網絡安全 > 冰刃
目錄
冰刃 Bingren  

No. 2
  明亮如冰的鋒刃。
冰棱 Bing Leng
  冰棱。 前蜀 韋莊 《三堂早春》詩:“池邊冰刃暖初落,山上雪稜寒未銷。”
No. 4
  冰刃icesword 1.22 簡介
  添加的小功能有:
  1、進程欄裏的模塊搜索(find modules)
  2、註册表欄裏的搜索功能(find、find next)
  3、文件欄裏的搜索功能,分別是ads的枚舉(包括或不包括子目錄)、普通文件查找(find files)
  上面是要求最多的,確實對查找惡意軟件有幫助
  4、bho欄的刪除、ssdt欄的恢復(restore)
  這項算是“雞肋”項吧,可加可不加。
  5、advanced scan:第三步的scan module提供給一些高級用戶使用,一般用戶不要隨便restore,特別不要restore第一項顯示為"-----"的條目,因為它們或是操作係統自己修改項、或是icesword修改項,restore後會使係統崩潰或是icesword不能正常工作。最早的icesword也會自行restore一些內核執行體、文件係統的惡意inline hook,不過並未提示用戶,現在覺得像svv那樣讓高級用戶自行分析可能會有幫助。另外裏面的一些項會有重複(iat hook與inline modified hook),偷懶不檢查了,重複restore並沒有太大關係。還有掃描時不要做其它事,請耐心等待。
  有朋友建議應該對找到的結果多做一些分析,判斷出修改後代碼的意義,這當然不錯,不過要完美的結果工作很煩瑣——比如我可以用一條指令跳轉,也可以用十條或更多冗餘指令做同樣的工作——而目前沒有時間完善,所以衹有jmp/push+ret的判斷。提議下對高級用戶可選的替代方案:記住修改的地址,使用進程欄裏的“內存讀寫”中的“反匯編”功能,就先請用戶人工分析一下吧,呵呵。
  6、隱藏簽名項(view->hide signed items)。在菜單中選中後對進程、模塊列舉、驅動、服務四欄有作用。要註意選中後刷新那四欄會很慢,要耐心等。運行過程中係統相關函數會主動連接外界以獲取一些信息(比如去crl.microsoft.com獲取證書吊銷列表),一般來說,可以用防火墻禁之,所以選中後發現is有連接也不必奇怪,m$搞的,呵呵。
  7、其他就是內部核心功能的加強了,零零碎碎有挺多,就不細說了。使用時請觀察下view->init state,有不是“ok”的說明初始化未完成,請report一下。
  icesword是一斬斷黑手的利刃(所以取這土名,有點搞e,呵呵)。它適用於windows 2000/xp/2003/vista操作係統,用於查探係統中的幕後黑手(木馬後門)並作出處理,當然使用它需要用戶有一些操作係統的知識。
  在對軟件做講解之前,首先說明第一註意事項 :此程序運行時不要激活內核調試器(如softice),否則係統可能即刻崩潰。另外使用前請保存好您的數據,以防萬一未知的bug帶來損失。
  icesword目前衹為使用32位的x86兼容cpu的係統設計,另外運行icesword需要管理員權限。
  如果您使用過老版本,請一定註意,使用新版本前要重新啓動係統,不要交替使用二者。
  icesword內部功能是十分強大的。可能您也用過很多類似功能的軟件,比如一些進程工具、端口工具,但是現在的係統級後門功能越來越強,一般都可輕而易舉地隱藏進程、端口、註册表、文件信息,一般的工具根本無法發現這些“幕後黑手”。icesword使用大量新穎的內核技術,使得這些後門躲無所躲。
  如何退出icesword:直接關閉,若你要防止進程被結束時,需要以命令行形式輸入:icesword.exe /c,此時需要ctrl+alt+d才能關閉(使用三鍵前先按一下任意鍵)。
  如果最小化到托盤時托盤圖標又消失了:此時可以使用ctrl+alt+s將icesword主界面喚出。因為偷懶沒有重繪圖標,將就用吧^_^。
