冰刃的使用

---

一、查看隱藏的木馬進(jìn)程

運(yùn)行IceSword后，點(diǎn)擊左邊“查看”欄中的“進(jìn)程”項(xiàng)，在右邊的進(jìn)程列表中就可以查看到當(dāng)前系統(tǒng)中所有可見(jiàn)和隱藏的進(jìn)程了。隱藏的進(jìn)程會(huì)以紅色醒目地標(biāo)記出來(lái)，以方便查找系統(tǒng)級(jí)后門。


小提示：如果在進(jìn)程列表中沒(méi)有紅色的隱藏進(jìn)程項(xiàng)，說(shuō)明你還沒(méi)有打開(kāi)相關(guān)的設(shè)置。點(diǎn)擊菜單“文件”→“設(shè)置”，去掉對(duì)話框中的“不顯示狀態(tài)為Deleting的進(jìn)程”選項(xiàng)即可（如圖2）。在進(jìn)程列表中可以查看到每個(gè)進(jìn)程文件的路徑，這可以方便我們查看到一些使用了與系統(tǒng)服務(wù)相同文件名的木馬后門。例如在按進(jìn)程名排列進(jìn)程時(shí)，我們發(fā)現(xiàn)了其中有一個(gè)進(jìn)程名為“Svchost.exe”，其路徑異常地存放在了“C:\Windows”目錄下（如圖3）。通過(guò)查看發(fā)現(xiàn)原來(lái)這是一個(gè)經(jīng)過(guò)偽裝的木馬后門！如果我們使用Windows的進(jìn)程管理器，將無(wú)法得知此進(jìn)程的存放路徑，還誤以為它是正常的系統(tǒng)進(jìn)程呢。

二、強(qiáng)大的進(jìn)程終止功能

發(fā)現(xiàn)了木馬進(jìn)程后，可以輕松地將其結(jié)束。有許多進(jìn)程注冊(cè)為系統(tǒng)服務(wù)或感染了svchost.exe、lsass.exe等文件，致使無(wú)法正常中止該進(jìn)程或?qū)⑽募h除。然而使用IceSword后，除idle、System、csrss這三個(gè)進(jìn)程外，可以結(jié)束任何正在運(yùn)行的進(jìn)程。在進(jìn)程列表中單選或按住Ctrl鍵選擇多個(gè)進(jìn)程，點(diǎn)擊右鍵菜單中的“結(jié)束進(jìn)程”，即可殺掉無(wú)法結(jié)束的頑固進(jìn)程了（如圖4）。
三、增強(qiáng)型的注冊(cè)表編輯器

點(diǎn)擊IceSword左邊的“注冊(cè)表”項(xiàng)，可以方便地對(duì)注冊(cè)表進(jìn)行查看、編輯或刪除等操作（如圖5）。與Windows的Regedit相比，IceSword中的“注冊(cè)表”項(xiàng)可以查找被木馬后門隱藏的任意注冊(cè)項(xiàng)，不受任何注冊(cè)表隱藏的蒙蔽。一些木馬后門，有可能修改自己在注冊(cè)表中的名稱長(zhǎng)度，從而不會(huì)在Regedit中顯示；還有一些木馬建立含有特殊字符的子鍵，用Regedit根本打不開(kāi)。用IceSword就可輕松地解決這些問(wèn)題。
四、替換正在運(yùn)行的程序文件

點(diǎn)擊IceSword左邊的“文件”項(xiàng)，打開(kāi)一個(gè)類似資源管理的窗口（如圖6），可別小看它的功能，因?yàn)樗邆浞措[藏、反保護(hù)的功能。一些木馬文件采用了隱藏或加密的手段，在IceSword面前也是無(wú)能為力的。其中最有用的功能，就是可以幫助我們替換正在運(yùn)行中的木馬文件。

