FAQ
問:現在進程端口工具很多,什麽要使用IceSword?
答:1、絕大多數所謂的進程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系統調用(前二者最終也用到此調用)來編寫,隨便壹個ApiHook就可輕輕松松幹掉它們,更不用說壹些內核級後門了;極少數工具利用內核線程調度結構來查詢進程,這種方案需要硬編碼,不僅不同版本系統不同,打個補丁也可能需要升級程序,並且現在有人也提出過防止此種查找的方法。而IceSword的進程查找核心態方案是目前獨壹無二的,並且充分考慮內核後門可能的隱藏手段,目前可以查出所有隱藏進程。
2、絕大多數工具查找進程路徑名也是通過Toolhlp32、psapi,前者會調用RtlDebug***函數向目標註入遠線程,後者會用調試api讀取目標進程內存,本質上都是對PEB的枚舉,通過修改PEB就輕易讓這些工具找不到北了。而IceSword的核心態方案原原本本地將全路徑展示,運行時剪切到其他路徑也會隨之顯示。
3、進程dll模塊與2的情況也是壹樣,利用PEB的其他工具會被輕易欺騙,而IceSword不會弄錯(有極少數系統不支持,此時仍采用枚舉PEB)。
4、IceSword的進程殺除強大且方便(當然也會有危險)。可輕易將選中的多個任意進程壹並殺除。當然,說任意不確切,除去三個:idle進程、System進程、csrss進程,原因就不詳述了。其余進程可輕易殺死,當然有些進程(如winlogon)殺掉後系統就崩潰了。
5、對於端口工具,網上的確有很多,不過網上隱藏端口的方法也很多,那些方法對IceSword可是完全行不通的。其實本想帶個防火墻動態查找,不過不想弄得太臃腫。這裏的端口是指windows的IPv4 Tcpip協議棧所屬的端口,第三方協議棧或IPv6棧不在此列。
6、先說這些了...
問:windows自帶的服務工具強大且方便,IceSowrd有什麽更好的特點呢?
答:因為比較懶,界面使用上的確沒它來的好,不過IceSword的服務功能主要是查看木馬服務的,使用還是很方便的。舉個例子,順便談壹類木馬的查找:svchost是壹些***享進程服務的宿主,有些木馬就以dll存在,依靠svchost運作,如何找出它們呢?首先看進程壹欄,發現svchost過多,記住它們的pid,到服務壹欄,就可找到pid對應的服務項,配合註冊表查看它的dll文件路徑(由服務項的第壹欄所列名稱到註冊表的services子鍵下找對應名稱的子鍵),根據它是不是慣常的服務項很容易發現異常項,剩下的工作就是停止任務或結束進程、刪除文件、恢復註冊表之類的了,當然過程中需要妳對服務有壹般的知識。
問:那麽什麽樣的木馬後門才會隱藏進程註冊表文件的?用IceSword又如何查找呢?
答:比如近來很流行且開源(容易出變種)的hxdef就是這麽壹個後門。妳用壹些工具,***專家、***大師、***克星看看,能不能看到它的進程、註冊項、服務以及目錄文件,呵呵。用IceSword就很方便了,妳直接就可在進程欄看到紅色顯示的hxdef100進程,同時也可以在服務欄中看到紅色顯示的服務項,順便壹說,在註冊表和文件欄裏妳都可發現它們,若木馬正在反向連接,妳在端口欄也可看到。殺除它麽,首先由進程欄得後門程序全路徑,結束進程,將後門目錄刪除,刪除註冊表中的服務對應項...這裏只是簡單說說,請妳自行學習如何有效利用IceSword吧。
問:“內核模塊”是什麽?
答:加載到系統內和空間的PE模塊,主要是驅動程序*.sys,壹般核心態後們作為核心驅動存在,比如說某種rootkit加載_root_.sys,前面提到的hxdef也加載了hxdefdrv.sys,妳可以在此欄中看到。
問:“SPI”與“BHO”又是什麽?
答:SPI欄列舉出系統中的網絡服務提供者,因為它有可能被用來做無進程木馬,註意“DLL路徑”,正常系統只有兩個不同DLL(當然協議比較多)。BHO是IE的插件,全名Browser Help Objects,木馬以這種形式存在的話,用戶打開網頁即會激活木馬。
問:“SSDT”有何用?
答:內核級後門有可能修改這個服務表,以截獲妳系統的服務函數調用,特別是壹些老的rootkit,像上面提到的ntrootkit通過這種hook實現註冊表、文件的隱藏。被修改的值以紅色顯示,當然有些安全程序也會修改,比如regmon,所以不要見到紅色就慌張。
問:“消息鉤子”與木馬有什麽關系?
答:若在dll中使用SetWindowsHookEx設置壹全局鉤子,系統會將其加載入使用user32的進程中,因而它也可被利用為無進程木馬的進程註入手段。
問:最後兩個監視項有什麽用處?
