相信大家都为病毒,木马感到头疼吧
<p>大家好,今天我为大家介绍款工具---------冰刃</p><p>需要用到的软件:IceSword 1.22中文版<br/>内容:</p><p> IceSword,也称为冰刀或者冰刃,有些地址简称IS,是USTC的PJF出品的一款系统诊断、清除利器。其内部功能是十分强大的。可能您也用</p><p>过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表</p><p>文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。</p><p><br/> 目前一些流氓软件采取的手段无所不用其极:线程注入,进程隐藏,文件隐藏,驱动保护,普通用户想把文件给删了或者找出进程来,是非</p><p>常困难的。有的是看到了,删不掉,杀不掉,干着急,实在不行,还需要从另外的操作系统去删除文件。比如采取驱动保护的流氓软件如CNNIC</p><p>雅虎助手之类,.sys驱动加载的时候,它过滤了文件和注册表操作,直接返回一个true,Windows提示文件删了,但一看,它还在那里。象一些</p><p>文件删除工具如unclocker都无效。IceSword是目前所知唯一可以直接删除这类已经加载的驱动和采取注册表保护的工具。象清除CNNIC这类流</p><p>氓软件,不需要重启也可以完成了。</p><p> IS采取了很多新颖的、内核级的方法和手段,关于它的技术细节不在本文讨论之列,下面主要从使用者角度讲一下它的主要功能:</p><p>■查看进程</p><p>包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看</p><p>进程的线程、模块信息,结束线程等。</p><p>■查看端口 </p><p>类似于cport、ActivePort这类工具,显示当前本地打开的端品以及相应的应用程序地址、名字。包括使用了各种手段隐藏端口的工具,</p><p>在它下面,都一览无余。</p><p>■内核模块</p><p>加载到系统内和空间的PE模块,一般都是驱动程序*.sys,可以看到各种已经加载的驱动。包括一些隐藏的驱动文件,如IS自身的</p><p>IsDrv118.sys,这个在资源管理器里是看不见的。</p><p>■启动组</p><p>Windows启动组里面的相关方式,这个比较容易理解了。不过可惜的是没有提示删除功能,只能查看</p><p>■服务</p><p>用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务以红色显示。提供对服务的操作如启动,停止,禁用等。</p><p><br/>■SPI和BHO</p><p>这两个是目前流氓软件越来越看中的地方。SPI是服务提供接口,即所有Windows的网络操作都是通过这个接口发出和接收数据包的。很多流氓</p><p>软件把这个.dll替换掉,这样就可以监视所有用户访问网络的包,可以针对性投放一些广告。如果不清楚的情况下,把这个.dll删掉,会造成</p><p>网络无法使用,上不了网。LSPFix等工具就是针对这个功能的。BHO就更不用说了,浏览器的辅助插件,用户启动浏览器的时候,它就可以自动</p><p>启动,弹出广告窗口什么的。这两项仅提供查看的功能。</p><p>■SSDT (System Service Descriptor Table)</p><p>系统服务描述表,内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的rootkit,像上面提到的</p><p>ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示,当然有些安全程序也会修改,比如regmon。</p><p>■消息钩子</p><p>若在dll中使用SetWindowsHookEx设置一全局钩子,系统会将其加载入使用user32的进程中,因而它也可被利用为无进程木马的进程注入</p><p>手段。</p><p>■线程创建和线程终止监视</p><p>“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“监视进程终止”记录一个进程被其它进程Terminate的</p><p>情况。举例说明作用:一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程,有则杀之,若IceSword正在运行,这个操作就被</p><p>记录下来,你可以查到是哪个进程做的事,因而可以发现木马或病毒进程并结束之。再如:一个木马或病毒采用多线程保护技术,你发现一个</p><p>异常进程后结束了,一会儿它又起来了,你可用IceSword发现是什么线程又创建了这个进程,把它们一并杀除。中途可能会用到“设置”菜单</p><p>项:在设置对话框中选中“禁止进线程创建”,此时系统不能创建进程或者线程,你安稳的杀除可疑进线程后,再取消禁止就可以了。</p><p><br/>■注册表操作,Regedit有什么不足?</p><p>说起Regedit的不足就太多了,比如它的名称长度限制,建一个全路径名长大于255字节的子项看看(编程或用其他工具,比如regedt32)</p><p>此项和位于它后面的子键在regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本打不开。</p><p>IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为</p><p>了查找被木马后门隐藏的注册项而写的,它不受目前任何注册表隐藏手法的蒙蔽,真正可靠的让你看到注册表实际内容。</p><p>如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\cdnport这个键值,就是通过它来加载cndport.sys这个驱动文件的。通过</p><p>Regedit你删除会直接出错,根本无法删除。而用IS就可以轻易干掉。</p><p><br/>■文件操作</p><p>IS的文件操作有点类似于资源管理器,虽然操作起来没有那么方便,但是它的独到功能在于具备反隐藏、反保护的功能。还有对安全的副</p><p>作用是本来system32\config\SAM等文件是不能拷贝也不能打开的,但IceSword是可以直接拷贝的。类似于已经加载的驱动,如CNNIC的</p><p>cdnport.sys这个文件,目前只有IS可以直接把它删除,其它无论什么方式,都无法破除驱动自身的保护。</p><p>即使对大多数有用的unlocker,CopyLock、KillBox都是无效的。利用Windows的系统还没有完全加载的删除机制,通过在</p><p>HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations,这个是所有删除顽固文件工具的最后一招</p><p>但它也被驱动保护变得无效了。以前的情况就是需要重启启动到另外一个操作系统下删除。</p><p>总结:其实大家不要对病毒,木马产生恐惧感,他们都是纸老虎,只要我们肯虚心好学不断研究他们认识他们,从而也能解决他们所造成的问题,不要怕烦,学习本来就是件累的事情~!多抽出一分钟时间来学习让你的生活过得更加精彩,欢迎大家以后来到爱国者黑客--黑鹰基地学习网络技术,哪怕是当你玩游戏玩累得时候,抽出一点时间来学习也是很好的</p> <p>用冰刃手工杀毒还是不错的</p> <div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>kuglom</i>在2007-9-21 13:09:00的发言:</b><br/><p>用冰刃手工杀毒还是不错的</p></div>如果兵刃被病毒映相劫持了,可以把兵刃的文件名该称*****.exe 文件也要重命名,这是防止被病毒映相劫持 不会用 不会用,你加我QQ吧,你留个QQ给我,具体步骤我教你吧 要中标。随便你用什么!
页:
[1]