妳去作者主頁 裏面有詳細教材
IceSword
IceSword是壹斬斷黑手的利刃(所以取這土名,有點搞e,呵呵)。它適用於Windows 2000/XP/2003操作系統,用於查探系統中的幕後黑手(木馬後門)並作出處理,當然使用它需要用戶有壹些操作系統的知識
作者blog
IceSword是壹斬斷黑手的利刃(所以取這土名,有點搞e,呵呵)。它適用於Windows 2000/XP/2003操作系統,用於查探系統中的幕後黑手(木馬後門)並作出處理,當然使用它需要用戶有壹些操作系統的知識。
在對軟件做講解之前,首先說明第壹註意事項:此程序運行時不可激活內核調試器(如softice),否則系統即刻崩潰。另外使用前請保存好您的數據,以防萬壹未知的Bug帶來損失。
IceSword內部功能是十分強大的。可能您也用過很多類似功能的軟件,比如壹些進程工具、端口工具,但是現在的系統級後門功能越來越強,壹般都可輕而易舉地隱藏進程、端口、註冊表、文件信息,壹般的工具根本無法發現這些“幕後黑手”。IceSwo rd使用大量新穎的內核技術,使得這些後門躲無所躲。
IceSword FAQ 進程、端口、服務篇
問:現在進程端口工具很多,什麽要使用IceSword?
答:1、絕大多數所謂的進程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系統調用(前二者最終也用到此調用)編寫,隨便壹個ApiHook就可輕輕松松幹掉它們,更不用說壹些內核級 後門了;極少數工具利用內核線程調度結構來查詢進程,這種方案需要硬編碼,不僅不同版本系統不同,打個補丁也可能需要升級程序,並且現在有人也提出過防止此種查找的方法。而IceSword的進程查找核心態方案是目前獨壹無二,並且充分考慮內核後門可能的隱藏手段,目前可以查出所有隱藏進程。
2、絕大多數工具查找進程路徑名也是通過Toolhlp32、psapi,前者會調用RtlDebug***函數向目標註入遠線程,後者會用調試api讀取目標進程內,本質上都是對PEB的枚舉,前面我的blog提到過輕易修改PEB就讓這些工具找不到 北了。而IceSword的核心態方案原原本本地將全路徑展示,就算運行時剪切到其他路徑也會隨之顯示。
3、進程dll模塊與2的情況也是壹樣,利用PEB的其他工具會被輕易欺騙,而IceSword不會弄錯。
4、IceSword的進程殺除強大且方便(當然也會有危險)。可輕易將選中的多個任意進程壹並殺除。當然,說任意不確切,除去三個:idle進程、System進程、csrss進程,原因就不詳述了。其余進程可輕易殺死,當然有些進程(如winlogon)殺掉後系統就崩潰了。
5、對於端口工具,網上的確有很多,不過網上隱藏端口的方法也很多,那些方法對IceSword可是完全行不通的。其實本想帶個防火墻動態查找,不過不想弄得太臃腫。
問:windows自帶的服務工具強大且方便,IceSowrd有什麽更好的特點呢?
答:因為比較懶,界面使用上的確沒它來的好,不過IceSword的服務功能主要是查看木馬服務的,使用還是很方便的。舉個例子,順便談壹類木馬的查找:有壹種利用svchost的木馬,怎麽利用的呢?svchost是壹些***享進程服務的宿主,有些木馬就以dll存在,依*svchost運作,如何找出它們呢?首先看進程壹欄,發現svchost過多,特別註意壹下pid較大的,記住它們的pid,到服務壹欄,就可找到pid對應的服務項,配合註冊表查看它的dll文件路徑(由服務項的第壹欄所列名稱到註冊表的services子鍵下找對應名稱的子鍵),根據它是不是慣常的服務項,很容易發現異常。剩下的工作就是停止任務或結束進程、刪除文件、恢復註冊表 之類的了,當然過程中需要妳對服務有壹般的知識。
問:那麽什麽樣的木馬後門才會隱藏進程註冊表文件的?用IceSword又如何查找呢?
答:比如近來很流行且開源(容易出變種)的hxdef就是這麽壹個後門。雖然它帶有壹個驅動,不過還只能算壹個系統級後門,還稱不上內核級。不過就這樣的壹個後門,妳用壹些工具,***專家、***大師、***克星看看,能不能看到它的進程、註冊項、服務 以及目錄文件,呵呵。用IceSword就很方便了,妳直接就可在進程欄看到紅色顯示的hxdef100進程,同時也可以在服務欄中看到紅色顯示的服務項,順便壹說,在註冊表和文件欄裏妳都可發現它們,若木馬正在反向連接,妳在端口欄也可看到,另外,內核 模塊中也可以看到它的驅動。殺除它麽,首先由進程欄得後門程序全路徑,結束進程,將後門目錄刪除,刪除註冊表中的服務對應項...這裏只是選壹個簡單例子,請妳自行學習如何有效利用IceSword吧。
問:“內核模塊”是什麽?
