登录
注册
|帮助
高级
我的快捷通道
门户
论坛
圈子
下拉
注册
用户名
Email
社区应用
帖子
相册
日志
群组
热榜
分享
记录
最新帖子
精华区
社区服务
勋章中心
道具中心
会员列表
统计排行
基本信息
到访IP统计
管理团队
管理操作
在线会员
会员排行
版块排行
帖子排行
标签排行
银行
■wind
■green
■orange
■purple
■red
┈┋网络世界┋┈
≡网络工作室≡
≡精品软件区≡
【系统软件】
【杀毒软件】
【防御软件】
隐藏
快速浏览
┈┋网络世界┋┈
≡网络工作室≡
≡精品软件区≡
≡免费资源区≡
≡建站资源区≡
┈┋财经世界┋┈
≡证券研究室≡
≡股票实战区≡
≡权证实战区≡
≡公式指标区≡
┈┋人文娱乐世界┋┈
≡心情水吧≡
≡史海钩沉≡
≡文学诗歌≡
≡唯美图片≡
≡音乐影视≡
≡哈哈笑林≡
≡汽车视窗≡
≡宠物空间≡
众神乐园
»
≡精品软件区≡
»
【防御软件】
»
斩断木马黑手:如何使用IceSword冰刃
上一主题
下一主题
新 帖
主题 : 斩断木马黑手:如何使用IceSword冰刃
使用道具┊
复制链接
┊
浏览器收藏
┊
打印
dyok
离线
级别: 管理员
显示用户信息
UID:
1
精华:
0
发帖:
410
乐币:
1883 元
威望:
371 点
贡献值:
3 点
银元:
1144 元
好评度:
787 点
在线时间: 69(时)
注册时间:
2009-11-30
最后登录:
2011-01-18
楼主
发表于: 2010-05-15
正序阅读
┊
只看楼主
┊
小
中
大
斩断木马黑手:如何使用IceSword冰刃
想必大家都知道icesword的大名,也知道它功能强大,但是真正会使用它确实很少,下面让我们来了解一下^_^
IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的使用中,IceSword表现很令笔者满意,绝对是一把强悍的瑞士军刀——小巧、强大。
1.IceSword的“防”
打开软件,看出什么没?有经验的用户就会发现,这把冰刃可谓独特,它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”,而并是通常所见的软件程序名(见图1)。这就是IceSword独有的随机字串标题栏,用户每次打开这把冰刃,所出现的字串都是随机生成,随机出现,都不相同(随机五位/六位字串),这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外,你可以试着将软件的文件名改一下,比如改为killvir.exe,那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword,是不是会弹出确认窗口?这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮,也不能结束IceSword的运行了,只能在IceSword的面前乖乖就范了。
图1
2.IceSword的“攻”
如果IceSword只有很好的保护自身功能,并没有清除木马的能力,也不值得笔者介绍了。所谓的隐身灰鸽子,在IceSword面前只算是小儿科的玩意。因为这只鸽子只能隐身于系统的正常模式,在系统安全模式却是再普通不过的木马。而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。今天,笔者通过一次经历来说明IceSword几招必杀技。
前段时间,笔者某位朋友的个人服务器(Windows 2003),出现异常,网络流量超高,朋友使用常规方法只可以清除简单的木马,并没有解决问题,怀疑是中了更强的木马,于是找来笔者帮忙。笔者在询问了一些情况后,直接登录到系统安全模式检查,谁知也没有什么特别发现。于是笔者尝试拿出IceSword这把“瑞士军刀”……
第一步:打开IceSword,在窗口左侧点击“进程”按钮,查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚(见图2),但使用系统自带的“任务管理器”是看不到些进程的。注意,IceSword默认是使用红色显示系统内隐藏程序,但IceSword若在内核模块处显示多处红色项目并不都是病毒,我们还需要作进一步的技术分析及处理。
图2
别以为只是系统自带的任务管理器功能弱,未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比,同样也没办法发现“幕后黑手”的踪影(见图3)。
图3
第二步:点击窗口左侧的“服务”按钮,来查看系统服务。这时就可以看到如图4所示的情况了,这个木马的服务也是隐藏的,怪不得笔者未能发现行踪。
图4
第三步:既然看了服务,也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情况。反正IceSword也提供查看/编辑注
册表功能,正好和系统的“注册表编辑器”也来个对比,点击窗口左侧的“注册表”标签,然后打开依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]项(见图5)。真是不比不知道,一比吓一跳。看来,系统内置工具还是选择“沉默”,鸽子在正常模式下,它的主服务也能隐藏,但它在系统的“注册表编辑器”内完全是显示的,更不要说目前是安全模式。仔细看看,既然已经从IceSword得到可靠情报,得知“幕后黑手”位于系统目录E:\Windows\system32\wins下.