  您無須為此軟件付費,但如果您使用時發現了什麽bug,請mail to me:jfpan20000@sina.com,十分感謝。
  更新說明:
  1.20:(1)恢復了插件功能,並提供一個文件註册表的小插件,詳見filereg.chm;(2)對核心部分作了些許改動,界面部分僅文件菜單有一點變化。
  1.20(subver 111e3):添加對32位版本vista(ntbuildnumber:6000)的支持。
  1.22:(1)增加普通文件、ads、註册表、模塊的搜索功能;(2)隱藏簽名項;(3)添加模塊的hook掃描;(4)核心功能的加強。
  進程
  欲察看當前進程,請點擊“進程”按鈕,在右部列出的進程中,隱藏的進程會以紅色醒目地標記出,以方便查找隱藏自身的係統級後門。1.16中進程欄衹納入基本功能,欲使用一些擴展的隱藏進程功能,請使用係統檢查。
  右鍵菜單:
  1、刷新列表:請再次點擊“進程”按鈕,或點擊右鍵,選擇“刷新列表”。
  2、結束進程:點擊左鍵選中一項,或按住ctrl鍵選擇多項,然後使用右鍵菜單的“結束進程”將它們結束掉。
  3、綫程信息:在右鍵菜單中選擇“綫程信息”。
  註意其中的“強製終止”是危險的操作 ,對一個綫程衹應操作一次,否則係統可能崩潰。為了盡量通用,裏面註釋掉了大量代碼,因而是不完全的。不過可以應付一些用戶的要求了:終止係統綫程與在核心態死循環的綫程,雖然可能仍然能看到它們的存在,那衹是一些殘留。
  4、模塊信息:在右鍵菜單中選擇“模塊信息”。
  “卸除”對於係統dll是無效的,你可以使用“強製解除”,不過強製解除係統dll必然會使進程挂掉。強製解除後在使用peb來查詢模塊的工具中仍可看到被解除的dll,而實際上dll已經被卸掉了。這是因為我懶得做善後處理了——修改peb的內容。
  5、內存讀寫:在右鍵菜單中選擇“內存讀寫”。
  操作時首先填入讀的起始地址和長度,點擊“讀內存”,如果該進程內的指定地址有效,則讀取並顯示,您可以在編輯框中修改後點擊“寫內存”寫入選中的進程。註意此刻的提示框會建議您選“否”即不破除cow機製,在您不十分明白cow之前,請選擇“否”,否則可能寫入錯誤的地址給係統帶來錯誤以至崩潰。
  讀出內容後,可以點擊“反匯編”查看反匯編值,某些木馬修改函數入口來hook函數,可由反匯編值分析判斷。
  端口
  此欄的功能是進程端口關聯。它的前四項與netstat -an類似,後兩項是打開該端口的進程。
  在“進程id”一欄中,出現0值是指該端口已關閉,處於“time_wait”狀態,由於2000上使用技術xp/2003有所不同,所以前者與後二者上的顯示可能些微差別。icesword破除係統級後門的端口隱藏,衹要進程使用windows係統功能打開了端口,就逃不出查找。不過註意因為偷懶,未將隱藏的端口像進程那樣紅色顯示,所以您需要自己對照。
  內核模塊:即當前係統加載的核心模塊比如驅動程序。
  啓動組:是兩個run子鍵的內容,懶得寫操作了,請自行更改註册表。
  服務:用於查看係統中的被隱藏的或未隱藏的服務,隱藏的服務以紅色顯示,註意在操作時可能有的服務耗時較長,請稍後手動刷新幾次。
  spi、bho:不多說了。
  ssdt:即係統服務派發表,其中被修改項會紅色顯示。
  消息鈎子:枚舉係統中所註册的消息鈎子(通過setwindowshookex等),若鈎子函數在exe模塊中則是實際的地址,若在dll模塊中則是相對於dll基址的偏移,具體請自行判斷吧(一般地址值小於0x400000的就是全局鈎子)。
  監視進綫程創建:顧名思義,進綫程的創建紀錄保存在以循環緩衝裏,要icesword運行期間纔進行紀錄,您可以用它發現木馬後門創建了什麽進程和綫程,尤其是遠綫程。紅色顯示的即是進程創建(目標進程tid為0時為進程創建,緊接其後的紅色項是它的主綫程的創建)和遠綫程創建(應該註意),須註意的是,此欄衹顯示最新的1024項內容。
  監視進程終止:一般衹是監視一個進程結束另一個進程,進程結束自身一般不紀錄。
