1 文件检查 检查dexres文件是否存在源代码资源文件被窃取替换等安全问题2 漏洞扫描 扫描签名XML文件是否存在安全漏洞存在被注入嵌入代码等风险3 后门检测 检测App是否存在被二次打包，然后植入后门程序或。

呵呵，不用查，下载的源码，肯定有后门，至于后门你是查不到的但木马你可以查到一般木马文件在80K以上，你可以全站打开文件一个一个找，发现可疑，用记事本打开，如果里面是加密的，就是木马文件了程序真正的漏洞，是因为程序员。

在分析过程中，可以使用各种技术和工具来研究木马的源代码行为注册表项网络连接等等，以便更好地了解木马的特征和攻击方法总之，木马查杀和分析是两个不同的过程，前者旨在快速检测和清除恶意软件，后者则是为了更深入。

这要很专业的程序员才可以去查，也可以用杀软杀杀，但杀软只可以杀木马之类的，有些后门要程序员才可以看得出，不是一句两句可以说的明白，也不是一天两天可以学会的。

4检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤5尽可能不要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码6写入一些防挂马代码，让框架代码等挂马无效7禁用FSO权限也是一。

你用360等等之类的扫描的，都是扫描漏洞，也就是说，从外部攻击，看看能否攻击进去那些工具的作用是这样子的，只是起着模拟外部攻击的作用但是，你程序的源码有问题我这么给你举个例子你的网站如果有发送邮件的功能。