IceSword,也稱為冰刀或者冰刃,有些地址簡稱IS,是USTC的PJF出品的一款系統(tǒng)診斷、清除利器。
清除流氓軟件工具無數(shù),為什么稱之為第一利器呢,有如下的理由:
1)你是不是經(jīng)常有文件刪不掉?如CNNIC或者3721的文件?
2)是不是經(jīng)常有注冊(cè)表不讓你修改?如CNNIC的注冊(cè)表是它自動(dòng)保護(hù)起來的
3)是不是經(jīng)常有進(jìn)程殺不掉,提示“無法完成”?
4)是不是瀏覽器有N多的插件?
5)是不是有一些程序運(yùn)行的時(shí)候隱藏了進(jìn)程和端口?
6) 是不是有一些流氓軟件的文件在資源管理器下看都看不到?
1、絕大多數(shù)所謂的進(jìn)程工具都是利用Windows的Toolhlp32或psapi再或
ZwQuerySystemInformation系統(tǒng)調(diào)用(前二者最終也用到此調(diào)用)來編寫,隨便一個(gè)ApiHook就可輕輕松松干掉它們,更不用說一
些內(nèi)核級(jí)后門了;極少數(shù)工具利用內(nèi)核線程調(diào)度結(jié)構(gòu)來查詢進(jìn)程,這種方案需要硬編碼,不僅不同版本系統(tǒng)不同,打個(gè)補(bǔ)丁也可能需要升級(jí)程序,并且現(xiàn)在有人也提
出過防止此種查找的方法。而IceSword的進(jìn)程查找核心態(tài)方案是目前獨(dú)一無二的,并且充分考慮內(nèi)核后門可能的隱藏手段,目前可以查出所有隱藏進(jìn)程。
2、絕大多數(shù)工具查找進(jìn)程路徑名也是通過Toolhlp32、psapi,前者會(huì)調(diào)用
RtlDebug***函數(shù)向目標(biāo)注入遠(yuǎn)線程,后者會(huì)用調(diào)試api讀取目標(biāo)進(jìn)程內(nèi)存,本質(zhì)上都是對(duì)PEB的枚舉,通過修改PEB就輕易讓這些工具找不到北
了。而IceSword的核心態(tài)方案原原本本地將全路徑展示,運(yùn)行時(shí)剪切到其他路徑也會(huì)隨之顯示。
3、進(jìn)程dll模塊與2的情況也是一樣,利用PEB的其他工具會(huì)被輕易欺騙,而IceSword不會(huì)弄錯(cuò)(有極少數(shù)系統(tǒng)不支持,此時(shí)仍采用枚舉PEB)。
4、
IceSword的進(jìn)程殺除強(qiáng)大且方便(當(dāng)然也會(huì)有危險(xiǎn))。可輕易將選中的多個(gè)任意進(jìn)程一并殺除。當(dāng)然,說任意不確切,除去三個(gè):idle進(jìn)程、
System進(jìn)程、csrss進(jìn)程,原因就不詳述了。其余進(jìn)程可輕易殺死,當(dāng)然有些進(jìn)程(如winlogon)殺掉后系統(tǒng)就崩潰了。
5、對(duì)于端口工具,網(wǎng)上的確有很多,不過網(wǎng)上隱藏端口的方法也很多,那些方法對(duì)
IceSword可是完全行不通的。其實(shí)本想帶個(gè)防火墻動(dòng)態(tài)查找,不過不想弄得太臃腫。這里的端口是指windows的IPv4
Tcpip協(xié)議棧所屬的端口,第三方協(xié)議棧或IPv6棧不在此列。
目前一些流氓軟件采取的手段無所不用其極:線程注入,進(jìn)程隱藏,文件隱藏,驅(qū)動(dòng)保護(hù),普通用
戶想把文件給刪了或者找出進(jìn)程來,是非常困難的。有的是看到了,刪不掉,殺不掉,干著急,實(shí)在不行,還需要從另外的作系統(tǒng)去刪除文件。比如采取驅(qū)動(dòng)保護(hù)的
流氓軟件如CNNIC,雅虎助手之類,.sys驅(qū)動(dòng)加載的時(shí)候,它過濾了文件和注冊(cè)表作,直接返回一個(gè)true,Windows提示文件刪了,但一看,它
還在那里。象一些文件刪除工具如unclocker都無效。IceSword是目前所知唯一可以直接刪除這類已經(jīng)加載的驅(qū)動(dòng)和采取注冊(cè)表保護(hù)的工具。象清
除CNNIC這類流氓軟件,不需要重啟也可以完成了。
IS采取了很多新穎的、內(nèi)核級(jí)的方法和手段,關(guān)于它的技術(shù)細(xì)節(jié)不在本文討論之列,下面主要從使用者角度講一下它的主要功能:
