科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道冰刃IceSword的使用方法(高级篇)

冰刃IceSword的使用方法(高级篇)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这次更新这个文章。此文章分为几个部分,第一部分:冰刃杀毒流程。第二部分:删除顽固病毒文件。第三部分 冰刃的运行原理。第四部分 冰刃对DLL文件的处理。第五部分 菜单高级应用。

作者:zdnet安全频道 来源:论坛整理 2008年6月3日

关键字: 杀毒 IceSword

  • 评论
  • 分享微博
  • 分享邮件
本来打算尽快更新这个东西,让大家学习更多知识,但是作业好多好多,我快忙不过来了。这次就来更新这个文章。此文章分为几个部分,我慢慢写,大家慢慢看。
 
第一部分:冰刃杀毒流程。
在基础篇里面,我向大家介绍了有关所有冰刃的基础使用方法,那么怎么用冰刃来杀毒呢?这个写一下大概的流程。
第一步:禁止运行进程。打开所有需要的软件和文件夹后,可以通过菜单里面禁止进线程建立,具体方法看基础篇,里面有详细介绍。
第二步:结束病毒进程。结束所有与病毒有关的进程,还要结束某些与系统进程无关的进程,可能包括一些额外的应用程序,包括桌面文件等等。这个为了保持病毒不会因为某些进程而重新被调用。
第三步:处理启动项目,处理服务、注册表等启动项目,分别在冰刃查看——服务、注册表、文件中处理。具体方法可以看基础篇。
第四步:删除病毒文件。删除所有可能的病毒进程,当然如果要备份,可以利用冰刃的复制功能,把病毒副本复制出来。如果复制病毒样本,需要一些技术,因为很多病毒如果处理不当,在重新启动后还会恢复回来。
第五步:重新启动计算机,你可以利用冰刃的重启并监视这个功能,我会下面的部分介绍。也可以利用计算机系统的重新启动功能,但是要把禁止进程建立的对勾去掉,并且在运行冰刃的前提下重新启动。这一步的目的为了防止某些潜入式DLL潜入到系统进程中作乱,而且无法删除。比如潜入到Winlogon中的DLL用基础篇里面的方法可能会出现蓝屏。
第六步:做进一步检查,检查文件删除情况,注册表删除情况。
第七步:检查应用程序。很多病毒会修改应用程序,达到保护自己的目的,比如:盗取QQ的软件,会修改QQ.exe,当运行QQ软件的时候病毒会重新被加载,所以要通过冰刃的线程监控,还有文件进行进一步的监控。
第八步:处理可疑文件。在以上所有步骤过程中,一般都会出现一些不认识的或者不知道的程序,对这些程序我们做的就是最后处理,重点在于分析这些程序到底有无用处。到底是什么软件释放的,或者病毒释放的。这个一般要高手才能进行。
最后一步:特别处理,重点处理病毒修改的系统设置,比如隐藏文件的设置、HOST文件的修改、主页等IE项目的修改、文件关联的修改等等。这些修改一般都要等杀毒结束后进行。
 
这个杀毒过程只是最基本的,和我自己给人解决问题时候套用的一个格式有一些关系。看过这个以后,对于我的删除方法会有一定了解
 
第二部分:删除顽固病毒文件
这一部分在基础篇中提到,但是当时我没有测试,小聪给我的结果让我很惊讶,怎么会不能成功,我就想了想做进一步的实验。此实验在虚拟机下进行,如果没有虚拟机请不要模仿。
因为我没有释放顽固病毒的样本,只能运用计算机系统中最基础的文件,考虑到非常难删除的病毒文件都是SYS文件,我选择了C:\WINDOWS\system32\drivers\acpi.sys文件进行进一步测试,这个文件是系统基础文件,不要轻易删除。
 
此文件很像某些病毒,删除它还会重新生成一个新的文件我们就用它来进行新的测试。第一次测试是在正常模式下,在c:\建立一个名称为acpi.sys的文件,并设置了只读、系统、隐藏三个属性,用冰刃强制删除此文件,再以最快速度考入,观察,确实可以达到2分钟的目的,也就是说2分钟后系统会自动把此文件修改会上面的样子,并且大小相同。第二次测试是根据基础篇叙述禁止了进线程创建(方法详见基础篇最后部分的一)的模式下进行,利用冰刃可以删除文件,并且保证在此模式的前提条件下并不被删除,也不会被覆盖,但是当模式改变,就会被快速替换。猜想,测试到此发现,顽固病毒文件冰刃删除不了,但是它真的无能为力,我觉得不会,禁止进线程建立只是禁止了全部的进线程建立,那么我们可不可以用冰刃禁止一部分呢?等待我们的是进一步测试,如果成功,那么冰刃也可以删除顽固文件了。
 
第三部分 冰刃的运行原理

在这一部分,我主要讲的是为什么冰刃可以检查隐藏进程、可以那么强大。我们现在知道,有很多免费软件都可以进行进程、端口、注册表的检查,但是为什么冰刃的功能会比其他软件好呢?下面就看看以下回答吧。

第一,绝大多数所谓的进程工具都是利用Windows的Toolhlp32或者psapi再或者ZwQuerySystemInformation系统调用来编写的,随便一个ApiHook就可以轻松的干掉它们了,更不用说那些内核级别的后门了。此外还有极少数工具利用内核线程调度结构来查询进程,这种方案需要硬编码,这不仅因不同版本的系统而各异,而且打个补丁也可能需要升级程序,并且现在还有人提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前比较特殊的,并且充分考虑到内核后面可能的隐藏手段,可以查到目前大部分隐藏进程。

第二,绝大多数工具查找进程路径名也通过Toolhlp32和psapi,前者会调用RtlDebug函数向目标注入远线程,后者会调用api读取目标进程内存,其本质上都是对PEB的枚举,因此,通过修改PEB就可以轻易让这些工具失灵。而IceSword的核心态方案采用全路径展示,运行时剪切到的其他路径也会显示出来。

第三,进程dll模块与前一种情况一样,利用PEB的其他工具会被轻易欺骗,而IceSword不会弄错,如果系统不支持,这时候会采用枚举PEB。

第四,IceSword的进程杀除功能强大且方便,可轻易将选中的多个进程一并杀除,其中包括系统进程(除idle进程、System进程、csrss进程),此时系统可能会出现蓝屏、重启等状况。

注:以上内容参考《计算机病毒分析与防范大全》278页

根据以上叙述,我们可以看出,一般病毒不会轻易结束掉冰刃的进程,但是某些病毒为了保护自己,根据进程名称结束了冰刃,这时只要修改冰刃主程序(IceSword.exe)的名称就可以了。

根据某期《黑客防线》的介绍,好像有一种方法可以对付冰刃,彻底结束冰刃。

以上只是简单说明了以下冰刃的原理,它的显示进程的算法与其他软件不同,所以可以很好的结束大部分进程。这个也是为什么第一次运行冰刃需要管理员帐户的原因之一。

冰刃在启动的时候会加载很复杂的东西,其中包括一些dll文件和系统驱动文件,这些也必须需要管理员账户,并且开启某个特定的服务才能启动。所以冰刃第一次在普通用户组或者安全模式下是无法启动的,显示如图二的提示框。

第四部分 冰刃对DLL文件的处理

没有找到类似病毒,我在测试病毒的时候如果有雷同就可以对这一部分进行更新。

第五部分 菜单高级应用

在基础篇中,我讲了如何应用菜单的设置,禁止进程或者线程的建立,我们现在看看其他菜单项目的应用。在文件下拉菜单中,有设置、重启并监视、创建进程规则、创建线程规则等几个项目

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章