冰刃是一款用于探测系统中潜在的幕后黑手即“木马后门”,并能快速的帮助用户进行处理。现在随着科技的进步,黑客技术同样也在进步着,正所谓“道高一尺,魔高一丈”,现在的系统级后门功能越来越强,一般的木马后门都能轻而易举的在计算机后台中隐藏进程、端口、注册表、文件信息等信息,这样一般的工具就无法快速的发现这些潜在的危险。相反由于冰刃采用了目前最为先进的内核技术,所以它能快速的搜索出这些后门,并可让他们无处可逃。仅适用于Windows 2000/XP/2003操作系统。
先解压(右键单击压缩包,选解压到当前文件夹),再运行主程序即可
一、进程查看
欲察看当前进程,请点击“进程”按钮,在右部列出的进程中,隐藏的进程会以红色醒目地标记出,以方便查找隐藏自身的系统级后门。1.16中进程栏只纳入基本功能,欲使用一些扩展的隐藏进程功能,请使用系统检查。
右键菜单:
1、刷新列表:请再次点击“进程”按钮,或点击右键,选择“刷新列表”。
2、结束进程:点击左键选中一项,或按住Ctrl键选择多项,然后使用右键菜单的“结束进程”将它们结束掉。
3、线程信息:在右键菜单中选择“线程信息”。
注意其中的“强制终止”是危险的操作 ,对一个线程只应操作一次,否则系统可能崩溃。为了尽量通用,里面注释掉了大量代码,因而是不完全的。不过可以应付一些用户的要求了:终止系统线程与在核心态死循环的线程,虽然可能仍然能看到它们的存在,那只是一些残留。
4、模块信息:在右键菜单中选择“模块信息”。
“卸除”对于系统DLL是无效的,你可以使用“强制解除”,不过强制解除系统DLL必然会使进程挂掉。强制解除后在使用PEB来查询模块的工具中仍可看到被解除的DLL,而实际上DLL已经被卸掉了。这是因为我懒得做善后处理了——修改PEB的内容。
5、内存读写:在右键菜单中选择“内存读写”。
操作时首先填入读的起始地址和长度,点击“读内存”,如果该进程内的指定地址有效,则读取并显示,您可以在编辑框中修改后点击“写内存”写入选中的进程。注意此刻的提示框会建议您选“否”即不破除COW机制,在您不十分明白COW之前,请选择“否”,否则可能写入错误的地址给系统带来错误以至崩溃。
读出内容后,可以点击“反汇编”查看反汇编值,某些木马修改函数入口来hook函数,可由反汇编值分析判断。
二、端口
此栏的功能是进程端口关联。它的前四项与netstat -an类似,后两项是打开该端口的进程。
在“进程ID”一栏中,出现0值是指该端口已关闭,处于“TIME_WAIT”状态,由于2000上使用技术XP/2003有所不同,所以前者与后二者上的显示可能些微差别。IceSword破除系统级后门的端口隐藏,只要进程使用
windows系统
功能打开了端口,就逃不出查找。不过注意因为偷懒,未将隐藏的端口像进程那样红色显示,所以您需要自己对照。
三、注册表
与Regedit用法类似,注意它有权限打开与修改任何子键,使用时要小心,不要误修改(比如SAM子键)。
子键的删除、子键下项的创建都是在左边子键上点击右键,在菜单中选择即可,而右边各项上点击则出现“删除所选”的菜单,删除选中的一项或多项。在右边双击一项则出现修改对话框。
自行选择
1、进程栏里的模块搜索(Find Modules)
2、注册表栏里的搜索功能(Find、Find Next)
3、文件栏里的搜索功能,分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files) 上面是要求最多的,确实对查找恶意软件有帮助
4、BHO栏的删除、SSDT栏的恢复(Restore)
5、隐藏签名项(View->Hide Signed Items)
1、进程端口工具很多,为什么要使用IceSword?
