冰刃使用說明

經(jīng)典word整理文檔，僅參考，轉(zhuǎn)Word此處可刪除頁眉頁腳。本資料屬于網(wǎng)絡(luò)整理，如有侵權(quán)，請聯(lián)系刪除，謝謝！冰刃icesword，也稱為冰刀或者冰刃，有些地址簡稱IS，是USTC的PJF出品的一款系統(tǒng)診斷、清除利器。清除流氓軟件工具無數(shù)，為什么稱之為第一利器呢，有如下的理由：1)你是不是經(jīng)常有文件刪不掉?如CNNIC或者3721的文件?2)是不是經(jīng)常有注冊表不讓你修改?如CNNIC的注冊表是它自動(dòng)保護(hù)起來的3)是不是經(jīng)常有進(jìn)程殺不掉，提示“無法完成”?4)是不是瀏覽器有N多的插件?5)是不是有一些程序運(yùn)行的時(shí)候隱藏了進(jìn)程和端口?6)是不是有一些流氓軟件的文件在資源管理器下看都看不到?1、絕大多數(shù)所謂的進(jìn)程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系統(tǒng)調(diào)用(前二者最終也用到此調(diào)用)來編寫，隨便一個(gè)ApiHook就可輕輕松松干掉它們，更不用說一些內(nèi)核級后門了;極少數(shù)工具而IceSword的進(jìn)程查找核心態(tài)方案是目前獨(dú)一無二的，并且充分考慮內(nèi)核后門可能的隱藏手段，目前可以查出所有隱藏進(jìn)程。2、絕大多數(shù)工具查找進(jìn)程路徑名也是通過Toolhlp32psapi，前者會(huì)調(diào)用RtlDebug***函數(shù)向目標(biāo)注入遠(yuǎn)線程，后者會(huì)用調(diào)試api讀取目標(biāo)進(jìn)程內(nèi)存，本質(zhì)上都是對PEB的枚舉，通過修改PEB就輕易讓這些工具找不到北了。而IceSword的核心態(tài)方案原原本本地將全路徑展示，運(yùn)行時(shí)剪切到其他路徑也會(huì)隨之顯示。3dll模塊與2PEB的其他工具會(huì)被輕易欺騙，而IceSword不會(huì)弄錯(cuò)(有極少數(shù)系統(tǒng)不支持，此時(shí)仍采用枚舉PEB)。4、IceSword的進(jìn)程殺除強(qiáng)大且方便(當(dāng)然也會(huì)有危險(xiǎn))?？奢p易將選中的多個(gè)任意進(jìn)程一并殺除。當(dāng)然，說任意不確切，除去三個(gè)：idle進(jìn)程、System進(jìn)程、csrss進(jìn)程，原因就不詳述了。其余進(jìn)程可輕易殺死，當(dāng)然有些進(jìn)程(如winlogon)殺掉后系統(tǒng)就崩潰了。5、對于端口工具，網(wǎng)上的確有很多，不過網(wǎng)上隱藏端口的方法也很多，那些方法對IceSword可是完全行不通的。其實(shí)本想帶個(gè)防火墻動(dòng)態(tài)查找，不過不想弄得太臃腫。這里的端口是指windows的IPv4Tcpip協(xié)議棧所屬的端口，第三方協(xié)議?；騃Pv6棧不在此列。是看到了，刪不掉，殺不掉，干著急，實(shí)在不行，還需要從另外的作系統(tǒng)去刪除CNNIC.sys驅(qū)動(dòng)加載的時(shí)候，它過濾了文件和注冊表作，直接返回一個(gè)true,Windows提示文件刪了，但一看，它還在那里。象一些文件刪除工具如unclocker都無效。IceSword是除CNNIC這類流氓軟件，不需要重啟也可以完成了。IS采取了很多新穎的、內(nèi)核級的方法和手段，關(guān)于它的技術(shù)細(xì)節(jié)不在本文討論之列，下面主要從使用者角度講一下它的主要功能：■查看進(jìn)程Procexp等工具殺不掉的進(jìn)程。還可以查看進(jìn)程的線程、模塊信息，結(jié)束線程等?！霾榭炊丝陬愃朴赾portActivePort無余?！