图6
第五步:剩下的事容易多了,在IceSword中点击“查看”标签下的“进程”按钮,右击刚刚发现的隐藏进程,选择“结束进程”。然后用IceSword删除那三个木马文件,最后,还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后,再使用杀毒软件重新杀一遍系统,确认没有其他的木马。
主要功能:
■查看进程
包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息,结束线程等。
■查看端口
类似于cport、ActivePort这类工具,显示当前本地打开的端品以及相应的应用程序地址、名字。包括使用了各种手段隐藏端口的工具,在它下面,都一览无余。
■内核模块加载到系统内和空间的PE模块,一般都是驱动程序*.sys,可以看到各种已经加载的驱动。包括一些隐藏的驱动文件,如IS自身的IsDrv118.sys,这个在资源管理器里是看不见的。
■启动组
Windows启动组里面的相关方式,这个比较容易理解了。不过可惜的是没有提示删除功能,只能查看。
■服务
用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务以红色显示。提供对服务的作如启动,停止,禁用等。
■SPI和BHO
这两个是目前流氓软件越来越看中的地方。SPI是服务提供接口,即所有Windows的网络作都是通过这个接口发出和接收数据包的。很多流氓软件把这个.dll替换掉,这样就可以监视所有用户访问网络的包,可以针对性投放一些广告。如果不清楚的情况下,把这个.dll删掉,会造成网络无法使用,上不了网。LSPFix等工具就是针对这个功能的。BHO就更不用说了,浏览器的辅助插件,用户启动浏览器的时候,它就可以自动启动,弹出广告窗口什么的。这两项仅提供查看的功能。
■SSDT (System Service Descriptor Table)
系统服务描述表,内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的rootkit,像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示,当然有些安全程序也会修改,比如regmon。
■消息钩子
若在dll中使用SetWindowsHookEx设置一全局钩子,系统会将其加载入使用user32的进程中,因而它也可被利用为无进程木马的进程注入手段。
■线程创建和线程终止监视
“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用:一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程,有则杀之,若IceSword正在运行,这个作就被记录下来,你可以查到是哪个进程做的事,因而可以发现木马或病毒进程并结束之。再如:一个木马或病毒采用多线程保护技术,你发现一个异常进程后结束了,一会儿它又起来了,你可用IceSword发现是什么线程又创建了这个进程,把它们一并杀除。中途可能会用到“设置”菜单项:在设置对话框中选中“禁止进线程创建”,此时系统不能创建进程或者线程,你安稳的杀除可疑进线程后,再取消禁止就可以了。
■注册表Regedit有什么不足?
说起Regedit的不足就太多了,比如它的名称长度限制,建一个全路径名长大于255字节的子项看看(编程或用其他工具,比如 regedt32),此项和位于它后面的子键在regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本打不开
IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的,它不受目前任何注册表隐藏手法的蒙蔽,真正可靠的让你看到注册表实际内容。
如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport这个键值,就是通过它来加载cndport.sys这个驱动文件的。通过Regedit你删除会直接出错,根本无法删除。而用IS就可以轻易干掉。
■文件作
IS的文件作有点类似于资源管理器,虽然作起来没有那么方便,但是它的独到功能在于具备反隐藏、反保护的功能。还有对安全的副作用是本来 system32\config\SAM等文件是不能拷贝也不能打开的,但IceSword是可以直接拷贝的。类似于已经加载的驱动,如CNNIC的 cdnport.sys这个文件,目前只有IS可以直接把它删除,其它无论什么方式,都无法破除驱动自身的保护。
即使对大多数有用的unlocker,CopyLock、KillBox都是无效的。利用Windows的系统还没有完全加载的删除机制,通过在 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations,这个是所有删除顽固文件工具的最后一招,但它也被驱动保护变得无效了。以前的情况就是需要重启启动到另外一个作系统下删除。
IceSword大量采用新颖技术,有别于其他普通进程工具,比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程,就这一点,其他同类软件就是做不到的。当然有些进程也不是随便可以结束的,如系统的winlogon.exe进程,一旦杀掉后系统就崩溃了,这些也需要注意。
回复
引用
举报
顶端
上一主题
下一主题
众神乐园
»
【防御软件】
http://dyok.chez.com/bbs
访问内容超出本站范围,不能确定是否安全
继续访问
取消访问
描述
快速回复
限 100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
进入高级模式
加粗
字体颜色
背景颜色
插入链接
图片
认证码:
按"Ctrl+Enter"直接提交
上一个
下一个
