給新手詳細介紹一下比較好的檢視和清除木馬後門的軟體IceSword

psac · 2005-12-19, 09:56 PM

有這麼一款軟體，它專為查探系統中的幕後黑手——木馬和後門而設計，內部功能強大，它使用了大量新穎的內核技術，使內核級的後門一樣躲無所躲，它就是——IceSword冰刃。

IceSword冰刃(以下簡稱IceSword)是一款斬斷系統黑手的綠色軟體。在筆者的使用中，IceSword表現很令筆者滿意，絕對是一把強悍的瑞士軍刀——小巧、強大。

　　1.IceSword的「防」

　　開啟軟體，看出什麼沒？有經驗的用戶就會發現，這把冰刃可謂獨特，它顯示在系統工作列或軟體標題欄的都只是一串隨機字串「CE318C」，而並是通常所見的軟體程式名稱(見圖1)。這就是IceSword獨有的隨機字串標題欄，用戶每次開啟這把冰刃，所出現的字串都是隨機產生，隨機出現，都不相同(隨機五位/六位字串)，這樣很多通過標題欄來關閉程序的木馬和後門在它面前都無功而返了。另外，你可以試著將軟體的檔案名改一下，比如改為killvir.exe，那麼顯示出來的工作名就變為了killvir.exe。現在你再試著關閉一下IceSword，是不是會彈出驗證視窗？這樣那些木馬或後門就算通過滑鼠或鍵盤鉤子控制視窗結束按鈕，也不能結束IceSword的執行了，只能在IceSword的面前乖乖就範了。

http://www.hf110.com/Article/UploadFiles/200510/20051001091847227.jpg

圖1

2.IceSword的「攻」

　　如果IceSword只有很好的保護自身功能，並沒有清除木馬的能力，也不值得筆者介紹了。如果大家還記得本刊2005年第5期《如何查殺隱形木馬》一文，那一定會覺得IceSword表現相當完美了。但這只所謂的隱身灰鴿子，在IceSword面前只算是小兒科的玩意。因為這只鴿子只能隱身於系統的正常模式，在系統安全模式卻是再普通不過的木馬。而IceSword的作者就在說明中多次強調IceSword是專門針對功能強大的內核級後門設計的。今天，筆者通過一次經歷來說明IceSword幾招必殺技。
前段時間，筆者某位朋友的個人伺服器(Windows 2003)，出現異常，網路流量超高，朋友使用一般方法只可以清除簡單的木馬，並沒有解決問題，懷疑是中了更強的木馬，於是找來筆者幫忙。筆者在詢問了一些情況後，直接登入到系統安全模式檢查，誰知也沒有什麼特別發現。於是筆者嘗試拿出IceSword這把「瑞士軍刀」……

　　第一步:開啟IceSword，在視窗左側點擊「工作」按鈕，檢視系統當繼續程。這個隱藏的「幕後黑手」馬上露出馬腳(見圖2)，但使用系統原有的的「工作管理器」是看不到些工作的。注意，IceSword預設是使用紅色顯示系統內隱藏程序，但IceSword若在內核模組處顯示多處紅色項目並不都是病毒，我們還需要作進一步的技術分析及處理。

http://www.hf110.com/Article/UploadFiles/200510/20051001091849901.jpg

圖2

別以為只是系統原有的的工作管理器功能弱，未能發現。我們又用了IceSword與Process Explorer(另一款功能強大的工作檢視軟體)進行對比，同樣也沒辦法發現「幕後黑手」的蹤影(見圖3)。

http://www.hf110.com/Article/UploadFiles/200510/20051001091849973.jpg

圖3

第二步:點擊視窗左側的「服務」按鈕，來檢視系統服務。這時就可以看到如圖4所顯示的情況了，這個木馬的服務也是隱藏的，怪不得筆者未能發現行蹤。

http://www.hf110.com/Article/UploadFiles/200510/20051001091849187.jpg

圖4

第三步:既然看了服務，也應該查查註冊表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情況。反正IceSword也提供檢視/編輯註冊表功能，正好和系統的「註冊表編輯器」也來個對比，點擊視窗左側的「註冊表」標籤，然後開啟依次展開[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]項(見圖5)。真是不比不知道，一比嚇一跳。看來，系統內裝工具還是選項「沉默」，還記得《如何查殺隱形木馬》一文吧，雖說鴿子在正常模式下，它的主服務也能隱藏，但它在系統的「註冊表編輯器」內完全是顯示的，更不要說目前是安全模式。仔細看看，既然已經從IceSword得到可靠情報，得知「幕後黑手」位於系統目錄E:\Windows\system32\wins下。

