Software 版 (精华区)

发信人: software (,撕开你的封印吧), 信区: Software
标  题: IceSword地说明文件
发信站: 哈工大紫丁香 (Mon May 29 11:48:00 2006), 转信

FAQ

问:现在进程端口工具很多,什么要使用IceSword?

答:1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySys
temInformation系统调用(前二者最终也用到此调用)来编写,随便一个ApiHook就可轻
轻松松干掉它们,更不用说一些内核级后门了;极少数工具利用内核线程调度结构来查
询进程,这种方案需要硬编码,不仅不同版本系统不同,打个补丁也可能需要升级程序
,并且现在有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目
前独一无二的,并且充分考虑内核后门可能的隐藏手段,目前可以查出所有隐藏进程。


  2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi,前者会调用RtlDebug*
**函数向目标注入远线程,后者会用调试api读取目标进程内存,本质上都是对PEB的枚
举,通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将
全路径展示,运行时剪切到其他路径也会随之显示。

  3、进程dll模块与2的情况也是一样,利用PEB的其他工具会被轻易欺骗,而IceSword
不会弄错(有极少数系统不支持,此时仍采用枚举PEB)。

  4、IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进
程一并杀除。当然,说任意不确切,除去三个:idle进程、System进程、csrss进程,原
因就不详述了。其余进程可轻易杀死,当然有些进程(如winlogon)杀掉后系统就崩溃
了。

  5、对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,那些方法对I
ceSword可是完全行不通的。其实本想带个防火墙动态查找,不过不想弄得太臃肿。这里
的端口是指windows的IPv4 Tcpip协议栈所属的端口,第三方协议栈或IPv6栈不在此列。


  6、先说这些了...


问:windows自带的服务工具强大且方便,IceSowrd有什么更好的特点呢?

答:因为比较懒,界面使用上的确没它来的好,不过IceSword的服务功能主要是查看木
马服务的,使用还是很方便的。举个例子,顺便谈一类木马的查找:svchost是一些共享
进程服务的宿主,有些木马就以dll存在,依靠svchost运作,如何找出它们呢?首先看
进程一栏,发现svchost过多,记住它们的pid,到服务一栏,就可找到pid对应的服务项
,配合注册表查看它的dll文件路径(由服务项的第一栏所列名称到注册表的services子
键下找对应名称的子键),根据它是不是惯常的服务项很容易发现异常项,剩下的工作
就是停止任务或结束进程、删除文件、恢复注册表之类的了,当然过程中需要你对服务
有一般的知识。


问:那么什么样的木马后门才会隐藏进程注册表文件的?用IceSword又如何查找呢?

答:比如近来很流行且开源(容易出变种)的hxdef就是这么一个后门。你用一些工具,
***专家、***大师、***克星看看,能不能看到它的进程、注册项、服务以及目录文件,
呵呵。用IceSword就很方便了,你直接就可在进程栏看到红色显示的hxdef100进程,同
时也可以在服务栏中看到红色显示的服务项,顺便一说,在注册表和文件栏里你都可发
现它们,若木马正在反向连接,你在端口栏也可看到。杀除它么,首先由进程栏得后门
程序全路径,结束进程,将后门目录删除,删除注册表中的服务对应项...这里只是简单
说说,请你自行学习如何有效利用IceSword吧。

 

问:“内核模块”是什么?

答:加载到系统内和空间的PE模块,主要是驱动程序*.sys,一般核心态后们作为核心驱
动存在,比如说某种rootkit加载_root_.sys,前面提到的hxdef也加载了hxdefdrv.sys
,你可以在此栏中看到。


问:“SPI”与“BHO”又是什么?

答:SPI栏列举出系统中的网络服务提供者,因为它有可能被用来做无进程木马,注意“
DLL路径”,正常系统只有两个不同DLL(当然协议比较多)。BHO是IE的插件,全名Bro
wser Help Objects,木马以这种形式存在的话,用户打开网页即会激活木马。


问:“SSDT”有何用?

答:内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老
的rootkit,像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的
值以红色显示,当然有些安全程序也会修改,比如regmon,所以不要见到红色就慌张。



问:“消息钩子”与木马有什么关系?

答:若在dll中使用SetWindowsHookEx设置一全局钩子,系统会将其加载入使用user32的
进程中,因而它也可被利用为无进程木马的进程注入手段。


问:最后两个监视项有什么用处?

答:“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“
监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用:一个木马或
病毒进程运行起来时查看有没有杀毒程序如norton的进程,有则杀之,若IceSword正在
运行,这个操作就被记录下来,你可以查到是哪个进程做的事,因而可以发现木马或病
毒进程并结束之。再如:一个木马或病毒采用多线程保护技术,你发现一个异常进程后
结束了,一会儿它又起来了,你可用IceSword发现是什么线程又创建了这个进程,把它
们一并杀除。中途可能会用到“设置”菜单项:在设置对话框中选中“禁止进线程创建
”,此时系统不能创建进程或者线程,你安稳的杀除可疑进线程后,再取消禁止就可以
了。

 

问:IceSword的注册表项有什么特点?相对来说,RegEdit有什么不足吗?

