1.icesword软件
IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。
在笔者的使用中,IceSword表现很令笔者满意,绝对是一把强悍的瑞士军刀——小巧、强大。 1.IceSword的“防” 打开软件,看出什么没?有经验的用户就会发现,这把冰刃可谓独特,它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”,而并是通常所见的软件程序名(见图1)。
这就是IceSword独有的随机字串标题栏,用户每次打开这把冰刃,所出现的字串都是随机生成,随机出现,都不相同(随机五位/六位字串),这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外,你可以试着将软件的文件名改一下,比如改为killvir.exe,那么显示出来的进程名就变为了killvir.exe。
现在你再试着关闭一下IceSword,是不是会弹出确认窗口?这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮,也不能结束IceSword的运行了,只能在IceSword的面前乖乖就范了。2.IceSword的“攻” 如果IceSword只有很好的保护自身功能,并没有清除木马的能力,也不值得笔者介绍了。
如果大家还记得本刊2005年第5期《如何查杀隐形木马》一文,那一定会觉得IceSword表现相当完美了。但这只所谓的隐身灰鸽子,在IceSword面前只算是小儿科的玩意。
因为这只鸽子只能隐身于系统的正常模式,在系统安全模式却是再普通不过的木马。而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。
今天,笔者通过一次经历来说明IceSword几招必杀技。 前段时间,笔者某位朋友的个人服务器(Windows 2003),出现异常,网络流量超高,朋友使用常规方法只可以清除简单的木马,并没有解决问题,怀疑是中了更强的木马,于是找来笔者帮忙。
笔者在询问了一些情况后,直接登录到系统安全模式检查,谁知也没有什么特别发现。于是笔者尝试拿出IceSword这把“瑞士军刀”…… 第一步:打开IceSword,在窗口左侧点击“进程”按钮,查看系统当前进程。
这个隐藏的“幕后黑手”马上露出马脚(见图2),但使用系统自带的“任务管理器”是看不到些进程的。注意,IceSword默认是使用红色显示系统内隐藏程序,但IceSword若在内核模块处显示多处红色项目并不都是病毒,我们还需要作进一步的技术分析及处理。
别以为只是系统自带的任务管理器功能弱,未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比,同样也没办法发现“幕后黑手”的踪影 第二步:点击窗口左侧的“服务”按钮,来查看系统服务。
这时就可以看到如图4所示的情况了,这个木马的服务也是隐藏的,怪不得笔者未能发现行踪。 第三步:既然看了服务,也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情况。
反正IceSword也提供查看/编辑注册表功能,正好和系统的“注册表编辑器”也来个对比,点击窗口左侧的“注册表”标签,然后打开依次展开[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]项(见图5)。真是不比不知道,一比吓一跳。
看来,系统内置工具还是选择“沉默”,还记得《如何查杀隐形木马》一文吧,虽说鸽子在正常模式下,它的主服务也能隐藏,但它在系统的“注册表编辑器”内完全是显示的,更不要说目前是安全模式。仔细看看,既然已经从IceSword得到可靠情报,得知“幕后黑手”位于系统目录E:\Windows\system32\wins下. 第五步:剩下的事容易多了,在IceSword中点击“查看”标签下的“进程”按钮,右击刚刚发现的隐藏进程,选择“结束进程”。
然后用IceSword删除那三个木马文件,最后,还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后,再使用杀毒软件重新杀一遍系统,确认没有其他的木马。
上面的例子充分体现了IceSword的魅力所在。正如作者所言,IceSword大量采用新颖技术,有别于其他普通进程工具,比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程,就这一点,其他同类软件就是做不到的。
当然有些进程也不是随便可以结束的,如系统的winlogon.exe进程,一旦杀掉后系统就崩溃了,这些也需要注意。 还等什么,这么好用、强悍的“瑞士军刀”,还不赶快准备一把防身?。
2.explorer.exe被删除了,怎么办
以下两种方法:
1.对IE5.0的重装可按以下步骤进行:
第一步:打开“注册表编辑器”,找到[Hkey_local_machine\software\microsoft\internetexplorer],单击其下的versionvector键。
第二步:在右侧窗格中双击IE子键,将原来的“5.0002”改为“4.0”,单击“确定”后退出“注册表编辑器”。
第三步:重启后,就可以重装IE5.0了。
2.IE6.0的重装有两种方法:
方法1:打开“注册表编辑器”,找到[hkey_local_machine\software\microsoft\activesetup\installedcomponents\{89820200-ecbd-11cf-8b85-00aa005b4383}],将isinstalled的dword值改为0就可以了。
方法2:放入WindowsXP安装盘,在“开始→运行”窗口键入“rundll32.exesetupapi,installhinfsectiondefaultinstall132%windir%\inf\ie.inf”。
单击[开始]点[运行]命令,打开“运行”对话框,在该对话框中输入“regedit”后,按“回车键”,打开“注册表编辑器”对话框,在该对话框中依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Version Vector”项,在右边的窗口中双击“IE”值,在打开的对话框中将其数值数据的值改小,最后关闭注册表编辑器,并重新启动电脑即可重装IE浏览器
【实现目标】 操作系统是Windows XP,现在IE浏览器出问题了,但是当重装时却怎么也安装不了,提示已安装了最新的版本,想卸载后再重装,可是在“添加/删除程序”里却找不到IE浏览器的卸载程序。【操作方法】 单击[开始]4[运行]命令,打开“运行”对话框,在该对话框中输入“regedit”后,按【Enter】键,打开“注册表编辑器”对话框,在该对话框中依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Version Vector”项,在右边的窗口中双击“IE”值,在打开的对话框中将其数值数据的值改小,最后关闭注册表编辑器,并重新启动电脑即可重装IE浏览器了 .