答:“監視進線程創建”將IceSword運行期間的進線程創建調用記錄在循環緩沖裏,“監視進程終止”記錄壹個進程被其它進程Terminate的情況。舉例說明作用:壹個木馬或病毒進程運行起來時查看有沒有殺毒程序如norton的進程,有則殺之,若IceSword正在運行,這個操作就被記錄下來,妳可以查到是哪個進程做的事,因而可以發現木馬或病毒進程並結束之。再如:壹個木馬或病毒采用多線程保護技術,妳發現壹個異常進程後結束了,壹會兒它又起來了,妳可用IceSword發現是什麽線程又創建了這個進程,把它們壹並殺除。中途可能會用到“設置”菜單項:在設置對話框中選中“禁止進線程創建”,此時系統不能創建進程或者線程,妳安穩的殺除可疑進線程後,再取消禁止就可以了。
問:IceSword的註冊表項有什麽特點?相對來說,RegEdit有什麽不足嗎?
答:說起Regedit的不足就太多了,比如它的名稱長度限制,建壹個全路徑名長大於255字節的子項看看(編程或用其他工具,比如regedt32),此項和位於它後面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本打不開。
當然IceSword中添加註冊表編輯並不是為了解決上面的問題,因為已經有了很多很好的工具可以代替Regedit。IceSword中的“註冊表”項是為了查找被木馬後門隱藏的註冊項而寫的,它不受目前任何註冊表隱藏手法的蒙蔽,真正可靠的讓妳看到註冊表實際內容。
問:那麽文件項又有什麽特點呢?
答:同樣,具備反隱藏、反保護的功能。當然就有壹些副作用,文件保護工具(移走文件和文件加密類除外)在它面前就無效,如果妳的機器與人***用,那麽不希望別人看到的文件就采用加密處理吧,以前的文件保護(防讀或隱藏)是沒有用的。還有對安全的副作用是本來system32\config\SAM等文件是不能拷貝也不能打開的,但IceSword是可以直接拷貝的。不過只有管理員能運行IceSword。最後說壹個小技巧:用復制來改寫文件。對壹個被非***享打開的文件、或壹個正運行的程序文件(比如木馬),妳想改掉它的內容(比如想向木馬程序文件寫入垃圾數據使它重啟後無法運行),那麽請選中壹個文件(內含妳想修改的內容),選“復制”菜單,將目標文件欄中添上妳欲修改掉的文件(木馬)路徑名,確定後前者的內容就寫入後者(木馬)從頭開始的位置。
最後提醒壹句:每次開機IceSword只第壹次運行確認管理員權限,所以管理員運行程序後,如果要交付機器給低權限用戶使用,應該先重啟機器,否則可能為低權限用戶利用。
問:GDT/IDT的轉儲文件裏有什麽內容?
答:GDT.log內保存有系統全局描述符表的內容,IDT.log則包含中斷描述符表的內容。如果有後門程序修改它,建立了調用門或中斷門,很容易被發現。
問:轉儲列表是什麽意思?
答:即將顯示在當前列表視中的部分內容存入指定文件,比如轉儲系統內所有進程,放入網上請人幫忙診斷。不過意義不大,IceSword編寫前已假定使用者有壹定安全知識,可能不需要這類功能。
問:文件菜單中“重啟並監視”有何用處,如何使用?
答:因為IceSword設計為盡量不在系統上留下什麽安裝痕跡,不過這就不方便監視開機就自啟的程序。比如,壹個程序運行後向explorer等進程遠線程註入,再結束自身,這樣查進程就不大方便了,因為僅有線程存在。這時,就可以使用“重啟並監視”監視系統啟動時的所有進線程創建,可輕易發現遠線程註入。
問:“創建進程規則”和“創建線程規則”是什麽意思?
答:它們用來設定創建進線程時的規則。其中要註意的是:總規則是指允許還是禁止滿足該條規則所有條款的進線程創建事件;壹條規則中的條款間的關系是與關系,即同時滿足才算匹配這條規則;“規則號”是從零開始的,假設當前有n條規則,添加規則時輸入零規則號即代表在隊頭插入,輸入n規則號則在隊尾插入;如果前面壹條規則已經匹配,那麽所有後面的規則就忽略掉了,系統直接允許或禁止這次創建操作。下面舉兩個例子:
(1)禁止taskmgr.exe的運行。
點擊“創建進程規則”、“添加規則”,如下填充,確定即可:
需要註意的是,壹條規則中文件名和路徑名只能填壹個。
(2)禁止別的進程向Explorer.exe註入遠線程。
這要建兩條“創建線程規則”,壹條禁止所有進程在explorer裏建線程,第二條允許explorer自己在自己進程內創建線程,第二條必須在第壹條的前面,否則就得不到判斷。過程就是首先判斷第二條(目標進程為explorer,源進程也為explorer自己),是則允許創建,忽略第壹條;不滿足再判斷第壹條,若目標進程為explorer,則禁止創建。如下填充:
圖中912是explorer進程PID,請按實際填充。先加左邊的,再加右邊的,使用的規則號都為0;或先用0規則號加右邊的,再用1規則號加左邊的。
問:插件有何用處?
答:可以方便地擴充功能而不升級程序,以後可能開放壹些接口給用戶自己定制。1.06正式版暫時取消了,因為用戶反饋並不是很有用。
問:協件有何用處?
答:插件的取代品。時間有限,沒有怎麽測試,若覺得不安全,可以在“設置”菜單禁用之。具體見頭文件和示例程序。IsHelp是個小玩具型的協件,提供輔助功能。需要註意的是,協件的運行需要IceSword的支持(IceSword通過進程間通信提供服務)。