http://www.hf110.com/Article/UploadFiles/200510/20051001091849363.jpg

圖5

第四步:我們還是用系統的「檔案總管」和IceSword對比一下，點擊視窗左側的「文件」標籤，結果如圖6所顯示。「檔案總管」選項了「交白卷」。在IceSword的文件瀏覽器與系統的「檔案總管」明顯對比下，IceSword已經發現三隻「黑手」，正是因為有這只隱藏的幕後黑手，難怪朋友搞了幾次，換了不同的防病毒軟體還是沒清乾淨。

http://www.hf110.com/Article/UploadFiles/200510/20051001091849884.jpg

圖6

第五步:剩下的事容易多了，在IceSword中點擊「檢視」標籤下的「工作」按鈕，右擊剛剛發現的隱藏工作，選項「結束工作」。然後用IceSword移除那三個木馬文件，最後，還要移除多餘的服務項——那兩個HackerDefender*的註冊表鍵值即可。清理完這只「黑手」後，再使用殺毒軟體重新殺一遍系統，驗證沒有其他的木馬。

　　上面的例子充分體現了IceSword的魅力所在。正如作者所言，IceSword大量採用新穎技術，有別於其他普通工作工具，比如IceSword就可以結束除Idle工作、System工作、csrss工作這三個工作外的所有工作，就這一點，其他同類軟體就是做不到的。當然有些工作也不是隨便可以結束的，如系統的winlogon.exe工作，一旦殺掉後系統就崩潰了，這些也需要注意。

