网络主机一旦被安装上后门程序，就会受攻击者控制，威胁主机用户的隐私，甚至成为网络攻击的工具。所以尽早发现网络主机上的后门对维护网络安全是非常重要的。传统扫描工具主要致力于检测可识别的正常服务上的漏洞，而不是后门程序。本文则研究通过主动扫描来探测后门的方法。　　 本文分析了后门的典型工作模式，提出了主动式后门扫描系统的模型：扫描器主动向待测端口发送探测包，观察响应是否与特征字符串匹配，从而识别端口上是否运行了后门。通过分析260多个后门攻击的流量，发现大部分(超过3/4)的攻击流量中可提取出探测包和响应特征字符串，这就证明了使用主动探测模型识别后门的可行性。　　 通过考察，以著名的开源扫描器Nmap为基础，本文完成了主动式后门扫描系统的开发，并选取了五种目前网络上流行且具有代表性的后门软件作测试。实验结果显示，原来的Nmap只能识别部分运行于默认端口的后门；而使用新扫描器时，即使后门运行于非默认端口，也都能被识别出来(反弹式除外)。由此可见，主动式后门扫描模型大大提高了判断的准确性。此外，还在实验中总结了一些选择探测包和特征字符串的指导性原则。