史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 繪圖軟體應用技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-03-08, 10:14 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 IceSword-進階工作管理器介紹

IceSword-進階工作管理器介紹
IceSword是一斬斷黑手的利刃(所以取這土名,有點搞e,哈哈)。它適用於Windows 2000/XP/2003操作系統,用於查探系統中的幕後黑手(木馬後門)並作出處理,當然使用它需要用戶有一些操作系統的知識。


  在對軟體做講解之前,首先說明第一注意事項:此程序執行時不可啟動內核偵錯器(如softice),否則系統即刻崩潰。另外使用前請儲存好您的資料,以防萬一未知的Bug帶來損失。

  IceSword內部功能是十分強大的。可能您也用過很多類似功能的軟體,比如一些工作工具、連接阜工具,但是現在的系統級後門功能越來越強,一般都可輕而易舉地隱藏工作、連接阜、註冊表、文件訊息,一般的工具根本無法發現這些「幕後黑手」。IceSwo rd使用大量新穎的內核技術,使得這些後門躲無所躲。

IceSword FAQ 工作、連接阜、服務篇

問:現在工作連接阜工具很多,什麼要使用IceSword?
答:1、絕大多數所謂的工作工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系統使用(前二者最終也用到此使用)編寫,隨便一個ApiHook就可輕輕鬆鬆幹掉它們,更不用說一些內核級後門了;極少數工具利用內核執行緒調度結構來查詢工作,這種方案需要硬編碼,不僅不同版本系統不同,打個修正檔也可能需要昇級程序,並且現在有人也提出過防止此種尋找的方法。而IceSword的工作尋找核心態方案是目前獨一無二,並且充分考慮內核後門可能的隱藏手段,目前可以查出所有隱藏工作。

2、絕大多數工具尋找工作路徑名也是通過Toolhlp32、psapi,前者會使用RtlDebug***函數向目標注入遠執行緒,後者會用偵錯api讀取目標工作內,本質上都是對PEB的枚舉,前面我的blog提到過輕易修改PEB就讓這些工具找不到北了。而IceSword的核心態方案原原筆記本地將全路徑展示,就算執行時剪下到其他路徑也會隨之顯示。

3、工作dll模組與2的情況也是一樣,利用PEB的其他工具會被輕易欺騙,而IceSword不會弄錯。

4、IceSword的工作殺除強大且方便(當然也會有危險)。可輕易將選的多個任意工作一併殺除。當然,說任意不確切,除去三個:idle工作、 System工作、csrss工作,原因就不詳述了。其餘工作可輕易殺死,當然有些工作(如winlogon)殺掉後系統就崩潰了。

5、對於連接阜工具,網上的確有很多,不過網上隱藏連接阜的方法也很多,那些方法對IceSword可是完全行不通的。其實本想帶個防火牆動態尋找,不過不想弄得太臃腫。

問:windows原有的的服務工具強大且方便,IceSowrd有什麼更好的特點呢?
答:因為比較懶,界面使用上的確沒它來的好,不過IceSword的服務功能主要是檢視木馬服務的,使用還是很方便的。舉個例子,順便談一類木馬的尋找:有一種利用svchost的木馬,怎麼利用的呢?svchost是一些共享工作服務的宿主,有些木馬就以dll存在,依*svchost運作,如何找出它們呢?首先看工作一欄,發現svchost過多,特別注意一下pid較大的,記住它們的pid,到服務一欄,就可找到pid對應的服務項,配合註冊表檢視它的dll文件路徑(由服務項的第一欄所列名稱到註冊表的services子鍵下找對應名稱的子鍵),根據它是不是慣常的服務項,很容易發現異常。剩下的工作就是停止工作或結束工作、移除文件、恢復註冊表 之類的了,當然程序中需要你對服務有一般的知識。

問:那麼什麼樣的木馬後門才會隱藏工作註冊表文件的?用IceSword又如何尋找呢?
答:比如近來很流行且開源(容易出變種)的hxdef就是這麼一個後門。雖然它帶有一個驅動,不過還只能算一個系統級後門,還稱不上內核級。不過就這樣的一個後門,你用一些工具,***專家、***大師、***剋星看看,能不能看到它的工作、註冊項、服務以及目錄文件,哈哈。用IceSword就很方便了,你直接就可在工作欄看到紅色顯示的hxdef100工作,同時也可以在服務欄中看到紅色顯示的服務項,順便一說,在註冊表和文件欄裡你都可發現它們,若木馬正在反向連接,你在連接阜欄也可看到,另外,內核模組中也可以看到它的驅動。殺除它麼,首先由工作欄得後門程序全路徑,結束工作,將後門目錄移除,移除註冊表中的服務對應項...這裡只是選一個簡單例子,請你自行學習如何有效利用IceSword吧。