答:加載到系統內和空間的PE模塊,主要是驅動程序*.sys,壹般核心態後們作為核心驅動存在,比如說某種rootkit加載_root_.sys,前面提到的hxdef也加載了hxdefdrv.sys,妳可以在此欄中看到。
問:“SPI”與“BHO”又是什麽?
答:SPI欄列舉出系統中的網絡服務提供者,因為它有可能被用來做無進程木馬,註意“DLL路徑”,正常系統只有兩個不同DLL(當然協議比較多)。BHO是IE的插件,全名Browser Help Objects,木馬以這種形式存在的話,用戶打開網頁即會激活木馬。
問:“SSDT”有何用?
答:內核級後門有可能修改這個服務表,以截獲妳系統的服務函數調用,特別是壹些老的rootkit,像上面提到的ntrootkit通過這種hook實現註冊表、文件的隱藏。被修改的值以紅色顯示,當然有些安全程序也會修改,比如regmon,所以不要見 到紅色就慌張。
問:“消息鉤子”與木馬有什麽關系?
答:若在dll中使用SetWindowsHookEx設置壹全局鉤子,系統會將其加載入使用user32的進程中,因而它也可被利用為無進程木馬的進程註入手段。
問:最後兩個監視項有什麽用處?
答:“監視進線程創建”將IceSword運行期間的進線程創建調用記錄在循環緩沖裏,“監視進程終止”記錄壹個進程被其它進程Terminate的情況。舉例說明作用:壹個木馬或病毒進程運行起來時查看有沒有殺毒程序如norton的進程,有則殺之,若 IceSword正在運行,這個操作就被記錄下來,妳可以查到是哪個進程做的事,因而可以發現木馬或病毒進程並結束之。再如:壹個木馬或病毒采用多線程保護技術,妳發現壹個異常進程後結束了,壹會兒它又起來了,妳可用IceSword發現是什麽線程又創建 了這個進程,把它們壹並殺除。中途可能會用到“設置”菜單項:在設置對話框中選中“禁止進線程創建”,此時系統不能創建進程或者線程,妳安穩的殺除可疑進線程後,再取消禁止就可以了。
問:IceSword的註冊表項有什麽特點?相對來說,RegEdit有什麽不足嗎?
答:說起Regedit的不足就太多了,比如它的名稱長度限制,建壹個名長300字節的子項看看(編程或用其他工具,比如regedt32),此項和位於它後面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本 打不開。當然IceSword中添加註冊表編輯並不是為了解決上面的問題,因為已經有了很多很好的工具可以代替Regedit。IceSword中的“註冊表”項是為了查找被木馬後門隱藏的註冊項而寫的,它不受目前任何註冊表隱藏手法的蒙蔽,真正可*的讓妳看到註 冊表實際內容。
問:那麽文件項又有什麽特點呢?
答:同樣,具備反隱藏、反保護的功能。當然就有壹些副作用,文件保護工具(移走文件和文件加密類除外)在它面前就無效,如果妳的機器與人***用,那麽不希望別人看到的文件就采用加密處理吧,以前的文件保護(防讀或隱藏)是沒有用的。還有對安全的副作用是本來 system32\config\SAM等文件是不能拷貝也不能打開的,但IceSword是可以直接拷貝的。不過只有管理員能運行IceSword。最後說壹個小技巧:用復制來改寫文件。對壹個被非***享打開的文件、或壹個正運行的程序文件(比如木馬), 妳想改掉它的內容(比如想向木馬程序文件寫入垃圾數據使它重啟後無法運行),那麽請選中壹個文件(內含妳想修改的內容),選“復制”菜單,將目標文件欄中添上妳欲修改掉的文件(木馬)路徑名,確定後前者的內容就寫入後者(木馬)從頭開始的位置。最後提醒壹句:每次開機IceSword只第壹次運行確認管理員權限,所以管理員運行程序後,如果要交付機器給低權限用戶使用,應該先重啟機器,否則可能為低權限用戶利用。
問:GDT/IDT的轉儲文件裏有什麽內容?
答:GDT.log內保存有系統全局描述符表的內容,IDT.log則包含中斷描述符表的內容。如果有後門程序修改它,建立了調用門或中斷門,很容易被發現。
問:轉儲列表是什麽意思?
答:即將顯示在當前列表視中的部分內容存入指定文件,比如轉儲系統內所有進程,放入網上請人幫忙診斷。不過意義不大,IceSword編寫前已假定使用者有壹定安全知識,可能不需要這類功能。