楼主: wangjay1980
收起左侧

[经验分享] 实例教你如何使用“冰刃”ICEWORD

[复制链接]
newyearfong
发表于 2007-2-27 14:28:19 | 显示全部楼层

回复 #30 newyearfong 的帖子

问:那么什么样的木马后门才会隐藏进程注册表文件的?用IceSword又如何查找呢?
答:比如近来很流行且开源(容易出变种)的hxdef就是这么一个后门。虽然它带有一个驱动,不过还只能算一个系统级后门,还称不上内核级。不过就这样的一个后门,你用一些工具,***专家、***大师、***克星看看,能不能看到它的进程、注册项、服务 以及目录文件,呵呵。用IceSword就很方便了,你直接就可在进程栏看到红色显示的hxdef100进程,同时也可以在服务栏中看到红色显示的服务项,顺便一说,在注册表和文件栏里你都可发现它们,若木马正在反向连接,你在端口栏也可看到,另外,内核 模块中也可以看到它的驱动。杀除它么,首先由进程栏得后门程序全路径,结束进程,将后门目录删除,删除注册表中的服务对应项...这里只是选一个简单例子,请你自行学习如何有效利用IceSword吧。

问:“内核模块”是什么?
答:加载到系统内和空间的PE模块,主要是驱动程序*.sys,一般核心态后们作为核心驱动存在,比如说某种rootkit加载_root_.sys,前面提到的hxdef也加载了hxdefdrv.sys,你可以在此栏中看到。


问:“SPI”与“BHO”又是什么?
答:SPI栏列举出系统中的网络服务提供者,因为它有可能被用来做无进程木马,注意“DLL路径”,正常系统只有两个不同DLL(当然协议比较多)。BHO是IE的插件,全名Browser Help Objects,木马以这种形式存在的话,用户打开网页即会激活木马。


问:“SSDT”有何用?
答:内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的rootkit,像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示,当然有些安全程序也会修改,比如regmon,所以不要见 到红色就慌张。


问:“消息钩子”与木马有什么关系?
答:若在dll中使用SetWindowsHookEx设置一全局钩子,系统会将其加载入使用user32的进程中,因而它也可被利用为无进程木马的进程注入手段。


问:最后两个监视项有什么用处?
答:“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用:一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程,有则杀之,若 IceSword正在运行,这个操作就被记录下来,你可以查到是哪个进程做的事,因而可以发现木马或病毒进程并结束之。再如:一个木马或病毒采用多线程保护技术,你发现一个异常进程后结束了,一会儿它又起来了,你可用IceSword发现是什么线程又创建 了这个进程,把它们一并杀除。中途可能会用到“设置”菜单项:在设置对话框中选中“禁止进线程创建”,此时系统不能创建进程或者线程,你安稳的杀除可疑进线程后,再取消禁止就可以了。

评分

参与人数 1经验 +1 收起 理由
ly250094040 + 1 版区有你更精彩: )

查看全部评分

newyearfong
发表于 2007-2-27 14:28:46 | 显示全部楼层

回复 #31 newyearfong 的帖子

问:IceSword的注册表项有什么特点?相对来说,RegEdit有什么不足吗?
答:说起Regedit的不足就太多了,比如它的名称长度限制,建一个名长300字节的子项看看(编程或用其他工具,比如regedt32),此项和位于它后面的子键在regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本 打不开。
当然IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的,它不受目前任何注册表隐藏手法的蒙蔽,真正可靠的让你看到注 册表实际内容。


