使用“冰刀”進(jìn)行安全檢查

通過本案例可以學(xué)習(xí)到：

　　(1)了解冰刀(IceSword)的相關(guān)知識

　　(2)使用冰刀來對計算機(jī)進(jìn)行安全檢查

　　冰刀的英文名稱為IceSword， 也稱為冰刃或者簡稱IS， 是由PJF出品的一款系統(tǒng)診斷、清除利器， 軟件下載：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip。 它適用于Windows 2000/XP/2003 操作系統(tǒng)， 其內(nèi)部功能是十分強大， 用于探查系統(tǒng)中的木馬后門， 并進(jìn)行相應(yīng)的處理。 IceSword 使用了大量新穎的內(nèi)核技術(shù)， 使得這些后門躲無所躲， 是一款檢查后門的好工具。 IceSword目前只為使用32位的x86兼容CPU的系統(tǒng)設(shè)計， 另外運行IceSword需要管理員權(quán)限， 其主要功能有：

　　(1)查看進(jìn)程

　　查看包括運行進(jìn)程的文件地址、各種隱藏的進(jìn)程以及優(yōu)先級;可以輕易殺掉用任務(wù)管理器、Processes xp等工具殺不掉的進(jìn)程;用它還可以查看進(jìn)程的線程、模塊信息等。

　　(2)查看端口

　　類似于Cport、Active Port這類工具， 顯示當(dāng)前本地程序打開的端口以及相應(yīng)的應(yīng)用程序地址、名字， 包括使用了各種手段隱藏端口的工具。

　　(3)內(nèi)核模塊

　　加載到系統(tǒng)內(nèi)和空間的PE模塊， 一般都是驅(qū)動程序(*.sys)， 可以看到各種已經(jīng)加載的驅(qū)動， 包括一些隱藏的驅(qū)動文件。

　　(4)啟動組

　　可以查看Windows啟動組里面的文件路徑、名稱以及文件等， 缺點是無法對啟動文件進(jìn)行刪除。

　　(5)服務(wù)

　　用于查看系統(tǒng)中的被隱藏的或未隱藏的服務(wù)， 隱藏的服務(wù)以紅色顯示。 提供對服務(wù)的操作， 可以啟動、停止或者禁用服務(wù)。

　　(6)查看SPI和BHO

　　SPI是服務(wù)提供接口， 即所有Windows的網(wǎng)絡(luò)作業(yè)都是通過這個接口發(fā)出和接收數(shù)據(jù)包的。 BHO是瀏覽器的輔助插件， 用戶啟動瀏覽器的時候， 它就可以自動啟動， 彈出廣告窗口等， 冰刀提供對SPI和BHO模塊的查看。

　　(7)查看SSDT (System Service Descriptor Table)

　　內(nèi)核級后門有可能修改系統(tǒng)服務(wù)描述表， 以截獲系統(tǒng)中的服務(wù)函數(shù)調(diào)用， 特別是一些老的rootkit。

　　(8)查看消息鉤子

　　若在dll中使用SetWindowsHookEx設(shè)置一些全局鉤子， 系統(tǒng)會將其加載入使用user32的進(jìn)程中， 因而它也可被利用為無進(jìn)程木馬的進(jìn)程注入手段。

　　(9)線程創(chuàng)建和線程終止監(jiān)視

　　“監(jiān)視進(jìn)線程創(chuàng)建”將IceSword運行期間的進(jìn)線程創(chuàng)建調(diào)用記錄在循環(huán)緩沖里， “監(jiān)視進(jìn)程終止”記錄一個進(jìn)程被其它進(jìn)程Terminate的情況。

　　(10)注冊表

　　IceSword中的“注冊表”項主要用來查找被木馬后門隱藏的注冊項， 它不受目前任何注冊表隱藏手法的蒙蔽， 可以查看注冊表實際內(nèi)容。

　　(11)文件

　　冰刀中的文件功能類似于資源管理器， 與資源管理器相比具有反隱藏、反保護(hù)的功能;通過冰刀還可以直接拷貝system32\config\SAM文件， 直接刪除已經(jīng)加載的驅(qū)動等。

　　在網(wǎng)絡(luò)安全中， 一個最基本的原則就是確認(rèn)自己安全， 包括一些入侵者在入侵成功后， 它也需要對控制計算機(jī)進(jìn)行安全檢查， 刪除前人留在系統(tǒng)中的后門， 對系統(tǒng)進(jìn)行安全加固。 下面使用冰刀1.22漢化版來對計算機(jī)進(jìn)行安全檢查， 查殺木馬等程序。

　　步驟1：檢查進(jìn)程。 運行“冰刀1.22漢化版”后， 單擊其界面左邊功能中的“進(jìn)程”， 冰刀會列出系統(tǒng)中所有的進(jìn)程， 其進(jìn)程數(shù)顯示的是正在運行的進(jìn)程， 選中“aswUpdSv.exe”右鍵單擊， 可以查看線程信息、模塊信息、內(nèi)存讀寫以及結(jié)束進(jìn)程， 如圖1所示。

　　圖1 檢查進(jìn)程

　　步驟2：查看端口。 冰刀的查看端口功能非常強大， 能夠查看一些普通端口軟件不能查看的隱藏端口。 單擊功能菜單下的“端口”， 即可查看系統(tǒng)中的應(yīng)用程序使用的協(xié)議、本地地址、遠(yuǎn)程地址、進(jìn)程以及程序名稱等信息， 如圖2所示， 其中最關(guān)鍵的是本地地址、遠(yuǎn)程地址以及進(jìn)程程序名稱， 通過這些信息來判斷進(jìn)程是否為木馬程序進(jìn)程。

　　圖2查看端口

　　查看內(nèi)核模塊。 內(nèi)核模塊主要用來檢查Rootkit等驅(qū)動級別的木馬程序， 冰刀檢查到有異常的驅(qū)動后會以紅色顯示。

　　步驟3：刪除文件。 木馬程序即有可能采用進(jìn)程保護(hù)等方式， 防止和禁止用戶中止進(jìn)程， 一般情況下很難刪除這些DLL等文件， 在冰刀可以很輕松的刪除這些文件， 在本案例中遇到一個BHO的木馬程序插件， 只知道該DLL肯定不是系統(tǒng)自帶的， 必須將其刪除掉。 在冰刀中單擊“文件”模塊， 然后到BHO木馬程序的當(dāng)前目錄， 如圖3所示， 選中需要刪除的DLL文件， 右鍵單擊， 在彈出的菜單中單擊“強制刪除”， 將該文件刪除掉。

　圖3 刪除BHO木馬插件

　　小結(jié)

　　在本案例中僅僅介紹了其較經(jīng)典的幾個功能， 它還有許多其它功能， 讀者朋友可以自行試驗。 推薦使用冰刀來結(jié)束進(jìn)程、刪除文件以及打開sam文件。