■查看進(jìn)程
包括運(yùn)行進(jìn)程的文件地址、各種隱藏的進(jìn)程以及優(yōu)先級(jí)。用它也可以輕易殺掉用任務(wù)管理器、Procexp等工具殺不掉的進(jìn)程。還可以查看進(jìn)程的線程、模塊信息,結(jié)束線程等。
■查看端口
類似于cport、ActivePort這類工具,顯示當(dāng)前本地打開的端品以及相應(yīng)的應(yīng)用程序地址、名字。包括使用了各種手段隱藏端口的工具,在它下面,都一覽無余。
■內(nèi)核模塊 加載到系統(tǒng)內(nèi)和空間的PE模塊,一般都是驅(qū)動(dòng)程序*.sys,可以看到各種已經(jīng)加載的驅(qū)動(dòng)。包括一些隱藏的驅(qū)動(dòng)文件,如IS自身的IsDrv118.sys,這個(gè)在資源管理器里是看不見的。
■啟動(dòng)組
Windows啟動(dòng)組里面的相關(guān)方式,這個(gè)比較容易理解了。不過可惜的是沒有提示刪除功能,只能查看。
■服務(wù)
用于查看系統(tǒng)中的被隱藏的或未隱藏的服務(wù),隱藏的服務(wù)以紅色顯示。提供對(duì)服務(wù)的作如啟動(dòng),停止,禁用等。
■SPI和BHO
這兩個(gè)是目前流氓軟件越來越看中的地方。SPI是服務(wù)提供接口,即所有Windows的網(wǎng)絡(luò)
作都是通過這個(gè)接口發(fā)出和接收數(shù)據(jù)包的。很多流氓軟件把這個(gè).dll替換掉,這樣就可以監(jiān)視所有用戶訪問網(wǎng)絡(luò)的包,可以針對(duì)性投放一些廣告。如果不清楚的
情況下,把這個(gè).dll刪掉,會(huì)造成網(wǎng)絡(luò)無法使用,上不了網(wǎng)。LSPFix等工具就是針對(duì)這個(gè)功能的。BHO就更不用說了,瀏覽器的輔助插件,用戶啟動(dòng)瀏
覽器的時(shí)候,它就可以自動(dòng)啟動(dòng),彈出廣告窗口什么的。這兩項(xiàng)僅提供查看的功能。
■SSDT (System Service Descriptor Table)
系統(tǒng)服務(wù)描述表,內(nèi)核級(jí)后門有可能修改這個(gè)服務(wù)表,以截獲你系統(tǒng)的服務(wù)函數(shù)調(diào)用,特別是一些老的rootkit,像上面提到的ntrootkit通過這種hook實(shí)現(xiàn)注冊(cè)表、文件的隱藏。被修改的值以紅色顯示,當(dāng)然有些安全程序也會(huì)修改,比如regmon。
■消息鉤子
若在dll中使用SetWindowsHookEx設(shè)置一全局鉤子,系統(tǒng)會(huì)將其加載入使用user32的進(jìn)程中,因而它也可被利用為無進(jìn)程木馬的進(jìn)程注入手段。
■線程創(chuàng)建和線程終止監(jiān)視
“監(jiān)視進(jìn)線程創(chuàng)建”將IceSword運(yùn)行期間的進(jìn)線程創(chuàng)建調(diào)用記錄在循環(huán)緩沖里,“監(jiān)視進(jìn)
程終止”記錄一個(gè)進(jìn)程被其它進(jìn)程Terminate的情況。舉例說明作用:一個(gè)木馬或病毒進(jìn)程運(yùn)行起來時(shí)查看有沒有殺毒程序如norton的進(jìn)程,有則殺
之,若IceSword正在運(yùn)行,這個(gè)作就被記錄下來,你可以查到是哪個(gè)進(jìn)程做的事,因而可以發(fā)現(xiàn)木馬或病毒進(jìn)程并結(jié)束之。再如:一個(gè)木馬或病毒采用多線
程保護(hù)技術(shù),你發(fā)現(xiàn)一個(gè)異常進(jìn)程后結(jié)束了,一會(huì)兒它又起來了,你可用IceSword發(fā)現(xiàn)是什么線程又創(chuàng)建了這個(gè)進(jìn)程,把它們一并殺除。中途可能會(huì)用到
“設(shè)置”菜單項(xiàng):在設(shè)置對(duì)話框中選中“禁止進(jìn)線程創(chuàng)建”,此時(shí)系統(tǒng)不能創(chuàng)建進(jìn)程或者線程,你安穩(wěn)的殺除可疑進(jìn)線程后,再取消禁止就可以了。
■注冊(cè)表Regedit有什么不足?