鰞?nèi)核模塊加載到系統(tǒng)內(nèi)和空間的PE*.sys看到各種已經(jīng)加載的驅(qū)動(dòng)。包括一些隱藏的驅(qū)動(dòng)文件，如IS自身的IsDrv118.sys，這個(gè)在資源管理器里是看不見的。■啟動(dòng)組Windows啟動(dòng)組里面的相關(guān)方式，這個(gè)比較容易理解了。不過可惜的是沒有提示刪除功能，只能查看?！龇?wù)對服務(wù)的作如啟動(dòng)，停止，禁用等?！鯯PI和BHO這兩個(gè)是目前流氓軟件越來越看中的地方。SPI是服務(wù)提供接口，即所有Windows的網(wǎng)絡(luò)作都是通過這個(gè)接口發(fā)出和接收數(shù)據(jù)包的。很多流氓軟件把這個(gè).dll替換掉，這樣就可以監(jiān)視所有用戶訪問網(wǎng)絡(luò)的包，可以針對性投放一些廣告。如果不清楚的情況下，把這個(gè).dll刪掉，會(huì)造成網(wǎng)絡(luò)無法使用，上不了網(wǎng)。LSPFix等工具就是針對這個(gè)功能的。BHO供查看的功能?！鯯SDT(SystemServiceDescriptorTable)函數(shù)調(diào)用，特別是一些老的rootkit，像上面提到的ntrootkit通過這種hook比如regmon?！鱿^子若在dll中使用SetWindowsHookEx設(shè)置一全局鉤子，系統(tǒng)會(huì)將其加載入使用user32的進(jìn)程中，因而它也可被利用為無進(jìn)程木馬的進(jìn)程注入手段?！鼍€程創(chuàng)建和線程終止監(jiān)視“監(jiān)視進(jìn)線程創(chuàng)建”將IceSword運(yùn)行期間的進(jìn)線程創(chuàng)建調(diào)用記錄在循環(huán)緩Terminate作用：一個(gè)木馬或病毒進(jìn)程運(yùn)行起來時(shí)查看有沒有殺毒程序如norton的進(jìn)程，有則殺之，若IceSword正在運(yùn)行，這個(gè)作就被記錄下來，你可以查到是哪個(gè)進(jìn)多線程保護(hù)技術(shù)，你發(fā)現(xiàn)一個(gè)異常進(jìn)程后結(jié)束了，一會(huì)兒它又起來了，你可用IceSword發(fā)現(xiàn)是什么線程又創(chuàng)建了這個(gè)進(jìn)程，把它們一并殺除。中途可能會(huì)用建進(jìn)程或者線程，你安穩(wěn)的殺除可疑進(jìn)線程后，再取消禁止就可以了?！鲎员鞷egedit有什么不足?說起Regedit的不足就太多了，比如它的名稱長度限制，建一個(gè)全路徑名長大于255字節(jié)的子項(xiàng)看看(regedt32)regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本打不開。更多我愛我家教你學(xué)電腦請看/topic.jsp?tid=64688641非太平洋網(wǎng)圖片，內(nèi)容及服務(wù)網(wǎng)絡(luò)與本站無關(guān)2非太平洋網(wǎng)圖片，內(nèi)容及服務(wù)網(wǎng)絡(luò)與本站無關(guān)3非太平洋網(wǎng)圖片，內(nèi)容及服務(wù)網(wǎng)絡(luò)與本站無關(guān)4非太平洋網(wǎng)圖片，內(nèi)容及服務(wù)網(wǎng)絡(luò)與本站無關(guān)5非太平洋網(wǎng)圖片，內(nèi)容及服務(wù)網(wǎng)絡(luò)與本站無關(guān)6非太平洋網(wǎng)圖片，內(nèi)容及服務(wù)網(wǎng)絡(luò)與本站無關(guān)7非太平洋網(wǎng)圖片，內(nèi)容及服務(wù)網(wǎng)絡(luò)與本站無關(guān)8非太平洋網(wǎng)圖片，內(nèi)容及服務(wù)網(wǎng)絡(luò)與本站無關(guān)9非太平洋網(wǎng)