就可以查出起码95%以上木马。

原来windows自己的dns请求有个记录文件，默认没有打开。

system32目录下创建 echo aa > dnsrslvr.log

设置权限 cacls dnsrslvr.log /g everyone:f

重启动dns client ，net stop 'dns client' ,net start 'dns client' .

原来我查马的dns记录都用这个办法，曾经和别人“打架”抢重要机器就用这招，别人的马和中转站老被我端。还有我手动查没有rootkit的各种未知马，还是很有一套的，很简单一会儿就基本上90%以上的准确率。

头几天win8下面测试好像不行了，晚上回去确认下是否是64位目录的原因。

32位win7下面找到不能成功记录的原因了，dnsrslvr.log and dnsrsvlr.log,回去看看win8、64位win8下能不能成功。

搜索还找到老外和msdn的文档了。