使用“冰刀”进行安全检查 [tr][td]
5 ?& W t+ D8 Q+ g4 Y! y
通过本案例可以学习到:
9 L) o0 X$ z% g
(1)了解冰刀(IceSword)的相关知识
# V z, ^2 _- [5 g (2)使用冰刀来对计算机进行安全检查
" z/ A) h% q& o4 V$ K$ T9 T) c 冰刀的英文名称为IceSword,也称为冰刃或者简称IS,是由PJF出品的一款系统诊断、清除利器,软件下载:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip。它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于探查系统中的木马后门, 并进行相应的处理。IceSword 使用了大量新颖的内核技术,使得这些后门躲无所躲,是一款检查后门的好工具。IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限,其主要功能有:
' ^* ?5 g! a! w; ~, y
(1)
查看进程& Q. ]! ]! i1 j
查看包括运行进程的文件地址、各种隐藏的进程以及优先级;可以轻易杀掉用任务管理器、Processes xp等工具杀不掉的进程;用它还可以查看进程的线程、模块信息等。
* Z' p" |2 W, u# b+ O" Z
(2)
查看端口% W( [9 i& N0 U- G8 y- z6 R
类似于Cport、Active Port这类工具,显示当前本地程序打开的端口以及相应的应用程序地址、名字,包括使用了各种手段隐藏端口的工具。
1 q4 B1 O, q8 {8 p) o+ N (3)
内核模块
Q# r3 c, ]: Y% |+ k% b 加载到系统内和空间的PE模块,一般都是驱动程序(*.sys),可以看到各种已经加载的驱动,包括一些隐藏的驱动文件。
) p7 L, @' Y# c: J$ N. E, N6 f (4)
启动组
. A4 U1 z5 k% Q" w/ m9 _ 可以查看Windows启动组里面的文件路径、名称以及文件等,缺点是无法对启动文件进行删除。
* N" h. o$ A, A (5)
服务. I# }' ? d# C. }' N5 o0 p
用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务以红Se显示。提供对服务的操作,可以启动、停止或者禁用服务。
. c" X- y4 X& I" S: M (6)
查看SPI和BHO
8 A E. h0 D6 E! P2 v2 ~2 i! K SPI是服务提供接口,即所有Windows的网络作业都是通过这个接口发出和接收数据包的。BHO是浏览器的辅助插件,用户启动浏览器的时候,它就可以自动启动,弹出广告窗口等,冰刀提供对SPI和BHO模块的查看。
: s: ?) G( R: } Z9 Z
(7)
查看SSDT (System Service Descriptor Table)5 |# t$ E6 n7 _1 L0 G/ A
内核级后门有可能修改系统服务描述表,以截获系统中的服务函数调用,特别是一些老的rootkit。
9 p+ W1 y( y+ E' C
(8)
查看消息钩子
U5 N9 l7 ?( K; |9 F3 h 若在dll中使用SetWindowsHookEx设置一些全局钩子,系统会将其加载入使用user32的进程中,因而它也可被利用为无进程木马的进程注入手段。
" Z$ B; h0 J2 s9 |; i/ m# l (9)
线程创建和线程终止监视+ O0 Y0 `: ]: X( z K' v
“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“监视进程终止”记录一个进程被其它进程Terminate的情况。
8 y* h$ e8 B, o. y
(10)
注册表
- W2 X: ^, @. B) W' z9 ] IceSword中的“注册表”项主要用来查找被木马后门隐藏的注册项,它不受目前任何注册表隐藏手法的蒙蔽,可以查看注册表实际内容。
# v! M- \4 g, I9 O (11)
文件
5 }2 {2 [* P( K 冰刀中的文件功能类似于资源管理器,与资源管理器相比具有反隐藏、反保护的功能;通过冰刀还可以直接拷贝system32\config\SAM文件,直接删除已经加载的驱动等。
/ x' d4 ]' }# m: x! j4 H' g$ \ 在网络安全中,一个最基本的原则就是确认自己安全,包括一些入侵者在入侵成功后,它也需要对控制计算机进行安全检查,删除前人留在系统中的后门,对系统进行安全加固。下面使用冰刀1.22汉化版来对计算机进行安全检查,查杀木马等程序。
C3 D P, ^' i9 h5 |& z0 L5 Q 步骤1:检查进程。运行“冰刀1.22汉化版”后,单击其界面左边功能中的“进程”,冰刀会列出系统中所有的进程,其进程数显示的是正在运行的进程,选中“aswUpdSv.exe”右键单击,可以查看线程信息、模块信息、内存读写以及结束进程,
; j" O% Z. A) i0 [
步骤2:查看端口。冰刀的查看端口功能非常强大,能够查看一些普通端口软件不能查看的隐藏端口。单击功能菜单下的“端口”,即可查看系统中的应用程序使用的协议、本地地址、远程地址、进程以及程序名称等信息,如图2所示,其中最关键的是本地地址、远程地址以及进程程序名称,通过这些信息来判断进程是否为木马程序进程。
; N X m2 q: ^" Q2 u
4 U8 O5 u [, w$ a查看内核模块。内核模块主要用来检查Rootkit等驱动级别的木马程序,冰刀检查到有异常的驱动后会以红Se显示。
5 o1 r5 P) f. x# ^* T. B4 g
步骤3:删除文件。木马程序即有可能采用进程保护等方式,防止和禁止用户中止进程,一般情况下很难删除这些DLL等文件,在冰刀可以很轻松的删除这些文件,在本案例中遇到一个BHO的木马程序插件,只知道该DLL肯定不是系统自带的,必须将其删除掉。在冰刀中单击“文件”模块,然后到BHO木马程序的当前目录,如图3所示,选中需要删除的DLL文件,右键单击,在弹出的菜单中单击“强制删除”,将该文件删除掉。
5 t3 z- I0 T' ^' h
, j# u9 c! b( V* U, e) p
小结2 B9 P* |# l' U7 B/ _* O
在本案例中仅仅介绍了其较经典的几个功能,它还有许多其它功能,大家可以自行试验。推荐使用冰刀来结束进程、删除文件以及打开sam文件。
' @2 p: ]6 ]9 w
7 i9 y: b7 c. h+ D
发表于 2009-7-1 14:10:27
微信登陆 
变色卡
千斤顶