3.Icesword 使用说明书
冰刃IceSword 1.22 简介 IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。
它适用于Windows 2000/XP/2003/Vista操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。 在对软件做讲解之前,首先说明第一注意事项 :此程序运行时不要激活内核调试器(如softice),否则系统可能即刻崩溃。
另外使用前请保存好您的数据,以防万一未知的Bug带来损失。 IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限。
如果您使用过老版本,请一定注意,使用新版本前要重新启动系统,不要交替使用二者。 IceSword内部功能是十分强大的。
可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。
如何退出IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword.exe /c,此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。 如果最小化到托盘时托盘图标又消失了:此时可以使用Ctrl+Alt+S将IceSword主界面唤出。
因为偷懒没有重绘图标,将就用吧^_^。 您无须为此软件付费,但如果您使用时发现了什么Bug,请mail to me:jfpan20000@sina.com ,十分感谢。
更新说明: 1.20:(1)恢复了插件功能,并提供一个文件注册表的小插件,详见FileReg.chm;(2)对核心部分作了些许改动,界面部分仅文件菜单有一点变化。 1.20(SubVer 111E3):添加对32位版本Vista(NtBuildNumber:6000)的支持。
1.22:(1)增加普通文件、ADS、注册表、模块的搜索功能;(2)隐藏签名项;(3)添加模块的HOOK扫描;(4)核心功能的加强。 进程 欲察看当前进程,请点击“进程”按钮,在右部列出的进程中,隐藏的进程会以红色醒目地标记出,以方便查找隐藏自身的系统级后门。
1.16中进程栏只纳入基本功能,欲使用一些扩展的隐藏进程功能,请使用系统检查。右键菜单: 1、刷新列表:请再次点击“进程”按钮,或点击右键,选择“刷新列表”。
2、结束进程:点击左键选中一项,或按住Ctrl键选择多项,然后使用右键菜单的“结束进程”将它们结束掉。 3、线程信息:在右键菜单中选择“线程信息”,出现如下对话框:注意其中的“强制终止”是危险的操作 ,对一个线程只应操作一次,否则系统可能崩溃。
为了尽量通用,里面注释掉了大量代码,因而是不完全的。不过可以应付一些用户的要求了:终止系统线程与在核心态死循环的线程,虽然可能仍然能看到它们的存在,那只是一些残留。
4、模块信息:在右键菜单中选择“模块信息”,出现如下对话框:“卸除”对于系统DLL是无效的,你可以使用“强制解除”,不过强制解除系统DLL必然会使进程挂掉。强制解除后在使用PEB来查询模块的工具中仍可看到被解除的DLL,而实际上DLL已经被卸掉了。
这是因为我懒得做善后处理了——修改PEB的内容。 5、内存读写:在右键菜单中选择“内存读写”,出现如下对话框:操作时首先填入读的起始地址和长度,点击“读内存”,如果该进程内的指定地址有效,则读取并显示,您可以在编辑框中修改后点击“写内存”写入选中的进程。
注意此刻的提示框会建议您选“否”即不破除COW机制,在您不十分明白COW之前,请选择“否”,否则可能写入错误的地址给系统带来错误以至崩溃。 读出内容后,可以点击“反汇编”查看反汇编值,某些木马修改函数入口来hook函数,可由反汇编值分析判断。
端口 此栏的功能是进程端口关联。它的前四项与netstat -an类似,后两项是打开该端口的进程。
在“进程ID”一栏中,出现0值是指该端口已关闭,处于“TIME_WAIT”状态,由于2000上使用技术XP/2003有所不同,所以前者与后二者上的显示可能些微差别。IceSword破除系统级后门的端口隐藏,只要进程使用windows系统功能打开了端口,就逃不出查找。
不过注意因为偷懒,未将隐藏的端口像进程那样红色显示,所以您需要自己对照。内核模块:即当前系统加载的核心模块比如驱动程序。
启动组:是两个RUN子键的内容,懒得写操作了,请自行更改注册表。服务:用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务以红色显示,注意在操作时可能有的服务耗时较长,请稍后手动刷新几次。
SPI、BHO:不多说了。SSDT:即系统服务派发表,其中被修改项会红色显示。
消息钩子: 枚举系统中所注册的消息钩子(通过SetWindowsHookEx等),若钩子函数在exe模块中则是实际的地址,若在dll模块中则是相对于dll基址的偏移,具体请自行判断吧(一般地址值小于0x400000的就是全局钩子)。监视进线程创建:顾名思义,进线程的创建纪录保存在以循环缓冲里,要IceSword运行期间才进行纪录,您可以用它发现木马后门创建了什么进程和线程,尤其是远线程。
红色显示的即是进程创建(目标进程TID为0时为进程创建,紧接其后的红色项是它的主线程。
转载请注明出处51数据库 » icesword.exe