說起Regedit的不足就太多了,比如它的名稱長度限制,建一個(gè)全路徑名長大于255字節(jié)
的子項(xiàng)看看(編程或用其他工具,比如
regedt32),此項(xiàng)和位于它后面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本打不開。
IceSword中添加注冊(cè)表編輯并不是為了解決上面的問題,因?yàn)橐呀?jīng)有了很多很好的工具可以代替Regedit。IceSword中的“注冊(cè)表”項(xiàng)是為了查找被木馬后門隱藏的注冊(cè)項(xiàng)而寫的,它不受目前任何注冊(cè)表隱藏手法的蒙蔽,真正可靠的讓你看到注冊(cè)表實(shí)際內(nèi)容。
如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個(gè)鍵值,就是通過它來加載cndport.sys這個(gè)驅(qū)動(dòng)文件的。通過Regedit你刪除會(huì)直接出錯(cuò),根本無法刪除。而用IS就可以輕易干掉。
■文件作
IS的文件作有點(diǎn)類似于資源管理器,雖然作起來沒有那么方便,但是它的獨(dú)到功能在于具備反隱
藏、反保護(hù)的功能。還有對(duì)安全的副作用是本來
system32\config\SAM等文件是不能拷貝也不能打開的,但I(xiàn)ceSword是可以直接拷貝的。類似于已經(jīng)加載的驅(qū)動(dòng),如CNNIC的
cdnport.sys這個(gè)文件,目前只有IS可以直接把它刪除,其它無論什么方式,都無法破除驅(qū)動(dòng)自身的保護(hù)。
即使對(duì)大多數(shù)有用的unlocker,CopyLock、KillBox都是無效的。利用
Windows的系統(tǒng)還沒有完全加載的刪除機(jī)制,通過在
HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager下增加PendingFileRenameOperations,這個(gè)是所有刪除頑固文件工具的最后一招,但它也被驅(qū)動(dòng)保護(hù)變得無效了。以
前的情況就是需要重啟啟動(dòng)到另外一個(gè)作系統(tǒng)下刪除。
----那幫做流氓軟件的可真是手段無所不用其及。
IceSword內(nèi)部功能是十分強(qiáng)大的。可能您也用過很多類似功能的軟件,比如一些進(jìn)程工
具、端口工具,但是現(xiàn)在的系統(tǒng)級(jí)后門功能越來越強(qiáng),一般都可輕而易舉地隱藏進(jìn)程、端口、注冊(cè)表、文件信息,一般的工具根本無法發(fā)現(xiàn)這些“幕后黑手”。
IceSword使用大量新穎的內(nèi)核技術(shù),使得這些后門躲無所躲.
IceSword大量采用新穎技術(shù),有別于其他普通進(jìn)程工具,比如IceSword就可以結(jié)
束除Idle進(jìn)程、System進(jìn)程、csrss進(jìn)程這三個(gè)進(jìn)程外的所有進(jìn)程,就這一點(diǎn),其他同類軟件就是做不到的。當(dāng)然有些進(jìn)程也不是隨便可以結(jié)束的,
如系統(tǒng)的winlogon.exe進(jìn)程,一旦殺掉后系統(tǒng)就崩潰了,這些也需要注意。