1.绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)来编写,随便一个ApiHook就可轻轻松松干掉它们,更不用说一些内核级后门了;极少数工具利用内核线程调度结构来查询进程,这种方案需要硬编码,不仅不同版本系统不同,打个补丁也可能需要升级程序,并且有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是独一无二的,并且充分考虑内核后门可能的隐藏手段,可以查出所有隐藏进程。
2.绝大多数工具查找进程路径名也是通过Toolhlp32、psapi,前者会调用RtlDebug***函数向目标注入远线程,后者会用调试api读取目标进程内存,本质上都是对PEB的枚举,通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示,运行时剪切到其他路径也会随之显示。
3.进程dll模块与2的情况也是一样,利用PEB的其他工具会被轻易欺骗,而IceSword不会弄错(有极少数系统不支持,此时仍采用枚举PEB)。
4.IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然,说任意不确切,除去三个:idle进程、System进程、csrss进程,原因就不详述了。其余进程可轻易杀死,当然有些进程(如winlogon)杀掉后系统就崩溃了。
5.对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,那些方法对IceSword可是完全行不通的。其实本想带个
防火墙
动态查找,不过不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口,第三方协议栈或IPv6栈不在此列。
2、windows自带的服务工具强大且方便,IceSowrd有什么更好的特点呢?
因为比较懒,界面使用上的确没它来的好,不过IceSword的服务功能主要是查看木马服务的,使用还是很方便的。举个例子,顺便谈一类木马的查找:svchost是一些共享进程服务的宿主,有些木马就以dll存在,依靠svchost运作,如何找出它们呢?首先看进程一栏,发现svchost过多,记住它们的pid,到服务一栏,就可找到pid对应的服务项,配合注册表查看它的dll文件路径(由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键),根据它是不是惯常的服务项很容易发现异常项,剩下的工作就是停止任务或结束进程、删除文件、恢复注册表之类的了,当然过程中需要你对服务有一般的知识。
3、那么什么样的木马后门才会隐藏进程注册表文件的?用IceSword又如何查找呢?
比如很流行且开源(容易出变种)的hxdef就是这么一个后门。用IceSword可以方便清除,你直接就可在进程栏看到红色显示的hxdef100进程,同时也可以在服务栏中看到红色显示的服务项,顺便一说,在注册表和文件栏里你都可发现它们,若木马正在反向连接,你在端口栏也可看到。杀除它么,首先由进程栏得后门程序全路径,结束进程,将后门目录删除,删除注册表中的服务对应项...这里只是简单说说,请你自行学习如何有效利用IceSword吧。
4、“内核模块”是什么?
加载到系统内和空间的PE模块,主要是驱动程序*.sys,一般核心态后们作为核心驱动存在,比如说某种rootkit加载_root_.sys,前面提到的hxdef也加载了hxdefdrv.sys,你可以在此栏中看到。
5、“SPI”与“BHO”又是什么?
SPI栏列举出系统中的网络服务提供者,因为它有可能被用来做无进程木马,注意“DLL路径”,正常系统只有两个不同DLL(当然协议比较多)。BHO是IE的插件,全名Browser Help Objects,木马以这种形式存在的话,用户打开网页即会激活木马。
6、“SSDT”有何用?
内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的rootkit,像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示,当然有些安全程序也会修改,比如regmon,所以不要见到红色就慌张。
1、恢复了插件功能,并提供一个文件注册表的小插件,详见FileReg.chm;(2)对核心部分作了些许改动,界面部分仅文件菜单有一点变化。
2、添加对32位版本Vista(NtBuildNumber:6000)的支持。
3、增加普通文件、ADS、注册表、模块的搜索功能;(2)隐藏签名项;(3)添加模块的HOOK扫描;(4)核心功能的加强。
账号注册管理助手
安全管家User Account Manager
安全管家office文档密码破解工具软件
安全管家超级巡警
安全管家巨盾木马专杀工具
安全管家文件夹嗅探器
安全管家ESET NOD32
安全管家百度卫士
安全管家360漏洞修复独立版
安全管家OneNote Password Recovery(密码恢复软件)
安全管家金山毒霸,肉鸡检测
安全管家RSA计算工具(RSATool)免费版
安全管家狼人杀官方正版 v3.0.2.1 安卓版
脑力开发口袋狼人杀破解版 v3.0.2.1 安卓版
脑力开发围棋手机版 v1.27 安卓版
脑力开发棋牌21点手机版 v5.9.0 安卓版
脑力开发红心大战游戏 v1.0.1 安卓版
脑力开发江汉游仙桃晃晃完整版 v5.5 安卓版
脑力开发炉石传说美服手机版 v19.2.69054 安卓版
脑力开发指上谈兵手游 v2.0.0 安卓版
脑力开发