3.37 MB
1.67MB
5.49MB
15.5MB
冰剑绿版是一款安全系数非常高的电脑木马查杀工具。我们可以通过IceSword对电脑系统进行全面扫描,然后你就可以快速找到隐藏在你电脑中的木马文件和程序。而这个软件可以有效的删除这些木马,从而保证你系统的安全。
软件介绍
冰刃冰剑斩断黑手剑,内部功能非常强大。用于检测和处理系统中的木马。但是系统级后门的功能越来越强,很容易隐藏进程、端口、注册表、文件等信息,而这些“幕后”在常用工具中是找不到的。IceSword采用了很多新颖的内核技术,使得这些后门无处不在。冰剑绿色版软件功能
1.在进程栏中搜索模块(查找模块)2.注册表列中的搜索功能(查找,查找下一个)
3.文件列中的搜索功能包括列出广告(包括或不包括子目录)和查找文件。
4.删除BHO列,恢复SSDT列。
5.高级扫描:第三步中的扫描模块是为一些高级用户提供的。普通用户不要随便恢复,尤其是显示为“-”的第一项,因为要么是操作系统本身,要么是Iceword修改了,恢复后会导致系统崩溃或者Iceword无法正常工作。最早的IceSword会自己恢复内核可执行文件和文件系统的一些恶意内联钩子,但是没有提示用户。我认为像SVV这样的高级用户自己做分析可能会有帮助。其他项目将被复制(IAT钩和嵌入式修改钩)。如果你懒,不查也没多大关系。扫描时不要做其他事情,请耐心等待。
有朋友建议对找到的结果做更多的分析,判断修改后的代码的含义,这当然是好的,但是要想得到一个完美的结果是非常复杂的——比如我可以用一条指令跳转或者用十条甚至更多冗余指令做同样的工作——而且没有时间去改进,所以我只有JMP/PUSH+RET的判断。给高级用户建议一个替代方案:记住修改的地址,使用进程栏“内存读写”中的“反汇编”功能,让用户先手动分析,呵呵。
6.隐藏签名项目(查看->隐藏签名项目)。在菜单中被选中后,对进程、模块枚举、驱动、服务四列有作用。请注意,在选择之后刷新这四列会很慢。耐心点。在运行过程中,系统相关的函数会主动与外界连接,获取一些信息(比如去crl.microsoft. com获取一个证书撤销列表)。一般来说都是可以用防火墙屏蔽的,所以发现is被选中后连上也就不足为奇了,M 36,呵呵。
7.其他公司正在加强内部核心职能。零零碎碎的也不少,就不细说了。使用时请观察视图->初始化状态。如果有“OK”的解释,请举报。
《冰剑》绿色版的软件特色
1 .流程模块①隐藏过程搜索
您可以列出被怀疑隐藏在系统中的进程。
②线程分析
对这个过程中的线程做一些简单的分析(后面逐渐展开),帮助识别远程线程或木马dll创建的线程。
③处理内存转储。
只有Dump指定了文件的内存,这个函数后面会添加。
④流程模块搜索
找到模块。
2 .文件搜索
选择目录后,输入正则表达式来搜索指定的文件。尤其是,“%”是一个特殊的表达式,IsHelp使用它来搜索隐藏文件(包括用户没有权限列出的文件)。
3 .内存扫描
基本上就是一个空架子,因为签名数据库还没设计出来。现在有些版本的黑客之门的签名是(应用户要求)内置的,用于“特殊侦查”。当然,隐藏的东西也会被扫描,比如黑客守护者,隐藏的灰鸽子。
4 .注册表服务密钥
作为主程序服务栏的补充,在最早的主程序设计中,服务栏不需要从注册表中隐藏,因为已经有了反隐藏的注册表栏,一些相应的功能输出到了辅助程序中(我个人的看法是,如果修改了服务管理器的数据库,木马就失去了服务应有的特征,所以看起来不是服务,而是一种特殊的自启动方式)。
绿色版冰剑的用法
冰刃的软件第一次必须在管理员账号下运行。当一台电脑有多个用户时,如果管理员用户运行冰刃,最好重启后再交给低权限用户使用,否则低权限用户可以启动冰刃的软件。刀片菜单分为视图、注册表和文件(图1)。
该视图被分成许多小部分。这里我只介绍常用的函数,包括流程(图2)。
内核信息(图3)
启动该组(图4)
服务(图5)
在注册表内部(图6)是一个注册表编辑器,它易于使用,并且具有查看、修改和删除注册表项的管理员权限。
文件(图7)是浏览计算机所有文件的地方。它可以看到任何隐藏的文件,处理无法删除的文件,或者通过强制删除等特殊方法删除。下面将详细描述具体的方法。
世界上有一些使用方法,但都不具体。接下来,我将带你一步步用冰刃实现一些固定的操作。我介绍的方法都是从简单到难,有些你可能不懂。没关系,慢慢学,一起进步。