  係統檢查:1.22中有更新
  註册表
  與regedit用法類似,註意它有權限打開與修改任何子鍵,使用時要小心,不要誤修改(比如sam子鍵)。
  子鍵的刪除、子鍵下項的創建都是在左邊子鍵上點擊右鍵,在菜單中選擇即可,而右邊各項上點擊則出現“刪除所選”的菜單,刪除選中的一項或多項。在右邊雙擊一項則出現修改對話框。
  文件
  文件操作與資源管理器類似,但衹提供文件刪除、復製的功能。其特點還是防止文件隱藏,同時可以修改已打開文件(通過復製功能,將復製的目標文件指定為那個已打開文件即可)。
  菜單
  設置:此欄中各項意義與其名稱一致,具體可見faq。
  轉儲:“gdt/idt”在當前目錄保存gdt和idt的內容入gdt.txt、idt.txt;
  “列表”將當前list(僅對前5項,即:進程、端口、內核模塊、啓動組、服務)中的某些列內容保存在用戶指定的log文件中。比如,要保存進程路徑名入log文件,先點擊“進程”按鈕,再選擇“列表”菜單,指定文件後確定即可。
  托盤切換:將icesword最小化到托盤或反之。
  其餘請參考faq
  faq
  問:現在進程端口工具很多,什麽要使用icesword?
  答:1、絶大多數所謂的進程工具都是利用windows的toolhlp32或psapi再或zwquerysysteminformation係統調用(前二者最終也用到此調用)來編寫,隨便一個apihook就可輕輕鬆鬆幹掉它們,更不用說一些內核級後門了;極少數工具利用內核綫程調度結構來查詢進程,這種方案需要硬編碼,不僅不同版本係統不同,打個補丁也可能需要升級程序,並且現在有人也提出過防止此種查找的方法。而icesword的進程查找核心態方案是目前獨一無二的,並且充分考慮內核後門可能的隱藏手段,目前可以查出所有隱藏進程。
  2、絶大多數工具查找進程路徑名也是通過toolhlp32、psapi,前者會調用rtldebug***函數嚮目標註入遠綫程,後者會用調試api讀取目標進程內存,本質上都是對peb的枚舉,通過修改peb就輕易讓這些工具找不到北了。而icesword的核心態方案原原本本地將全路徑展示,運行時剪切到其他路徑也會隨之顯示。
  3、進程dll模塊與2的情況也是一樣,利用peb的其他工具會被輕易欺騙,而icesword不會弄錯(有極少數係統不支持,此時仍采用枚舉peb)。
  4、icesword的進程殺除強大且方便(當然也會有危險)。可輕易將選中的多個任意進程一並殺除。當然,說任意不確切,除去三個:idle進程、system進程、csrss進程,原因就不詳述了。其餘進程可輕易殺死,當然有些進程(如winlogon)殺掉後係統就崩潰了。
  5、對於端口工具,網上的確有很多,不過網上隱藏端口的方法也很多,那些方法對icesword可是完全行不通的。其實本想帶個防火墻動態查找,不過不想弄得太臃腫。這裏的端口是指windows的ipv4 tcpip協議棧所屬的端口,第三方協議棧或ipv6棧不在此列。
  6、先說這些了...
  問:windows自帶的服務工具強大且方便,icesowrd有什麽更好的特點呢?
  答:因為比較懶,界面使用上的確沒它來的好,不過icesword的服務功能主要是查看木馬服務的,使用還是很方便的。舉個例子,順便談一類木馬的查找:svchost是一些共享進程服務的宿主,有些木馬就以dll存在,依靠svchost運作,如何找出它們呢?首先看進程一欄,發現svchost過多,記住它們的pid,到服務一欄,就可找到pid對應的服務項,配合註册表查看它的dll文件路徑(由服務項的第一欄所列名稱到註册表的services子鍵下找對應名稱的子鍵),根據它是不是慣常的服務項很容易發現異常項,剩下的工作就是停止任務或結束進程、刪除文件、恢復註册表之類的了,當然過程中需要你對服務有一般的知識。
  問:那麽什麽樣的木馬後門纔會隱藏進程註册表文件的?用icesword又如何查找呢?
