灰狼的雕虫小技

作者：baohe 来自卡卡社区 http://forum.ikaka.com/topic.asp?board=28&artid=7168178

IceSword的下载地址： http://www.blogcn.com/user17/pjf/blog/44570897.html

    IS采取了很多新颖的、内核级的方法和手段，关于它的技术细节不在本文讨论之列，下面主要从使用者角度讲一下它的主要功能：

   ■查看进程
      包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息，结束线程等。

   ■查看端口
      类似于cport、ActivePort这类工具，显示当前本地打开的端品以及相应的应用程序地址、名字。包括使用了各种手段隐藏端口的工具，在它下面，都一览无余。

   ■内核模块
      加载到系统内和空间的PE模块，一般都是驱动程序*.sys，可以看到各种已经加载的驱动。包括一些隐藏的驱动文件，如IS自身的IsDrv118.sys，这个在资源管理器里是看不见的。

   ■启动组
       Windows启动组里面的相关方式，这个比较容易理解了。不过可惜的是没有提示删除功能，只能查看

   ■服务
       用于查看系统中的被隐藏的或未隐藏的服务，隐藏的服务以红色显示。提供对服务的操作如启动，停止，禁用等。

   ■SPI和BHO
      这两个是目前流氓软件越来越看中的地方。SPI是服务提供接口，即所有Windows的网络操作都是通过这个接口发出和接收数据包的。很多流氓软件把这 个.dll替换掉，这样就可以监视所有用户访问网络的包，可以针对性投放一些广告。如果不清楚的情况下，把这个.dll删掉，会造成网络无法使用，上不了 网。LSPFix等工具就是针对这个功能的。BHO就更不用说了，浏览器的辅助插件，用户启动浏览器的时候，它就可以自动启动，弹出广告窗口什么的。这两 项仅提供查看的功能。

   ■SSDT (System Service Descriptor Table)
      系统服务描述表，内核级后门有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示，当然有些安全程序也会修改，比如regmon。

   ■消息钩子
     若在dll中使用SetWindowsHookEx设置一全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。

   ■线程创建和线程终止监视
     “监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。举 例说明作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个操作就被记录下来，你可 以查到是哪个进程做的事，因而可以发现木马或病毒进程并结束之。再如：一个木马或病毒采用多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来 了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用到“设置”菜单项：在设置对话框中选中“禁止进线程创建”，此 时系统不能创建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了。

  ■注册表操作，Regedit有什么不足？
     说起Regedit的不足就太多了，比如它的名称长度限制，建一个全路径名长大于255字节的子项看看（编程或用其他工具，比如regedt32），此项 和位于它后面的子键在regedit中显示不出来；再如有意用程序建立的有特殊字符的子键regedit根本打不开。
    IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为 了查找被木马后门隐藏的注册项而写的，它不受目前任何注册表隐藏手法的蒙蔽，真正可靠的让你看到注册表实际内容。
    如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\cdnport这个键值，就是通过它来加载cndport.sys这个驱动文件的。通过Regedit你删除会直接出错，根本无法删除。而用IS就可以轻易干掉。

  ■文件操作
     IS的文件操作有点类似于资源管理器，虽然操作起来没有那么方便，但是它的独到功能在于具备反隐藏、反保护的功能。还有对安全的副作用是本来 system32\config\SAM等文件是不能拷贝也不能打开的，但IceSword是可以直接拷贝的。类似于已经加载的驱动，如CNNIC的 cdnport.sys这个文件，目前只有IS可以直接把它删除，其它无论什么方式，都无法破除驱动自身的保护。
     即使对大多数有用的unlocker，CopyLock、KillBox都是无效的。利用Windows的系统还没有完全加载的删除机制，通过在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations，这个是所有删除顽固文件工具的最后一招，但它也被驱动保护变得无效了。以前的情况就是需要重启启动到另外一个操作系统下删除。

      遇到杀软搞不定或杀不净的病毒，只好手工查杀。手工杀毒，IceSword是个很好的工具。结束病毒进程、删除病毒文件、删除病毒添加的注册表项都可以用它。
      在结束病毒进程方面，这个工具远比WINDOWS的任务管理器强。用它，不但可以看到进程名，还可看到进程对应的程序所在路径以及程序文件的图标。这就使得那些“鱼目混珠”的“李鬼”们暴露无遗。此外，WINDOWS的任务管理器常被病毒锁死，给结束进程这步至关重要的操作带来很大麻烦！
此外，不少病毒/木马有进程守护功能。你用WINDOWS的任务管理器根本就无法结束病毒进程，从而导致无法删除病毒文件。IceSword有“禁止进程创建”功能，这是对付“进程守护”的一个有效手段，也是WINDOWS任务管理器所没有的功能。

       以下按照“结束进程”、“删除文件”、“清理注册表”的顺序，分别图解这三块内容的具体操作，供新手们实战时参考。