冰剑绿色版常见问题
问:流程端口工具有很多。为什么要用冰剑?答:1。所谓的流程工具,大部分都是用Windows Toolhlp32或者psapi或者ZwQuerySystemInformation系统调用编写的(前两个也是这个调用调用的)。任何ApiHook都可以轻松干掉它们,更不用说一些内核级的后门了;很少有工具使用内核线程调度结构来查询进程。这种方案需要硬编码。不仅不同版本的系统不一样,打补丁时你可能需要升级程序,也有人提出了防止这种搜索的方法。IceSword的进程搜索内核方案独一无二,充分考虑内核后门可能隐藏的手段,可以发现所有隐藏的进程。
2.大多数工具通过Toolhlp32和psapi找到进程路径名。前者会调用RtlDebug***函数将远程线程注入目标,后者会使用调试api读取目标进程的内存,本质上是PEB的枚举。通过修改PEB,这些工具可以很容易地找到北方。IceSword的核心状态方案会准确显示整个路径,在运行时切到其他路径时也会显示。
3.对于进程dll模块和2也是如此。其他使用PEB的工具会很容易被骗,但是IceSword不会出错(很少有不支持的系统,此时仍然使用枚举PEB)。
4.冰剑杀人的过程强大便捷(当然也很危险)。你可以很容易地杀死几个随机选择在一起的进程。当然,如果你说是任意的,不准确的,除了三个进程:空闲进程,系统进程,csrss进程,原因就不细说了。其他进程很容易被杀死。当然也有一些进程(比如winlogon)被杀死,然后系统崩溃。
5.网上有很多端口工具,但是也有很多隐藏端口的方法,那些方法对于冰剑来说完全行不通。其实我是想带个防火墙动态搜索的,但又不想太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口,第三方协议栈或IPv6协议栈除外。
问:windows自带的服务工具非常强大和方便。IceSowrd有哪些比较好的功能?
回答:因为懒,界面不太好,但是冰剑的服务功能主要是查木马服务,用起来很方便。顺便举个例子,搜索一类木马:svchost是一些共享进程服务的宿主,有些木马以dll的形式存在,依靠svchost运行。我们怎样才能找到他们?先看进度栏,发现svchost太多了。记住他们的身份证。你去服务栏可以找到pid对应的服务项目。在注册表中检查其dll文件路径(从服务项目第一列中列出的名称到注册表中具有相应名称的子项)。根据是否是正常服务项目,很容易发现异常项目。剩下的工作就是停止任务或者结束进程,删除文件,恢复注册表等等。当然在过程中是必须的。
问:那么什么样的木马后门会隐藏进程注册表文件呢?用冰剑怎么找?
答:比如现在流行的开源(容易变异)hxdef就是这样一个后门。可以很容易地用冰剑除去。在进程栏中可以直接看到红色显示的hxdef100进程,也可以看到服务栏中红色显示的服务项目。顺便说一下,你可以在注册表和文件栏中找到它们。如果木马反接,在端口栏也能看到。要查杀它,先从进程栏获取后门程序的完整路径,结束进程,删除后门目录,删除注册表中的服务对应方...这只是简单说说,请自学如何有效使用冰剑。
问:什么是“内核模块”?
答:载入系统和空间的PE模块主要是驱动*。sys,一般在核心状态下作为核心驱动存在。比如某种rootkit loads _root_。sys,前面提到的hxdef也会加载hxdefdrv.sys,正如你在本专栏中看到的。
问:什么是“SPI”和“BHO”?
回答:SPI一栏列出了系统中的网络服务提供商,因为它可能被用作无类木马。请注意“DLL路径”。一个正常的系统只有两个不同的dll(当然是更多的协议)。BHO是IE的一个插件,全称是浏览器帮助对象。如果木马以这种形式存在,用户打开网页就会激活木马。
问:“SSDT”有什么用?
答:内核级后门可能会修改这个服务表,拦截你系统的服务函数调用,尤其是一些老的rootkit,比如上面提到的ntrootkit,可以通过这个钩子隐藏注册表和文件。修改后的值显示为红色,当然有些安全程序也会被修改,比如regmon,所以看到红色不要慌。
问:“消息挂钩”和木马有什么关系?
答:如果使用SetWindowsHookEx在dll中设置了全局钩子,系统会使用user32加载到进程中,所以也可以作为无进程木马的进程注入方法。
问:最后两个监控项目是为了什么?