  答:比如近來很流行且開源(容易出變種)的hxdef就是這麽一個後門。用icesword可以方便清除,你直接就可在進程欄看到紅色顯示的hxdef100進程,同時也可以在服務欄中看到紅色顯示的服務項,順便一說,在註册表和文件欄裏你都可發現它們,若木馬正在反嚮連接,你在端口欄也可看到。殺除它麽,首先由進程欄得後門程序全路徑,結束進程,將後門目錄刪除,刪除註册表中的服務對應項...這裏衹是簡單說說,請你自行學習如何有效利用icesword吧。
  問:“內核模塊”是什麽?
  答:加載到係統內和空間的pe模塊,主要是驅動程序*.sys,一般核心態後們作為核心驅動存在,比如說某種rootkit加載_root_.sys,前面提到的hxdef也加載了hxdefdrv.sys,你可以在此欄中看到。
  問:“spi”與“bho”又是什麽?
  答:spi欄列舉出係統中的網絡服務提供者,因為它有可能被用來做無進程木馬,註意“dll路徑”,正常係統衹有兩個不同dll(當然協議比較多)。bho是ie的插件,全名browser help objects,木馬以這種形式存在的話,用戶打開網頁即會激活木馬。
  問:“ssdt”有何用?
  答:內核級後門有可能修改這個服務表,以截獲你係統的服務函數調用,特別是一些老的rootkit,像上面提到的ntrootkit通過這種hook實現註册表、文件的隱藏。被修改的值以紅色顯示,當然有些安全程序也會修改,比如regmon,所以不要見到紅色就慌張。
  問:“消息鈎子”與木馬有什麽關係?
  答:若在dll中使用setwindowshookex設置一全局鈎子,係統會將其加載入使用user32的進程中,因而它也可被利用為無進程木馬的進程註入手段。
  問:最後兩個監視項有什麽用處?
  答:“監視進綫程創建”將icesword運行期間的進綫程創建調用記錄在循環緩衝裏,“監視進程終止”記錄一個進程被其它進程terminate的情況。舉例說明作用:一個木馬或病毒進程運行起來時查看有沒有殺毒程序如norton的進程,有則殺之,若icesword正在運行,這個操作就被記錄下來,你可以查到是哪個進程做的事,因而可以發現木馬或病毒進程並結束之。再如:一個木馬或病毒采用多綫程保護技術,你發現一個異常進程後結束了,一會兒它又起來了,你可用icesword發現是什麽綫程又創建了這個進程,把它們一並殺除。中途可能會用到“設置”菜單項:在設置對話框中選中“禁止進綫程創建”,此時係統不能創建進程或者綫程,你安穩的殺除可疑進綫程後,再取消禁止就可以了。
  問:icesword的註册表項有什麽特點?相對來說,regedit有什麽不足嗎?
  答:說起regedit的不足就太多了,比如它的名稱長度限製,建一個全路徑名長大於255字節的子項看看(編程或用其他工具,比如regedt32),此項和位於它後面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本打不開。
  當然icesword中添加註册表編輯並不是為瞭解决上面的問題,因為已經有了很多很好的工具可以代替regedit。icesword中的“註册表”項是為了查找被木馬後門隱藏的註册項而寫的,它不受目前任何註册表隱藏手法的蒙蔽,真正可靠的讓你看到註册表實際內容。
  問:那麽文件項又有什麽特點呢?
  答:同樣,具備反隱藏、反保護的功能。當然就有一些副作用,文件保護工具(移走文件和文件加密類除外)在它面前就無效,如果你的機器與人共用,那麽不希望別人看到的文件就采用加密處理吧,以前的文件保護(防讀或隱藏)是沒有用的。還有對安全的副作用是本來system32configsam等文件是不能拷貝也不能打開的,但icesword是可以直接拷貝的。不過衹有管理員能運行icesword。最後說一個小技巧:用復製來改寫文件。對一個被非共享打開的文件、或一個正運行的程序文件(比如木馬),你想改掉它的內容(比如想嚮木馬程序文件寫入垃圾數據使它重啓後無法運行),那麽請選中一個文件(內含你想修改的內容),選“復製”菜單,將目標文件欄中添上你欲修改掉的文件(木馬)路徑名,確定後前者的內容就寫入後者(木馬)從頭開始的位置。
  最後提醒一句:每次開機icesword衹第一次運行確認管理員權限,所以管理員運行程序後,如果要交付機器給低權限用戶使用,應該先重啓機器,否則可能為低權限用戶利用。
  問:gdt/idt的轉儲文件裏有什麽內容?
