作者: Simeon S.S.F, 出处:比特网
通过本案例可以学习到:
(1)了解冰刀(IceSword)的相关知识
(2)使用冰刀来对计算机进行安全检查
冰刀的英文名称为IceSword,也称为冰刃或者简称IS,是由PJF出品的一款系统诊断、清除利器,软件下载:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip。它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于探查系统中的木马后门, 并进行相应的处理。IceSword 使用了大量新颖的内核技术,使得这些后门躲无所躲,是一款检查后门的好工具。IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限,其主要功能有:
(1)查看进程
查看包括运行进程的文件地址、各种隐藏的进程以及优先级;可以轻易杀掉用任务管理器、Processes xp等工具杀不掉的进程;用它还可以查看进程的线程、模块信息等。
(2)查看端口
类似于Cport、Active Port这类工具,显示当前本地程序打开的端口以及相应的应用程序地址、名字,包括使用了各种手段隐藏端口的工具。
(3)内核模块
加载到系统内和空间的PE模块,一般都是驱动程序(*.sys),可以看到各种已经加载的驱动,包括一些隐藏的驱动文件。
(4)启动组
可以查看Windows启动组里面的文件路径、名称以及文件等,缺点是无法对启动文件进行删除。
(5)服务
用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务以红色显示。提供对服务的操作,可以启动、停止或者禁用服务。
(6)查看SPI和BHO
SPI是服务提供接口,即所有Windows的网络作业都是通过这个接口发出和接收数据包的。BHO是浏览器的辅助插件,用户启动浏览器的时候,它就可以自动启动,弹出广告窗口等,冰刀提供对SPI和BHO模块的查看。
(7)查看SSDT (System Service Descriptor Table)
内核级后门有可能修改系统服务描述表,以截获系统中的服务函数调用,特别是一些老的rootkit。
(8)查看消息钩子
若在dll中使用SetWindowsHookEx设置一些全局钩子,系统会将其加载入使用user32的进程中,因而它也可被利用为无进程木马的进程注入手段。
(9)线程创建和线程终止监视
“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“监视进程终止”记录一个进程被其它进程Terminate的情况。
(10)注册表
IceSword中的“注册表”项主要用来查找被木马后门隐藏的注册项,它不受目前任何注册表隐藏手法的蒙蔽,可以查看注册表实际内容。
(11)文件
冰刀中的文件功能类似于资源管理器,与资源管理器相比具有反隐藏、反保护的功能;通过冰刀还可以直接拷贝system32\config\SAM文件,直接删除已经加载的驱动等。
在网络安全中,一个最基本的原则就是确认自己安全,包括一些入侵者在入侵成功后,它也需要对控制计算机进行安全检查,删除前人留在系统中的后门,对系统进行安全加固。下面使用冰刀1.22汉化版来对计算机进行安全检查,查杀木马等程序。
步骤1:检查进程。运行“冰刀1.22汉化版”后,单击其界面左边功能中的“进程”,冰刀会列出系统中所有的进程,其进程数显示的是正在运行的进程,选中“aswUpdSv.exe”右键单击,可以查看线程信息、模块信息、内存读写以及结束进程,如图1所示。
图1 检查进程
步骤2:查看端口。冰刀的查看端口功能非常强大,能够查看一些普通端口软件不能查看的隐藏端口。单击功能菜单下的“端口”,即可查看系统中的应用程序使用的协议、本地地址、远程地址、进程以及程序名称等信息,如图2所示,其中最关键的是本地地址、远程地址以及进程程序名称,通过这些信息来判断进程是否为木马程序进程。
图2查看端口
查看内核模块。内核模块主要用来检查Rootkit等驱动级别的木马程序,冰刀检查到有异常的驱动后会以红色显示。
步骤3:删除文件。木马程序即有可能采用进程保护等方式,防止和禁止用户中止进程,一般情况下很难删除这些DLL等文件,在冰刀可以很轻松的删除这些文件,在本案例中遇到一个BHO的木马程序插件,只知道该DLL肯定不是系统自带的,必须将其删除掉。在冰刀中单击“文件”模块,然后到BHO木马程序的当前目录,如图3所示,选中需要删除的DLL文件,右键单击,在弹出的菜单中单击“强制删除”,将该文件删除掉。
图3 删除BHO木马插件
小结
在本案例中仅仅介绍了其较经典的几个功能,它还有许多其它功能,读者朋友可以自行试验。推荐使用冰刀来结束进程、删除文件以及打开sam文件。