首页
社区
课程
招聘
IceSword
发表于: 2004-7-5 01:41 6821

IceSword

2004-7-5 01:41
6821
[转载]
http://202.38.73.222/~pjf/blog/archives/000019.html

ftp://202.38.76.151/pub2/Kernel/Windows/tools/IceSword.rar

IceSword FAQ 进程、端口、服务篇
问:现在进程端口工具很多,什么要使用IceSword?
答:1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或
ZwQuerySystemInformation系统调用(前二者最终也用到此调用)来编写,
随便一个ApiHook就可轻轻松松干掉它们,更不用说一些内核级后门了;极少
数工具利用内核线程调度结构来查询进程,这种方案需要硬编码,不仅不同
版本系统不同,打个补丁也可能需要升级程序,并且现在有人也提出过防止此
种查找的方法。而IceSword的进程查找核心态方案是目前独一无二的,并且
充分考虑内核后门可能的隐藏手段,目前可以查出所有隐藏进程。
  2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi,前者
会调用RtlDebug***函数向目标注入远线程,后者会用调试api读取目标进程内存,
本质上都是对PEB的枚举,前面我的blog提到过轻易修改PEB就让这些工具找不到
北了。而IceSword的核心态方案原原本本地将全路径展示,就算运行时剪切到其
他路径也会随之显示。
  3、进程dll模块与2的情况也是一样,利用PEB的其他工具会被轻易欺
骗,而IceSword不会弄错。
  4、IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将
选中的多个任意进程一并杀除。当然,说任意不确切,除去三个:idle进程、
System进程、csrss进程,原因就不详述了。其余进程可轻易杀死,当然有些进
程(如winlogon)杀掉后系统就崩溃了。
  5、对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,
那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找,不过不想
弄得太臃肿。
  6、先说这些了...

问:windows自带的服务工具强大且方便,IceSowrd有什么更好的特点呢?
答:因为比较懒,界面使用上的确没它来的好,不过IceSword的服务功能主要是
查看木马服务的,使用还是很方便的。举个例子,顺便谈一类木马的查找:
有一种利用svchost的木马,怎么利用的呢?svchost是一些共享进程服务的宿主,
有些木马就以dll存在,依靠svchost运作,如何找出它们呢?首先看进程一栏,发
现svchost过多,特别注意一下pid较大的,记住它们的pid,到服务一栏,就可找到
pid对应的服务项,配合注册表查看它的dll文件路径(由服务项的第一栏所列名称到
注册表的services子键下找对应名称的子键),根据它是不是惯常的服务项
很容易发现异常项,剩下的工作就是停止任务或结束进程、删除文件、恢复注册表
之类的了,当然过程中需要你对服务有一般的知识。

问:那么什么样的木马后门才会隐藏进程注册表文件的?用IceSword又如何查找呢?
答:比如近来很流行且开源(容易出变种)的hxdef就是这么一个后门。虽然它带有
一个驱动,不过还只能算一个系统级后门,还称不上内核级。不过就这样的一个后门,
你用一些工具,***专家、***大师、***克星看看,能不能看到它的进程、注册项、
服务以及目录文件,呵呵。用IceSword就很方便了,你直接就可在进程栏看到
红色显示的hxdef100进程,同时也可以在服务栏中看到红色显示的服务项,顺便一
说,在注册表和文件栏里你都可发现它们,若木马正在反向连接,你在端口栏也可
看到,另外,内核模块中也可以看到它的驱动。杀除它么,首先由进程栏得后门程序全路径,结束进程,将后门目录删除,
删除注册表中的服务对应项...这里只是选一个简单例子,请你自行学习如何有效利
用IceSword吧。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 3
支持
分享
最新回复 (16)
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
老大你的东西 的确是好东西就是下不了啊
郁闷 怎么搞的啊
2004-7-5 01:45
0
雪    币: 3758
活跃值: (3337)
能力值: ( LV15,RANK:500 )
在线值:
发帖
回帖
粉丝
3
应该显示进程图标爽一些
2004-7-5 18:38
0
雪    币: 371
活跃值: (790)
能力值: ( LV12,RANK:570 )
在线值:
发帖
回帖
粉丝
4
感谢!:)
藏在我电脑里面好长一段时间的一个东东(一个隐藏进程)今天终于能一睹芳容了,dump出来好好解剖一下:)
这个工具太好了:)
2004-7-5 22:51
0
雪    币: 1
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
5
老大,depb有什么新进展吗?什么时候出个新版本?
2004-7-6 14:29
0
雪    币: 4908
活跃值: (2343)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
6
最初由 niko 发布
老大,depb有什么新进展吗?什么时候出个新版本?


我也期待出个新版本。
1.0的版本详细使用方法是什么?为什么能反编译出的软件很少?我还没找到能反编译出来的。一般都是出个树列表,大概能有3个左右,其他什么都没了。
期盼新版本................
2004-7-6 19:11
0
雪    币: 234
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
谢谢分享!
2004-7-7 16:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
最初由 oep1 发布


我也期待出个新版本。
1.0的版本详细使用方法是什么?为什么能反编译出的软件很少?我还没找到能反编译出来的。一般都是出个树列表,大概能有3个左右,其他什么都没了。
期盼新版本................


---------------------------------
对阿!我也在盼着呢!不过估计老大不继续做了
2004-7-8 17:07
0
雪    币: 1241
活跃值: (160)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
IceSword不是我的作品,别搞错了。
depb新版本还要等一段时间。本来又重写了,不过不久前又暂时停工了。
2004-7-9 00:52
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
hoho
2004-7-10 15:06
0
雪    币: 203
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
连接打不开,下不了呀。:(
2004-7-14 10:19
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
最初由 wuchy6222 发布
连接打不开,下不了呀。:(


又好了
2004-7-14 17:34
0
雪    币: 3758
活跃值: (3337)
能力值: ( LV15,RANK:500 )
在线值:
发帖
回帖
粉丝
13
soft0zone也打包有下载
同为1.04版本
2004-7-14 19:24
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
最初由 曾半仙 发布
soft0zone也打包有下载
同为1.04版本

soft0zone???什么好东西
2004-7-14 19:45
0
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
Share is everything.
Support FREE !!
2004-7-16 16:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
期待Depb的正式版,同时希望ljtt能在正式版推出之前,先把原来的Depb程序改一下,把查看代码行数有限的功能给取消掉。
2004-7-25 07:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
有如此好东东...那要试试了啊...
2004-7-25 10:35
0
游客
登录 | 注册 方可回帖
返回
//