-
冰刃
IceSword
详细的使用方法
有这么一款软件,
它专为查探系统中的幕后黑
手
——
木马和后门而设计,
内部功能强
大,
它
使用了大量新颖的内核技术,使内核级的后门一样躲无所
躲,它就是
——
IceSword
冰<
/p>
刃。
IceSword
冰刃
(
以下简称
IceSwo
rd
)
是一款斩断系统黑手的绿色软件。在笔者的使用中,
IceSword
表现很令笔者满意,绝对是一把强悍的瑞士军刀<
/p>
——
小巧、强大。
1.
IceSword
的
“
防
”
打开软件,
看出什么没?有经验的用户就会发现,
这把冰刃可谓独特,
它显示在系统任务
栏或软件标题栏的都只是
一串随机字串
“CE318C”
,而并是通常所见的软件程序名
(
见图
1)
。
这就是
IceSword
独有的随机字
串标题栏,用户每次打开这把冰刃,所出现的字串都是随机
生成,
随机出现,
都不相同
(
随机五位
/
六位字串
)
,<
/p>
这样很多通过标题栏来关闭程序的木马和
后门在它面前都无功而返
了。
另外,
你可以试着将软件的文件名改一下,
比如改为
,
那么显示出来的进
程名就变为了
。现在你再试着关闭一下
IceSword
,是不是会弹
出确认窗口?这样那些木马或后
门就算通过鼠标或键盘钩子控制窗口退出按钮,
也不能结束
Ic
eSword
的运行了,只能在
IceSword
的面前乖乖就范了。
2.
Ic
eSword
的
“
攻
< br>”
如果
IceSword
只有很好的保护自身功能,
并没有清除木
马的能力,
也不值得笔者介绍了。
如果大家还记得本刊
2005
年第
5
期《如
何查杀隐形木马》一文,那一定会觉得
IceSword
表
现相当完美了。但这只所谓的隐身灰鸽子,在
IceSword
面前只算是小儿科的玩意。因为这
只鸽子只能隐身于系统的正常模式
,在系统安全模式却是再普通不过的木马。而
IceSword
的作者就在帮助中多次强调
IceSword
是专门针对功能强
大的内核级后门设计的。今天,笔
者通过一次经历来说明
Ice
Sword
几招必杀技。
前段时间,笔者某位朋友的个人服务器
(Windows 20
03)
,出现异常,网络流量超高,朋友使
用常规方法只可以清
除简单的木马,
并没有解决问题,
怀疑是中了更强的木马,
于是找来笔
者帮忙。
笔者在询问了一些情况
后,
直接登录到系统安全模式检查,
谁知也没有什么特别发
现。于是笔者尝试拿出
IceSword
这
把
“
瑞士军刀
”……
< br>
第一步
:
< br>打开
IceSword
,在窗口左侧点击
“
进程
”
按钮,查看系统当前
进程。这个隐藏的
“
幕
后黑手
”
马上露出马脚
(
见图
2)
,但使用系统自带的
“
任务管理器
”
是看不到些进程的。注意,
IceSword
默认是使用红色显示系统内隐藏程序,但
IceSword
若在内核模块处显示多处红色
项目
并不都是病毒,我们还需要作进一步的技术分析及处理。
别以为只是系统自带的任务管理器功能弱,未能发现。我们又
用了
IceSword
与
Proces
s
Explorer(
另一款功能强大的进程查看软件
)
进行对比,同样也没办法发现
“
幕后黑手
”
的踪影
第二步
:
点击窗口左侧的
“
服务
”
按钮,来查看系统服务。这时就可以看到如图
4
所示的情况
了,这个木马的服务也是隐藏的,怪不得笔者未能发现行
踪。
第
三步
:
既然看了服务,也应该查查注册表
[HKEY_LOCAL_ MACHINE SYSTEM
CurrentControlSet Services]
的
情况。反正
IceSword
也提供查看
/
编辑注册表功能,正好和系
统的
“
注册表编辑器
”
也来个对比,点击窗口
左侧的
“
注册表
”
标签,然后打开依次展开
[HKEY_LOCAL_ MACHINESYSTEM
CurrentControlSetServices]
项
(
见图
5)
。
真
是不比不知
道,一比吓一跳。看来,系统内置工具还是选择
“<
/p>
沉默
”
,还记得《如何查杀隐形木马》一
文
吧,虽说鸽子在正常模式下,它的主服务也能隐藏,但它在系统的
“
注册表编辑器
”
内完全是
显示的,
更不要说目前是安全模式。
仔细看看
,
既然已经从
IceSword
得到可
靠情报,
得知
“
幕
后黑手
”
位于系统目录
E:Win
dowssystem32wins
下
.