答:《监控线程创建》记录了冰剑运行过程中线程创建的调用。在循环缓冲区中,“监控进程终止”记录了一个进程被其他进程终止的情况。描述功能:在木马或病毒进程运行时,检查是否有诺顿的进程之类的杀毒程序,如果有,则查杀。如果IceSword正在运行,这个操作会被记录下来,你可以找到是哪个进程做的,这样你就可以找到木马或者病毒进程并结束它。再比如:一个木马或病毒采用多线程防护技术。你发现一个不正常的过程,它结束了,然后你起来。你可以用IceSword找出是哪个线程再次创建了这个进程,并把它们全部杀死。可以中途使用“设置”菜单项:在设置对话框中选择“不创建线程”。此时,系统无法创建进程或线程。您可以安全地终止可疑线程,然后解除阻止。
问:IceSword的注册表项有什么特点?相对来说,RegEdit有什么缺点吗?
答:Regedit有太多缺点,比如它的名称长度限制。用大于255字节的完整路径名构建一个子项,看一看(编程或者使用其他工具,比如regedt32)。此项及其后续子项无法在regedit中显示;另一个例子是,程序故意创建的带有特殊字符的注册表子项根本无法打开。
当然,在IceSword中加入注册表编辑并不是为了解决上述问题,因为已经有很多好的工具可以替代Regedit。IceSword中的“registry”键是为了查找隐藏在木马后门中的注册表键而编写的。它不会被任何隐藏注册表的方法所蒙蔽,它真实可靠地允许您查看注册表的实际内容。
问:那么文档项的特征是什么呢?
答:同样,它具有防躲和保护的功能。也有一些副作用。文件保护工具(除了删除文件和加密文件)在它面前是无效的。如果您的机器与他人共享,那么您不想让他人看到的文件应该加密。以前的文件保护(防读或隐藏)是没有用的。对安全性也有副作用。本来system32\config\SAM这样的文件是无法复制或打开的,但是IceSword可以直接复制。但是只有管理员才能运行冰剑。最后一招:通过复制重写文件。如果要更改未共享的打开文件或正在运行的程序文件(如木马)的内容(如要将垃圾数据写入木马文件,使其重启后无法运行),请选择一个文件(包含要修改的内容),选择复制菜单,在目标文件栏中添加要修改的文件(木马)的路径名,然后将前者的内容写入后者(确认后)。
最后提醒一句:每次打开冰剑,都只是在第一次运行的时候确认管理员的权限。所以管理员运行程序后,如果要把机器交给权限低的用户,就要先重启,否则可能会被权限低的用户使用。
问:GDT/IDT的转储文件中有什么?
答:GDT.log包含系统全局描述符表的内容,而IDT.log包含中断描述符表的内容。如果后门程序修改了,通过建立调用门或者中断门,很容易被发现。
问:转储列表是什么意思?
答:当前列表中显示的一些内容会存储在指定的文件中,比如将系统中的所有进程转储,放到互联网上进行帮助和诊断。但是,没有太大意义。在编写IceSword之前,假设用户有一定的安全知识,可能不需要这个功能。
问:文件菜单中的“重启并监控”是什么功能,如何使用?
答:IceSword的设计是尽量不在系统上留下安装痕迹,但是不方便在启动时监控自己启动的程序。比如一个程序运行后,注入到explorer等进程的远程线程中,然后自己结束,这样就不方便检查进程了,因为只有线程存在。这时可以使用“重启并监控”来监控系统启动时所有进入线程的创建情况,可以很容易的发现远程线程的注入。
问:你说的“创建进程规则”和“创建线程规则”是什么意思?
答:它们用于在创建线程时设置规则。需要注意的是,通用规则是指满足该规则所有规定的线程是被允许还是被禁止创建事件;一个规则中术语之间的关系是“与”,即规则只有同时满足时才匹配;“规则号”从零开始,假设当前有n个规则。添加规则时,输入零规则号表示插入到队列的头部,输入n规则号表示插入到队列的尾部。如果前面的规则已经匹配,后面的所有规则都将被忽略,系统将直接允许或禁止创建操作。
问:外挂有什么用?
答:不需要升级程序,方便扩展功能。未来可能会开放部分界面供用户定制。1.06正式版因为用户反馈不是很有用,暂时取消了。
问:附件有什么用?
答:插件的替代品。时间有限,所以测试不多。如果觉得不安全,可以在设置菜单里禁用。请参见特定的头文件和示例程序。IsHelp是一个提供辅助功能的小玩具配件。需要注意的是,widget的运行需要Iceword的支持(Iceword通过进程间通信提供服务)。