問:「內核模組」是什麼?
答:載入到系統內和空間的PE模組,主要是驅動程式*.sys,一般核心態後們作為核心驅動存在,比如說某種rootkit載入_root_.sys,前面提到的hxdef也載入了hxdefdrv.sys,你可以在此欄中看到。


問:「SPI」與「BHO」又是什麼?
答:SPI欄列舉出系統中的網路服務提供者,因為它有可能被用來做無工作木馬,注意「DLL路徑」,正常系統只有兩個不同DLL(當然傳輸協定比較多)。BHO是IE的插件,全名Browser Help Objects,木馬以這種形式存在的話,用戶開啟網頁即會啟動木馬。


問:「SSDT」有何用?
答:內核級後門有可能修改這個服務表,以截獲你系統的服務函數使用,特別是一些老的rootkit,像上面提到的ntrootkit通過這種hook實現註冊表、文件的隱藏。被修改的值以紅色顯示,當然有些安全程序也會修改,比如regmon,所以不要見 到紅色就慌張。


問:「消息鉤子」與木馬有什麼關係?
答:若在dll中使用SetWindowsHookEx設定一全局鉤子,系統會將其載入入使用user32的工作中,因而它也可被利用為無工作木馬的工作注入手段。


問:最後兩個監視項有什麼用處?
答:「監視進執行緒新增」將IceSword執行期間的進執行緒新增使用記錄在循環緩衝裡,「監視工作終止」記錄一個工作被其它工作Terminate的情況。舉例說明作用:一個木馬或病毒工作執行起來時檢視有沒有殺毒程序如norton的工作,有則殺之,若 IceSword正在執行,這個操作就被記錄下來,你可以查到是哪個工作做的事,因而可以發現木馬或病毒工作並結束之。再如:一個木馬或病毒採用多執行緒保護技術,你發現一個異常工作後結束了,一會兒它又起來了,你可用IceSword發現是什麼執行緒又新增了這個工作,把它們一併殺除。中途可能會用到「設定」表單項:在設定對話視窗中選「禁止進執行緒新增」,此時系統不能新增工作或者執行緒,你安穩的殺除可疑進執行緒後,再取消禁止就可以了。
 

問:IceSword的註冊表項有什麼特點?相對來說,RegEdit有什麼不足嗎?
答:說起Regedit的不足就太多了,比如它的名稱長度限制,建一個名長300字元的子項看看(編程或用其他工具,比如regedt32),此項和位於它後面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字串的子鍵regedit根本打不開。當然IceSword中增加註冊表編輯並不是為了解決上面的問題,因為已經有了很多很好的工具可以替代Regedit。IceSword中的「註冊表」項是為了尋找被木馬後門隱藏的註冊項而寫的,它不受目前任何註冊表隱藏手法的蒙蔽,真正可*的讓你看到注 冊表實際內容。


問:那麼文件項又有什麼特點呢?
答:同樣,具備反隱藏、反保護的功能。當然就有一些副作用,文件保護工具(移走文件和文件加密類除外)在它面前就無效,如果你的機器與人共用,那麼不希望別人看到的文件就採用加密處理吧,以前的文件保護(防讀或隱藏)是沒有用的。還有對安全的副作用是本來 system32\config\SAM等文件是不能拷貝也不能開啟的,但IceSword是可以直接拷貝的。不過只有管理員能執行IceSword。最後說一個小技巧:用複製來改寫文件。對一個被非共享開啟的文件、或一個正執行的程式文件(比如木馬),你想改掉它的內容(比如想向木馬程式文件寫入*資料使它重啟後無法執行),那麼請選一個文件(內含你想修改的內容),選「複製」表單,將目標文件欄中新增你欲修改掉的文件(木馬)路徑名,確定後前者的內容就寫入後者(木馬)從頭開始的位置。最後提醒一句:每次開機IceSword只第一次執行驗證管理員權限,所以管理員執行程序後,如果要交付機器給低權限用戶使用,應該先重啟機器,否則可能為低權限用戶利用。
 

問:GDT/IDT的轉儲檔案裡有什麼內容?
答:GDT.log內儲存有系統全局描述符表的內容,IDT.log則包含中斷描述符表的內容。如果有後門程序修改它,建立了使用門或中斷門,很容易被發現。
 

問:轉儲列表是什麼意思?
答:即將顯示在當前列表視中的部分內容存入指定文件,比如轉儲系統內所有工作,放入網上請人幫忙診斷。不過意義不大,IceSword編寫前已假定使用者有一定安全知識,可能不需要這類功能。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3203 次
向 psac 送花的會員:
wulihua (2008-02-14)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 09:22 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1