IceSword(冰刃)-木马查杀全接触-教程

冰刃全接触 冰刃也是和上节课提到的WSYSCHECK差不多的安全工具,只是个WSYSCHECK各有所长下面我们打开它来看一看可以看到它的标MATCH_ word word文档格式规范word作业纸小票打印word模板word简历模板免费word简历 _1714043428251_0名字每次都不是固定的,这样可以避免病毒通过程序标题名字来关闭安全工具我们先看看主界面的各个选项首先是” 冰刃也是和上节课提到的WSYSCHECK差不多的安全工具,只是个WSYSCHECK各有所长 下面我们打开它来看一看 可以看到它的标题名字每次都不是固定的,这样可以避免病毒通过程序标题名字来关闭安全工具 我们先看看主界面的各个选项 首先是”功能”栏,第一个”进程”是我们常常要用到的,点击它可以看到当前系统里所有的进程及进程对应的状态信息等等,一般都是黑色标志,如果是红色的那就隐藏进程值得注意了,这里可以按住Ctrl键然后连续点击选择多个进程 我选择任意进程右击可以看到多了选项,来介绍下 这里的”结束进程”要比在任务管理器里结束进程更有威力,可以算是增强版,很多任务管理器里不能结束的进程可以试试在这里结束掉 “线程信息”里 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 了本进程中使用的所有线程,一般线程是为了提高程序效率而创建的,一个进程至少包括一个线程,多个线程可以把该进程要实现的功能通过分工合作来完成. 我们可以打开”线程信息”后对其不同线程进程操作,不过在杀毒过程中很少会用到 倒是下一个”模块信息”是查毒必备的,打开它后可以看到该进程目前所调用的其他文件名字和具体位置,不少病毒都是DLL 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 的文件以便将自身插入到其它正常进程中实现隐身的效果,而本功能就能让它们通通现形,并强制把它们从正常进程中分离出来 比如现在很多木马程序都插入桌面文件explorer.exe或流览器IExplorE.EXE,所以它们下面有很多DLL文件，来执行木马所需要的操作，那么对于这些插入的DLL文件怎么办呢? 打开冰刃后，选中DLL所插入的进程，然后点右键菜单中的“模块信息”，会看到所嵌入进程的所有DLL文件，找到病毒进程，点击卸载即可结束掉这个DLL，如果病毒、木马或者黑客程序比较厉害，可能无法卸载，那么强制卸载就起了作用，一般的DLL包括系统DLL都可以强制卸载掉，所以慎用这个功能 这里也有人会有疑惑,病毒木马往往为了增强生命力,会插入到不止一个进程中,为了能顽强的活下去,它会努力插入到其它多个进程中,如果我们一个个找也要花费不少时间精力,如果漏了一个那可是前功尽弃了.对此我们可以右击进程后选择最后一项”模块查找”, 然后输入要查找的文件名,搜索一下就可以列举出所有被该文件插入的进程了,并且还会列举出每个进程中该DLL文件对应的位置,可以防止病毒伪装成系统正常的DLL文件去插入进程 查到后对应这去逐一卸载 这里的缺点是如果你不知道哪个DLL文件是病毒那就不能随便卸载,毕竟冰刃只是辅助工具而已,还不能自动帮你分别出病毒,至于病毒文件名字大家可以凭平时的经验或用杀毒软件扫描出来,因为有些插入进程的病毒木马杀软只能查到但无法彻底清除,所以冰刃大多是配合杀软使用 还有其它的如:”读写进程内存”，这些对我们的杀毒工作用处不大，所以不进行具体介绍了 好啦,进程功能介绍完了再看看下面的”端口”,它显示了本机所有端口的连接状况,及这些端口对应这那些程序和进程,在杀毒过程中也有参考价值 SPI SPI栏列举出系统中的网络服务提供者，因为它有可能被用来做无进程木马，进入后注意“DLL路径”里的位置和文件名是否可疑,一般用处不大 BHO是IE的插件，全名BrowserHelpObjects，木马以这种形式存在的话，用户打开网页即会激活木马,大家只要进去看看有无可疑位置的文件就可以了 SSDT 其解释可以参考: 驱动内核级后门木马有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit(参考:)， 通过修改SSDT实现注册表、文件和进程的隐藏或防杀。被修改的值以红色显示，当然有些安全程序也会修改，比如常用的安全软件等，所以不要见到红色就慌张 我这里显示为红色的就是微点的程序 在这项里可以恢复SSDT来取消病毒的恶搞，让病毒显形。当然这好象目前使用率还是不多。 消息钩子 若在木马中设置全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。 大家可以看看对应的程序名字和位置是否是正常的程序 NEXT,”内核模块” 内核程序是通过系统盘里的(如果系统在C盘下),C:\windows\system32\ntkrnlpa.exe等程序启动，基本上是C:\windows\system32\drivers\下的sys文件，当然也有少部分C:\windows\system32\目录下的sys文件，仅有很少的几个dll文件，我计算机有3个。 