例如剛才我們想刪除剛才發(fā)現(xiàn)的木馬文件“Svchost.exe”，可是該文件在安全模式下也是啟動(dòng)系統(tǒng)后即自動(dòng)運(yùn)行，唯一的辦法就是進(jìn)入DOS環(huán)境中才能刪除該文件。IceSword中可就簡(jiǎn)單了，在“文件”項(xiàng)目中找到該文件，點(diǎn)擊右鍵并選擇“刪除”命令即可。

還可以利用IceSword為系統(tǒng)“免疫”，在“文件”項(xiàng)中隨便用右鍵點(diǎn)擊某個(gè)正常文件，選擇“復(fù)制”命令，然后要求輸入目標(biāo)文件路徑，這里瀏覽選擇正在使用中的木馬文件（如圖7）。確定后，前面復(fù)制的正常文件的內(nèi)容就寫入后面的木馬文件中了。有一些木馬或蠕蟲病毒在感染系統(tǒng)時(shí)，如果檢查到系統(tǒng)中已存在自身的文件時(shí)就不會(huì)進(jìn)行再次感染，卻沒(méi)想到這些文件早已成了一個(gè)死尸軀殼。
五、木馬查殺的綜合實(shí)例

此外，在IceSword中的“查看”項(xiàng)中還有其它強(qiáng)大的木馬檢測(cè)功能，例如在“啟動(dòng)組”中可以查看到隱藏的自啟動(dòng)程序；“服務(wù)”項(xiàng)項(xiàng)可查看系統(tǒng)服務(wù)，還可查看“內(nèi)核模塊”、“SPI”與“BHO”、“SSDT”等內(nèi)核級(jí)后門修改調(diào)用的服務(wù)（這可是高手專利，呵！）。來(lái)看看筆者為大家展示一個(gè)檢查Svchost木馬的實(shí)例：

1.檢測(cè)Svchost木馬

如果在“進(jìn)程”項(xiàng)中發(fā)現(xiàn)svchost過(guò)多，記住它的“進(jìn)程ID”值，到“服務(wù)”欄中可通過(guò)“服務(wù)進(jìn)程ID”值找到對(duì)應(yīng)的服務(wù)項(xiàng)，然后可找到該項(xiàng)服務(wù)名稱為“RpcSs的服務(wù)”（如圖8）。再打開(kāi)“注冊(cè)表”欄找到“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services”下的同名鍵，再查看它對(duì)應(yīng)的dll文件路徑（如圖9），很容易就可發(fā)現(xiàn)木馬的異常項(xiàng)，后面的工作就是停止該進(jìn)程、刪除文件、恢復(fù)注冊(cè)表之類的了，當(dāng)然這需要我們對(duì)服務(wù)比較熟悉。

2.殺掉多線程保護(hù)的木馬

在結(jié)束這個(gè)Svchost木馬時(shí)，發(fā)現(xiàn)此木馬采用了多線程保護(hù)技術(shù)，將其結(jié)束后一會(huì)兒又自動(dòng)運(yùn)行了。這時(shí)可在“查看”欄中點(diǎn)擊“監(jiān)視進(jìn)程創(chuàng)建”項(xiàng)，查看到是什么線程又創(chuàng)建了這個(gè)進(jìn)程（如圖10），然后將它們一起中止掉。在關(guān)閉線程的過(guò)程中，為突破多線程保護(hù)，可以打開(kāi)“設(shè)置”并選中“禁止進(jìn)線程創(chuàng)建”，此時(shí)系統(tǒng)不能創(chuàng)建進(jìn)程或者線程，我們就可以順利地殺掉多線程保護(hù)的木馬進(jìn)程了。

有了這把“無(wú)情的冰劍”，相信什么樣的木馬都很難躲過(guò)它的劍風(fēng)，我們的系統(tǒng)從此也會(huì)安全許多。

下載地址：http://www./tools/200509/1085.html

提供的是英文版本，感覺(jué)中文版本不穩(wěn)定