　　還等什麼，這麼好用、強悍的「瑞士軍刀」，還不趕快準備一把防身？

下載

[img]http://www.xfocus.net/tools/200407/741.html

k2hungss · 2005-12-20, 10:10 AM

防護系統安全
有這麼詳細教學
怎能不嘗試
感謝提供分享

2005-12-19, 09:56 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	給新手詳細介紹一下比較好的檢視和清除木馬後門的軟體IceSword 有這麼一款軟體，它專為查探系統中的幕後黑手——木馬和後門而設計，內部功能強大，它使用了大量新穎的內核技術，使內核級的後門一樣躲無所躲，它就是——IceSword冰刃。 IceSword冰刃(以下簡稱IceSword)是一款斬斷系統黑手的綠色軟體。在筆者的使用中，IceSword表現很令筆者滿意，絕對是一把強悍的瑞士軍刀——小巧、強大。　　1.IceSword的「防」　　開啟軟體，看出什麼沒？有經驗的用戶就會發現，這把冰刃可謂獨特，它顯示在系統工作列或軟體標題欄的都只是一串隨機字串「CE318C」，而並是通常所見的軟體程式名稱(見圖1)。這就是IceSword獨有的隨機字串標題欄，用戶每次開啟這把冰刃，所出現的字串都是隨機產生，隨機出現，都不相同(隨機五位/六位字串)，這樣很多通過標題欄來關閉程序的木馬和後門在它面前都無功而返了。另外，你可以試著將軟體的檔案名改一下，比如改為killvir.exe，那麼顯示出來的工作名就變為了killvir.exe。現在你再試著關閉一下IceSword，是不是會彈出驗證視窗？這樣那些木馬或後門就算通過滑鼠或鍵盤鉤子控制視窗結束按鈕，也不能結束IceSword的執行了，只能在IceSword的面前乖乖就範了。圖1 2.IceSword的「攻」　　如果IceSword只有很好的保護自身功能，並沒有清除木馬的能力，也不值得筆者介紹了。如果大家還記得本刊2005年第5期《如何查殺隱形木馬》一文，那一定會覺得IceSword表現相當完美了。但這只所謂的隱身灰鴿子，在IceSword面前只算是小兒科的玩意。因為這只鴿子只能隱身於系統的正常模式，在系統安全模式卻是再普通不過的木馬。而IceSword的作者就在說明中多次強調IceSword是專門針對功能強大的內核級後門設計的。今天，筆者通過一次經歷來說明IceSword幾招必殺技。前段時間，筆者某位朋友的個人伺服器(Windows 2003)，出現異常，網路流量超高，朋友使用一般方法只可以清除簡單的木馬，並沒有解決問題，懷疑是中了更強的木馬，於是找來筆者幫忙。筆者在詢問了一些情況後，直接登入到系統安全模式檢查，誰知也沒有什麼特別發現。於是筆者嘗試拿出IceSword這把「瑞士軍刀」…… 　　第一步:開啟IceSword，在視窗左側點擊「工作」按鈕，檢視系統當繼續程。這個隱藏的「幕後黑手」馬上露出馬腳(見圖2)，但使用系統原有的的「工作管理器」是看不到些工作的。注意，IceSword預設是使用紅色顯示系統內隱藏程序，但IceSword若在內核模組處顯示多處紅色項目並不都是病毒，我們還需要作進一步的技術分析及處理。圖2 別以為只是系統原有的的工作管理器功能弱，未能發現。我們又用了IceSword與Process Explorer(另一款功能強大的工作檢視軟體)進行對比，同樣也沒辦法發現「幕後黑手」的蹤影(見圖3)。圖3 第二步:點擊視窗左側的「服務」按鈕，來檢視系統服務。這時就可以看到如圖4所顯示的情況了，這個木馬的服務也是隱藏的，怪不得筆者未能發現行蹤。圖4 第三步:既然看了服務，也應該查查註冊表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情況。反正IceSword也提供檢視/編輯註冊表功能，正好和系統的「註冊表編輯器」也來個對比，點擊視窗左側的「註冊表」標籤，然後開啟依次展開[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]項(見圖5)。真是不比不知道，一比嚇一跳。看來，系統內裝工具還是選項「沉默」，還記得《如何查殺隱形木馬》一文吧，雖說鴿子在正常模式下，它的主服務也能隱藏，但它在系統的「註冊表編輯器」內完全是顯示的，更不要說目前是安全模式。仔細看看，既然已經從IceSword得到可靠情報，得知「幕後黑手」位於系統目錄E:\Windows\system32\wins下。圖5 第四步:我們還是用系統的「檔案總管」和IceSword對比一下，點擊視窗左側的「文件」標籤，結果如圖6所顯示。「檔案總管」選項了「交白卷」。在IceSword的文件瀏覽器與系統的「檔案總管」明顯對比下，IceSword已經發現三隻「黑手」，正是因為有這只隱藏的幕後黑手，難怪朋友搞了幾次，換了不同的防病毒軟體還是沒清乾淨。圖6 第五步:剩下的事容易多了，在IceSword中點擊「檢視」標籤下的「工作」按鈕，右擊剛剛發現的隱藏工作，選項「結束工作」。然後用IceSword移除那三個木馬文件，最後，還要移除多餘的服務項——那兩個HackerDefender*的註冊表鍵值即可。清理完這只「黑手」後，再使用殺毒軟體重新殺一遍系統，驗證沒有其他的木馬。　　上面的例子充分體現了IceSword的魅力所在。正如作者所言，IceSword大量採用新穎技術，有別於其他普通工作工具，比如IceSword就可以結束除Idle工作、System工作、csrss工作這三個工作外的所有工作，就這一點，其他同類軟體就是做不到的。當然有些工作也不是隨便可以結束的，如系統的winlogon.exe工作，一旦殺掉後系統就崩潰了，這些也需要注意。　　還等什麼，這麼好用、強悍的「瑞士軍刀」，還不趕快準備一把防身？下載 [img]http://www.xfocus.net/tools/200407/741.html
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2005-12-20, 10:10 AM	#2 (permalink)
k2hungss 長老會員榮譽勳章勳章總數14 UID - 9489 在線等級: 註冊日期: 2002-12-11 住址: 高雄文章: 13429 精華: 0 現金: 1669094 金幣資產: 1838923 金幣	防護系統安全有這麼詳細教學怎能不嘗試感謝提供分享

	送花文章: 5066, 收花文章: 1120 篇, 收花: 1465 次

Google 提供的廣告