有這麼一款軟件,它專為查探系統中的幕後黑手——木馬和後門而設計,內部功能強大,它使用了大量新穎的內核技術,使內核級的後門一樣躲無所躲,它就是——IceSword冰刃。 IceSword冰刃(以下簡稱IceSword)是一款斬斷系統黑手的綠色軟件。在筆者的使用中,IceSword表現很令筆者滿意,絕對是一把強悍的瑞士軍刀——小巧、強大。 1.IceSword的“防” 打開軟件,看出什麼沒?有經驗的用戶就會發現,這把冰刃可謂獨特,它顯示在系統任務欄或軟件標題欄的都只是一串隨機字串“CE318C”,而並是通常所見的軟件程序名(見圖1)。這就是IceSword獨有的隨機字串標題欄,用戶每次打開這把冰刃,所出現的字串都是隨機生成,隨機出現,都不相同(隨機五位/六位字串),這樣很多通過標題欄來關閉程序的木馬和後門在它面前都無功而返了。另外,你可以試著將軟件的文件名改一下,比如改為killvir.exe,那麼顯示出來的進程名就變為了killvir.exe。現在你再試著關閉一下IceSword,是不是會彈出確認窗口?這樣那些木馬或後門就算通過鼠標或鍵盤鉤子控制窗口退出按鈕,也不能結束IceSword的運行了,只能在IceSword的面前乖乖就范了。 圖1 2.IceSword的“攻” 如果IceSword只有很好的保護自身功能,並沒有清除木馬的能力,也不值得筆者介紹了。如果大家還記得本刊2005年第5期《如何查殺隱形木馬》一文,那一定會覺得IceSword表現相當完美了。但這只所謂的隱身灰鴿子,在IceSword面前只算是小兒科的玩意。因為這只鴿子只能隱身於系統的正常模式,在系統安全模式卻是再普通不過的木馬。而IceSword的作者就在幫助中多次強調IceSword是專門針對功能強大的內核級後門設計的。今天,筆者通過一次經歷來說明IceSword幾招必殺技。 前段時間,筆者某位朋友的個人服務器(Windows 2003),出現異常,網絡流量超高,朋友使用常規方法只可以清除簡單的木馬,並沒有解決問題,懷疑是中了更強的木馬,於是找來筆者幫忙。筆者在詢問了一些情況後,直接登錄到系統安全模式檢查,誰知也沒有什麼特別發現。於是筆者嘗試拿出IceSword這把“瑞士軍刀”…… 第一步:打開IceSword,在窗口左側點擊“進程”按鈕,查看系統當前進程。這個隱藏的“幕後黑手”馬上露出馬腳(見圖2),但使用系統自帶的“任務管理器”是看不到些進程的。注意,IceSword默認是使用紅色顯示系統內隱藏程序,但IceSword若在內核模塊處顯示多處紅色項目並不都是病毒,我們還需要作進一步的技術分析及處理。 圖2 別以為只是系統自帶的任務管理器功能弱,未能發現。我們又用了IceSword與Process Explorer(另一款功能強大的進程查看軟件)進行對比,同樣也沒辦法發現“幕後黑手”的蹤影(見圖3)。 圖3 第二步:點擊窗口左側的“服務”按鈕,來查看系統服務。這時就可以看到如圖4所示的情況了,這個木馬的服務也是隱藏的,怪不得筆者未能發現行蹤。 圖4 第三步:既然看了服務,也應該查查注冊表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情況。反正IceSword也提供查看/編輯注冊表功能,正好和系統的“注冊表編輯器”也來個對比,點擊窗口左側的“注冊表”標簽,然後打開依次展開[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]項(見圖5)。真是不比不知道,一比嚇一跳。看來,系統內置工具還是選擇“沉默”,5自學網,還記得《如何查殺隱形木馬》一文吧,雖說鴿子在正常模式下,它的主服務也能隱藏,自學教程,但它在系統的“注冊表編輯器”內完全是顯示的,更不要說目前是安全模式。仔細看看,既然已經從IceSword得到可靠情報,得知“幕後黑手”位於系統目錄E:\Windows\system32\wins下. 圖5 第五步:剩下的事容易多了,在IceSword中點擊“查看”標簽下的“進程”按鈕,右擊剛剛發現的隱藏進程,選擇“結束進程”。然後用IceSword刪除那三個木馬文件,最後,還要刪除多余的服務項——那兩個HackerDefender*的注冊表鍵值即可。清理完這只“黑手”後,再使用殺毒軟件重新殺一遍系統,確認沒有其他的木馬。 上面的例子充分體現了IceSword的魅力所在。正如作者所言,IceSword大量采用新穎技術,有別於其他普通進程工具,比如IceSword就可以結束除Idle進程、System進程、csrss進程這三個進程外的所有進程,就這一點,其他同類軟件就是做不到的。當然有些進程也不是隨便可以結束的,如系統的winlogon.exe進程,一旦殺掉後系統就崩潰了,這些也需要注意。 還等什麼,這麼好用、強悍的“瑞士軍刀”,還不趕快准備一把防身?
