使用冰刃icesword等进行安全数检查.docVIP

使用冰刃IceSword进行安全检查（图解） 2009-05-06 来源:整理 冰刃的英文名称为IceSword，是一款系统诊断、清除利器，其内部功能是十分强大，用于探查系统中的木马后门， 并进行相应的处理。它适用于Windows 2000/XP/2003 操作系统，其内部功能是十分强大，用于探查系统中的木马后门， 并进行相应的处理。 IceSword 使用了大量新颖的内核技术，使得这些后门躲无所躲，是一款检查后门的好工具。 IceSword目前只为使用32位的x86兼容CPU的系统设计，另外运行 IceSword需要管理员权限，其主要功能有： (1)查看进程 查看包括运行进程的文件地址、各种隐藏的进程以及优先级;可以轻易杀掉用任务管理器、Processes xp等工具杀不掉的进程;用它还可以查看进程的线程、模块信息等。 (2)查看端口 类似于Cport、Active Port这类工具，显示当前本地程序打开的端口以及相应的应用程序地址、名字，包括使用了各种手段隐藏端口的工具。 (3)内核模块 加载到系统内和空间的PE模块，一般都是驱动程序(*.sys)，可以看到各种已经加载的驱动，包括一些隐藏的驱动文件。 (4)启动组 可以查看Windows启动组里面的文件路径、名称以及文件等，缺点是无法对启动文件进行删除。 (5)服务 用于查看系统中的被隐藏的或未隐藏的服务，隐藏的服务以红色显示。提供对服务的操作，可以启动、停止或者禁用服务。 (6)查看SPI和BHO SPI是服务提供接口，即所有Windows的网络作业都是通过这个接口发出和接收数据包的。BHO是浏览器的辅助插件，用户启动浏览器的时候，它就可以自动启动，弹出广告窗口等，冰刃提供对SPI和BHO模块的查看。 (7)查看SSDT (System Service Descriptor Table) 内核级后门有可能修改系统服务描述表，以截获系统中的服务函数调用，特别是一些老的rootkit。 (8)查看消息钩子 若在dll中使用SetWindowsHookEx设置一些全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。 (9)线程创建和线程终止监视 “监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。 (10)注册表 IceSword中的“注册表”项主要用来查找被木马后门隐藏的注册项，它不受目前任何注册表隐藏手法的蒙蔽，可以查看注册表实际内容。 (11)文件 冰刃中的文件功能类似于资源管理器，与资源管理器相比具有反隐藏、反保护的功能;通过冰刃还可以直接拷贝system32\config\SAM文件，直接删除已经加载的驱动等。 在网络安全中，一个最基本的原则就是确认自己安全，包括一些入侵者在入侵成功后，它也需要对控制计算机进行安全检查，删除前人留在系统中的后门，对系统进行安全加固。 下面使用冰刃1.22汉化版来对计算机进安全检查，查杀木马等程序。 步骤1：检查进程。运行“冰刃1.22汉化版”后，单击其界面左边功能中的“进程”，冰刃会列出系统中所有的进程，其进程数显示的是正在运行的进程，选中“aswUpdSv.exe”右键单击，可以查看线程信息、模块信息、内存读写以及结束进程，如图1所示。 图1 检查进程 步骤2：查看端口。冰刃的查看端口功能非常强大，能够查看一些普通端口软件不能查看的隐藏端口。单击功能菜单下的“端口”，即可查看系统中的应用程序使用的协议、本地地址、远程地址、进程以及程序名称等信息，如图2所示，其中最关键的是本地地址、远程地址以及进程程序名称，通过这些信息来判断进程是否为木马程序进程。 图2查看端口 查看内核模块。内核模块主要用来检查Rootkit等驱动级别的木马程序，冰刃检查到有异常的驱动后会以红色显示。 步骤3：删除文件。木马程序即有可能采用进程保护等方式，防止和禁止用户中止进程，一般情况下很难删除这些DLL等文件，在冰刃可以很轻松的删除这些文件，在本案例中遇到一个BHO的木马程序插件，只知道该DLL肯定不是系统自带的，必须将其删除掉。在冰刃中单击“文件”模块，然后到BHO木马程序的当前目录，如图3所示，选中需要删除的DLL文件，右键单击，在弹出的菜单中单击“强制删除”，将该文件删除掉。 　图3 删除BHO木马插件 小结 在本案例中仅仅介绍了其较经典的几个功能，它还有许多其它功能，读者朋友可以自行试验。推荐使用冰刃来结束进程、删除文件以及打开sam文件。 　　小故事3、老人与黑人小孩子 　　一天，几个白人小孩在公园里玩。这时，一位卖氢气球的老人推着货车进了公园。白人小孩一窝蜂地跑了上去，每人买了一个气球，兴高采