查看文章 |
有这么一款软件,它专门为查探系统中的幕后黑手----木马和后门而设计,内部功能强大,它使用了大量新颖的内核技术,使隐藏很深的内核级后门一样暴露在人们面前而无处藏身,这就是IceSword冰刃。 '0^ _\ `N}~ ! 图1 X7x n% ~~C  =p 2@ q= X q *}M 5 d www.cubefrance.com 1.超强的自我防护能力 Ej04U* ^eE 打开软件,朋友们稍加注意就可以发现它的独特所在。它显示在软件标题栏和系统任务栏里的都是一串随机的字符串“1F7030E”,而并非是通常所见的软件程序名。用户每次打开它所出现的字串都是随机生成,这样很多通过标题栏来关闭各种工具程序的木马和后门,就不可能预设好程序名来关闭它。它还比其它的系统工具多一道退出的确认,那些木马和后门就算通过鼠标或键盘钩子控制窗口的退出按钮,也不能轻易结束IceSword的运行。 z T}.| +x?D I F3 2.超强的查看能力 iS-=mI%I- R~MrzW?|M 随着网络环境的发展,蠕虫、木马已成为网络安全的主要威胁。蠕虫如轰炸机重在短时重击;木马如战斗机,侧重预长期隐蔽偷袭。木马随着系统、防毒软件、防火墙的升级,从具有简单的WIN 9X任务管理器的不可见,还有早期的反防病毒、反防火墙功能,发展到实现在NT系统不可见的DLL进程插入木马等隐身方式。而现在,更出现了利用Hook(挂钩,一种编程技术)实现全面隐身的木马,也就是在文件系统、进程、服务里都看不见身影的木马,比如在浏览文件时,需要系统调用文件浏览的API,这个木马就挂钩这个API,使其调用的结果中不包含木马文件本身。如“隐身灰鸽子”。但即使如此还是逃不过IceSword的眼睛,只算是小儿科的玩意,目前再强的木马也无法逃脱的。根随朋友的“杀马”经历,看我们如何来使用它。 0 kr8E2eZy' rX~ Lw 朋友的个人服务器(win2003系统)出现异常,网络流量超高。用常规方法只清除了简单木马,并没有解决问题,怀疑中了更强的木马。直接登录到系统的安全模式检查,也没有什么特别发现。于是拿出了IceSword这把“利器”。(因为没有同步的截图,我的机器上没有木马,也只好在我的机器上截取了相应的画面用来说明一下) l} P.Os ''~EA Kk5<v 图2  =/cS/k@o* 第一步,打开IceSword,在窗口左侧点击“进程”按钮,隐藏的黑手会在图2窗口中以红色字体暴露出来。使用系统自带的“任务管理器”是看不到这些进程的。要注意的是IceSword默认是使用红色显示系统内隐藏进程的,但若显示多处红色项目并不都是病毒,需要进一步分析和处理。 nOB!! n ~g 18JUCWYG 图3  RL r ^ 第二步,点击窗口左侧的“服务”按钮,在图3的画面中,隐藏的木马服务也会清晰的显现出来。木马在服务里也是可以隐藏的。 8 mogM QoA /FR_{@R 图4  gn~7z[}&T 第三步,既然看了服务,也应该看看注册表的[HKEY_LOCAL_MACHINE SYSTEM\CurrentConrolSet\Services]的情况,。反正IceSword也提供查看\编辑注册表功能。可以和系统的注册表编辑器比较一下。点击窗口左侧的“注册表”图4,木马在这里还是可以隐藏,系统内置的工具仍然装作没看见。可以从这里看到要查找的木马在系统目录的详细位置。 ( .vb7 $JNTv 5`6 'pw 图5  (s?X1 L* c 第四步,点击窗口左侧的“文件”按钮,定位到上一步找到的位置图5,这时如果打开系统的资源管理器,找到相同的位置,就会发现两者的差别。 d Ef f %`zt 6Bx 2p 图6  @:kKrtI+Vd 第五步,是处理后事了,点“查看”标签下的“进程”按钮,右击发现的隐藏进程,图6,选“结束进程”,然后在“文件”删除木马文件,“注册表”下删除木马建的多余的服务项键值即可。 $[ :s }Yht o M D?= 上面的经历充分体现了IceSword的魅力所在,它大量采用新颖技术,有别于其它普通进程工具。要注意有些进程也不是随便可以结束的,如一旦杀掉winlogon.exe进程,系统就崩溃了,要小心行事。 o> } W ~ X6^C ~ c# 图7  Lh~`PN( f 这个软件里还有许多功能,如在“端口”里可以直接看到是哪一些软件通过哪一些端口在同哪一些IP的哪一个端口通讯,图7。如果想要使用好这个软件的话,切记一定要仔细看看软件随包带的说明文件和帮助文件,因为既然是利器就小心割到自己,不要搞成病毒没怎么样,自己却把自己搞“残废”了。^_^ m+T#Y7s Em_ -@IP 软件的下载页面: R* 1.8'3mE #\e[ W#u http://www.ttian.net/website/2005/0829/391.html Ug &*{[w |