第五步
:
剩下的事容易多了,在
IceSword
中点击
“
查看
”
标签下的
“
进程
”
按钮,右击刚刚发现
的隐藏进程,选择
“
结束进程
”
。然后用
Ice
Sword
删除那三个木马文件,最后,还要删除多
余的服务项
——
那两个
HackerDefend
er*
的注册表键值即可。清理完这只
“
黑手
”
后,再使用
杀毒
软件重新杀一遍系统,确认没有其他的木马。
上面的例子充分体现了
IceSwo
rd
的魅力所在。正如作者所言,
IceSword
大量采用新颖技
术,有别于其他普通进程工具,比如
IceSword
就可以结束除
Idle
进程、
System
进程、
csr
ss
进程这三个进程外的所有进程,
就这一点,
其他同类软件就是做不到的。
当然有些进程也不
是随便
可以结束的,
如系统的
进程,
一旦杀掉后系统就崩溃了,
这些也需要注
意。<
/p>
冰刃
IceSword
的使用方法图解
冰刃
——<
/p>
IceSword
是一斩断黑手的利刃
。
它适用于
Windows 2000
/XP/2003
操作系统,
用于
查探
系统中的幕后黑手
(
木马后门
)
并作出处理,当然使用它需要用户有一些操作系统的知
识。
在对软件做讲解之
前,首先说明第一注意事项:此程序运行时不要激活内核调试器
(
如
softice)
,否则系统可能即刻崩溃。另外使用前请
保存好您的数据,以防万一未知的
Bug
带
来损失。
< br>IceSword
目前只为使用
32
位的
x86
兼容
CPU
的系统设计,另外运行
IceSword
需要管<
/p>
理员权限。
如果您使用过老版本,
请一定注意,
使
用新版本前要重新启动系统,
不要交替使用二者。
IceSword
内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程
工具
、
端口工具,但是现在的系统级后门功能越来越强,
一般都可轻
而易举地隐藏进程、端
口、注册表、文件信息,一般的工具根本无法发现这些
“
幕后黑手
”
。
IceSword
使用大量新颖
的内核技术,使
得这些后门躲无所躲。
如何退出
IceSword
:直接关闭,若你要
防止进程被结束时,需要以命令行形式输入:
IceSword
.exe /c
,此时需要
Ctrl+Alt+D
才能关闭(使用三键前先按一下任意键)。
如果最小化到托盘时托盘图标又消失了:此时可以使用
Ctrl+Alt+S
将
IceSword<
/p>
主界面
唤出。
上图是系统工具,对初学者来说,有些功能不是常用,而且用时有一定的危险,这里就不
做
详细介绍了;
我重点介绍
——
IceSword
Helper
;
IsHelp
可作为主程序的有益补充,它可为用户提供一些有用的甚至必不可缺的功能:
1
、进程模块:一些功能内部实现不如主程序强大,但却有一些更加
方便的功能。
a.
隐藏进程搜索;
b.
线程分析;
c.
进程内存
Dump
;
d.
进程模块搜索
.
2
、文件搜索:
a.
支持扩展的正则表达式;
b.
支持隐藏文件的搜索,避免在
主程序里手工查找
.
3
、内存扫描:
目前功能还未加入,不过对一些未专门修改的黑客之门,搜查较为准确
.
4
、注册表服务键:枚举注册表服务键,标记被可疑隐藏的服务键,配合主程
序
“
服务
”
栏
使
用
.
双击
IsHelp
图标打开主程序;
一、进程模块
上面是程序的截图
.