答:说起Regedit的不足就太多了,比如它的名称长度限制,建一个全路径名长大于255
字节的子项看看(编程或用其他工具,比如regedt32),此项和位于它后面的子键在re
gedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本打不开。

    当然IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经有了很多很
好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注
册项而写的,它不受目前任何注册表隐藏手法的蒙蔽,真正可靠的让你看到注册表实际
内容。


问:那么文件项又有什么特点呢?

答:同样,具备反隐藏、反保护的功能。当然就有一些副作用,文件保护工具(移走文
件和文件加密类除外)在它面前就无效,如果你的机器与人共用,那么不希望别人看到
的文件就采用加密处理吧,以前的文件保护(防读或隐藏)是没有用的。还有对安全的
副作用是本来system32\config\SAM等文件是不能拷贝也不能打开的,但IceSword是可以
直接拷贝的。不过只有管理员能运行IceSword。最后说一个小技巧:用复制来改写文件
。对一个被非共享打开的文件、或一个正运行的程序文件(比如木马),你想改掉它的
内容(比如想向木马程序文件写入垃圾数据使它重启后无法运行),那么请选中一个文
件(内含你想修改的内容),选“复制”菜单,将目标文件栏中添上你欲修改掉的文件
(木马)路径名,确定后前者的内容就写入后者(木马)从头开始的位置。

    最后提醒一句:每次开机IceSword只第一次运行确认管理员权限,所以管理员运行
程序后,如果要交付机器给低权限用户使用,应该先重启机器,否则可能为低权限用户
利用。

 

问:GDT/IDT的转储文件里有什么内容?

答:GDT.log内保存有系统全局描述符表的内容,IDT.log则包含中断描述符表的内容。
如果有后门程序修改它,建立了调用门或中断门,很容易被发现。

 

问:转储列表是什么意思?

答:即将显示在当前列表视中的部分内容存入指定文件,比如转储系统内所有进程,放
入网上请人帮忙诊断。不过意义不大,IceSword编写前已假定使用者有一定安全知识,
可能不需要这类功能。


问:文件菜单中“重启并监视”有何用处,如何使用?

答:因为IceSword设计为尽量不在系统上留下什么安装痕迹,不过这就不方便监视开机
就自启的程序。比如,一个程序运行后向explorer等进程远线程注入,再结束自身,这
样查进程就不大方便了,因为仅有线程存在。这时,就可以使用“重启并监视”监视系
统启动时的所有进线程创建,可轻易发现远线程注入。

问:“创建进程规则”和“创建线程规则”是什么意思?

答:它们用来设定创建进线程时的规则。其中要注意的是:总规则是指允许还是禁止满
足该条规则所有条款的进线程创建事件;一条规则中的条款间的关系是与关系,即同时
满足才算匹配这条规则;“规则号”是从零开始的,假设当前有n条规则,添加规则时输
入零规则号即代表在队头插入,输入n规则号则在队尾插入;如果前面一条规则已经匹配
,那么所有后面的规则就忽略掉了,系统直接允许或禁止这次创建操作。下面举两个例
子:

(1)禁止taskmgr.exe的运行。

    点击“创建进程规则”、“添加规则”,填充,确定即可。

    需要注意的是,一条规则中文件名和路径名只能填一个。

(2)禁止别的进程向Explorer.exe注入远线程。

    这要建两条“创建线程规则”,一条禁止所有进程在explorer里建线程,第二条允
许explorer自己在自己进程内创建线程,第二条必须在第一条的前面,否则就得不到判
断。过程就是首先判断第二条(目标进程为explorer,源进程也为explorer自己),是
则允许创建,忽略第一条;不满足再判断第一条,若目标进程为explorer,则禁止创建


        先加左边的,再加右边的,使用的规则号都为0;或先用0规则号加右边的,再用1规则
号加左边的。

问:插件有何用处?

答:可以方便地扩充功能而不升级程序,以后可能开放一些接口给用户自己定制。1.06
正式版暂时取消了,因为用户反馈并不是很有用。

 

问:协件有何用处?

答:插件的取代品。时间有限,没有怎么测试,若觉得不安全,可以在“设置”菜单禁
用之。具体见头文件和示例程序。IsHelp是个小玩具型的协件,提供辅助功能。需要注
意的是,协件的运行需要IceSword的支持(IceSword通过进程间通信提供服务)。


--
讷迪神a


※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 128.134.54.106]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:3.800毫秒