  答:gdt.log內保存有係統全局描述符表的內容,idt.log則包含中斷描述符表的內容。如果有後門程序修改它,建立了調用門或中斷門,很容易被發現。
  問:轉儲列表是什麽意思?
  答:即將顯示在當前列表視中的部分內容存入指定文件,比如轉儲係統內所有進程,放入網上請人幫忙診斷。不過意義不大,icesword編寫前已假定使用者有一定安全知識,可能不需要這類功能。
  問:文件菜單中“重啓並監視”有何用處,如何使用?
  答:因為icesword設計為盡量不在係統上留下什麽安裝痕跡,不過這就不方便監視開機就自啓的程序。比如,一個程序運行後嚮explorer等進程遠綫程註入,再結束自身,這樣查進程就不大方便了,因為僅有綫程存在。這時,就可以使用“重啓並監視”監視係統啓動時的所有進綫程創建,可輕易發現遠綫程註入。
  問:“創建進程規則”和“創建綫程規則”是什麽意思?
  答:它們用來設定創建進綫程時的規則。其中要註意的是:總規則是指允許還是禁止滿足該條規則所有條款的進綫程創建事件;一條規則中的條款間的關係是與關係,即同時滿足纔算匹配這條規則;“規則號”是從零開始的,假設當前有n條規則,添加規則時輸入零規則號即代表在隊頭插入,輸入n規則號則在隊尾插入;如果前面一條規則已經匹配,那麽所有後面的規則就忽略掉了,係統直接允許或禁止這次創建操作。
  問:插件有何用處?
  答:可以方便地擴充功能而不升級程序,以後可能開放一些接口給用戶自己定製。1.06正式版暫時取消了,因為用戶反饋並不是很有用。
  問:協件有何用處?
  答:插件的取代品。時間有限,沒有怎麽測試,若覺得不安全,可以在“設置”菜單禁用之。具體見頭文件和示例程序。ishelp是個小玩具型的協件,提供輔助功能。需要註意的是,協件的運行需要icesword的支持(icesword通過進程間通信提供服務)。
QQ飛車中的冰刃賽車
  級別:A級賽車
  1.技術統計
  直綫最高時速 219km/h冰刃賽車圖
  0-100km/h加速用時 1.421 S
  0-180km/h加速用時 3.669 S
  車身尺寸 1.64x0.92x0.41M
  車身重量 1288 Kg
  最小轉彎半徑 3.53 M
  高速轉彎半徑 7.41 M
  轉嚮失控速度 187km/h
  漂移滑動摩擦係數 2.6
  漂移轉嚮係數 3.1
  小噴動力 7651 N
  小噴持續時間 0.65 S
  N2O噴射動力(單人) 7404 N
  N2O噴射持續時間(單人) 3.20 S
  N2O噴射動力(組隊) 7650.8 N
  N2O噴射持續時間(組隊) 4.2 S
  N2O集氣係數 3.6
  2.車身設計
  整個車頭猶如“冰刃”般片段剛強度金屬構成,車身由主色係銀灰,搭配火紅及明黃色,更顯皇室風采。
  兩個斜三角車頭燈設計帥氣十足。車尾的設計恰似一個小型飛行器,充滿霸氣。擾流板尾翼如刀似刃,鋒芒必現,
  前引擎蓋由鋒利的鋼板橫住,猶如上古巨獸擇人而嗜。
  3.動力係統
  巨大的後輪配合強大的四噴口,提供源源不斷的動力,長時間的持續加速在直綫賽道上媲美所有賽車,
  獨特的尾部設計使賽車無論漂移還是過彎都展現出超強穩定性,強大的抗擊打能力和穩定的抓地力使這款賽車成為焦點。
  提速迅猛,猶如尖刀般衝海破浪,劃開黑暗再現光明。
英文解釋
  1. :  Bingren
相關詞
dllwindows諾頓dmserver係統工具