问:那么文件项又有什么特点呢?
答:同样,具备反隐藏、反保护的功能。当然就有一些副作用,文件保护工具(移走文件和文件加密类除外)在它面前就无效,如果你的机器与人共用,那么不希望别人看到的文件就采用加密处理吧,以前的文件保护(防读或隐藏)是没有用的。还有对安全的副作用是本来 system32\config\SAM等文件是不能拷贝也不能打开的,但IceSword是可以直接拷贝的。不过只有管理员能运行IceSword。最后说一个小技巧:用复制来改写文件。对一个被非共享打开的文件、或一个正运行的程序文件(比如木马), 你想改掉它的内容(比如想向木马程序文件写入垃圾数据使它重启后无法运行),那么请选中一个文件(内含你想修改的内容),选“复制”菜单,将目标文件栏中添上你欲修改掉的文件(木马)路径名,确定后前者的内容就写入后者(木马)从头开始的位置。
最后提醒一句:每次开机IceSword只第一次运行确认管理员权限,所以管理员运行程序后,如果要交付机器给低权限用户使用,应该先重启机器,否则可能为低权限用户利用。
 

问:GDT/IDT的转储文件里有什么内容?
答:GDT.log内保存有系统全局描述符表的内容,IDT.log则包含中断描述符表的内容。如果有后门程序修改它,建立了调用门或中断门,很容易被发现。
 

问:转储列表是什么意思?
答:即将显示在当前列表视中的部分内容存入指定文件,比如转储系统内所有进程,放入网上请人帮忙诊断。不过意义不大,IceSword编写前已假定使用者有一定安全知识,可能不需要这类功能。

评分

参与人数 1经验 +1 收起 理由
ly250094040 + 1 版区有你更精彩: )

查看全部评分

ly250094040
发表于 2007-2-27 14:55:53 | 显示全部楼层
安全模式或者PE模式下用冰刃

然后全盘杀毒
newyearfong
发表于 2007-2-27 14:59:35 | 显示全部楼层

一个实例

对于有些杀软搞不定或杀不净的病毒,只好手工查杀。手工杀毒,IceSword是个很好的工具。结束病毒进程、删除病毒文件、删除病毒添加的注册表项都可以用它。在结束病毒进程方面,这个工具远比WINDOWS的任务管理器强。用它,不但可以看到进程名,还可看到进程对应的程序所在路径以及程序文件的图标。这就使得那些鱼目混珠李鬼们暴露无遗。此外,WINDOWS的任务管理器常被病毒锁死,给结束进程这步至关重要的操作带来很大麻烦!此外,不少病毒/木马有进程守护功能。你用WINDOWS的任务管理器根本就无法结束病毒进程,从而导致无法删除病毒文件。IceSword禁止进程创建功能,这是对付进程守护的一个有效手段,也是WINDOWS任务管理器所没有的功能。以下按照结束进程删除文件清理注册表的顺序,分别图解这三块内容的具体操作,供新手们实战时参考。

1结束进程”——1-图3

2
删除文件”——4-图6(图7属于恢复进程创建操作)

3
清理注册表”——8—10

评分

参与人数 1经验 +1 收起 理由
ly250094040 + 1 版区有你更精彩: )

查看全部评分

newyearfong
发表于 2007-2-27 15:07:01 | 显示全部楼层

示意图共10幅

示意图2.rar

372.2 KB, 下载次数: 271

评分

参与人数 1经验 +1 收起 理由
ly250094040 + 1 感谢支持,欢迎常来: )

查看全部评分

newyearfong
发表于 2007-2-27 15:08:38 | 显示全部楼层

示意图1

示意图.rar

226.17 KB, 下载次数: 301

评分

参与人数 1经验 +1 收起 理由
ly250094040 + 1 感谢支持,欢迎常来: )

查看全部评分

swans
发表于 2007-2-27 23:11:23 | 显示全部楼层
的确是好东西,正在努力学习中
T_Tmac
发表于 2007-2-28 23:32:36 | 显示全部楼层
想请教一下 icesword是 谁编写的 ?
中国人吗?
newyearfong
发表于 2007-3-1 13:01:55 | 显示全部楼层

有些功能可以参考冰刃自带的帮助文件

这个帮助文件已经有汉化的版本,大家可以在里面找到一些基本的用法。

只有在不断的使用中才能提高该软件的使用能力。
wpbisyman
发表于 2007-3-1 14:23:40 | 显示全部楼层
我也刚用这软件
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:33 , Processed in 0.098928 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表