SYS文件也是平时说的驱动程序,现在驱动木马也已经流行了,并且危害更大,(关于驱动病毒解释:) 冰刃中的内核模块只能察看简单的内核信息，靠知识去分析正常和不正常的内核 “启动项” 这里和内核程序一样，只能查看，无法作任何处理。这个启动组里面只显示几个地方的启动项目，非常不全面，我了解得是以下项目： 注册表中，仅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run两个项目，文件夹包括C:\DocumentsandSettings\您所使用的用户名称\「开始」菜单\程序\启动和C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动等等,用处不大 WIN32服务 一、显示隐藏服务 服务中可以显示隐藏服务，用红色表示，和进程一样 二、修改服务的当前状态（启动、停止等） 打开服务，选中要进行操作的服务，按Ctrl键可以选择多个项目，在右键菜单里面选择要作的操作，比如停止、启动、暂停、恢复。这里面要注意一个问题，就是系统的关键服务是不能停止的，否则系统会自动重新启动计算机。这个仅修改当前状态，而重新启动计算机后，如果服务的启动类型是自动，还会启动该服务。 三、修改服务的启动类型（禁用、自动、手动） 打开服务，选中要进行操作的服务，按Ctrl键可以选择多个项目，在右键菜单里面选择要作的操作，比如禁用、自动、手动。这个修改的是启动类型，所以修改后，不可能修改当前状态。 读后评:冰刃要比上节课提到的WSYSCHECK复杂,不过各有所长嘛,看完 教程 人力资源管理pdf成真迷上我教程下载西门子数控教程protel99se入门教程fi6130z安装使用教程 后到底用哪个还是一起用,那就由各位自己决定了! 线程创建和线程终止监视 “监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个就被记录下来，你可以查到是哪个进程做的事，因而可以发现木马或病毒进程并结束之。再如：一个木马或病毒采用多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用到“设置”菜单项：在设置对话框中选中“禁止进线程创建”，此时系统不能创建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了 最后一项”高级扫描”可以扫描系统内核和注册表文件等等各个敏感地带,但对新人的用处也不大 好啦，再看看也需要经常用到的“注册表“功能吧 系统自带的Regedit的不足太多了，比如它的名称长度限制，建一个名长300字节的子项看看（编程或用其他工具，比如regedt32），此项和位于它后面的子键在regedit中显示不出来；再如有意用程序建立的有特殊字符的子键regedit根本打不开。 当然IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的，它不受目前任何注册表隐藏手法的蒙蔽，真正可靠的让你看到注册表实际内容 再看“文件”项 同样的具备反隐藏、反保护的功能。当然就有一些副作用，文件保护工具（移走文件和文件加密类除外）在它面前就无效，如果你的机器与人共用，那么不希望别人看到的文件就采用加密处理吧，以前的文件保护（防读或隐藏）是没有用的。还有对安全的副作用是本来system32\config\SAM等文件是不能拷贝也不能打开的，但IceSword是可以直接拷贝的。不过只有管理员能运行IceSword。 提醒一句：每次开机IceSword只第一次运行确认管理员权限，所以管理员运行程序后，如果要交付机器给低权限用户使用，应该先重启机器，否则可能为低权限用户利用 OK，以上基本把冰刃的各个主要功能介绍完毕了，俗话说得好，理论联系时间嘛，我们再举了小例子巩固下刚刚所学 用复制来改写文件。对一个被非共享打开的文件、或一个正运行的程序文件（比如木马），你想改掉它的内容（比如想向木马程序文件写入垃圾数据使它重启后无法运行），那么请选中一个文件（内含你想修改的内容），选“复制”菜单，将目标文件栏中添上你欲修改掉的文件（木马）路径名，确定后前者的内容就写入后者（木马）从头开始的位置。 比如以前的my123,删除马上就自动恢复, 用冰刃的任何删除都不行 当时就有人說了，除非是去DOS删除 我……哈哈，我不赞同 但是冰刃不能治它吗？ 答案是：能！并且很简单！ 为什么很简单呢？因为冰刃有复制到功能！ 什么是冰刃的复制到功能呢？ 用复制来改写文件！ 也就是说，你创建个文件 然后呢，打开冰刃,找到这个文件 点右键－复制 就会出來对话框， 然后你找到你想“改写”的那个文件，应该就是病毒文件吧 这里一般看不到,你可以自己输入,我现在运行的病毒文件是桌面上的VIRUS.EXE 因为我这的病毒文件是隐藏的,所以大家看不到,我只有手工输入文件名字 然后你点确定？ 然后你创建的那个垃圾文件就写入了病毒文件里 写入了病毒文件里会有什么改变呢？ 那就是改写了病毒文件 改写了它就不能正常启动了吧 那就是把它破坏了 然后你重启 它就是再怎么难缠的病毒，它也死了 因为它被改写了，被冰刃改写了，它死了！ 当然有些病毒比较难缠，不过只要冰刃能启动 你用了这个方法后 重启它就无法显身了!