IceSword软件安装包与实验指导书.docxVIP

实验指导书 项目标号 项目名称 IceSword 学时 实验目的 通过实验，了解IceSword安装和使用方法，了解系统进程和服务情况；掌握如何查看异常的进程；掌握Windows常用的系统进程和服务的管理，系统日志的管理，以保护操作系统安全 实验原理 IceSword 实验环境 软件工具：IceSword 实验内容 IceSword的安装和使用 IceSword创建进程和线程规则 实验步骤： 打开，双击，打开主界面，如下图所示： IceSword的界面左侧包括：查看，注册表和文件。查看里面包括进程，端口等。 IceSword中的查看操作： 查看进程： 点击“进程”按钮，在右部列出的进程中，隐藏的进程会以红色醒目地标记出，以方便查找隐藏自身的系统级后门，如图所示： 点击某进程，按右键下拉菜单的内容有： 刷新列表：再次点击“进程”按钮，或点击右键，选择“刷新列表”； 结束进程：选中某一项进程，右键菜单中的“结束进程”，可以结束该进程； 线程信息：选择explorer进程，右键菜单中选择“线程信息”，如图所示： 其中的“强制终止”是危险操作，对一个线程只应操作一次，否则系统可能崩溃。 模块信息：选择explorer进程，右键菜单中选择“模块信息”，如图所示： 上面详细的显示当前进程调用的所有DLL文件，可以卸除有异常的DLL文件。“卸除”对于系统DLL是无效的，可以使用“强制解除”。不过会使该进程终止。 查看端口： 此栏的功能是进程端口关联，前四项与netstat -an类似，后两项是打开该端口的进程。在“进程ID”中出现0值表明该端口已经关闭，处于“TIME_WAIT”状态。如图所示： 查看内核模块： 内核模块即系统当前加载的核心模块，比如驱动程序，如图所示： 查看启动组： 显示两个RUN子键的内容。如图所示： 查看服务： 查看系统中的被隐藏的或未呗隐藏的服务，隐藏的服务以红色显示，如图所示： 查看“监视进线程创建” 进线程穿件记录保存在以循环缓冲里，要IceSword运行期间才进行记录，可以用来发现木马后门创建死了什么进程和线程。如图所示： IceSword注册表操作 IceSword的注册表与RegEdit用法类似，不同的是有权限打开与修改任何子键，包括SAM子键。如图所示： IceSword对文件的操作 IceSword的文件操作与资源管理器类似，但只提供文件删除、复制的功能。其特点是防止文件隐藏，同时可以修改已打开的文件，可以强制删除任何文件，包括系统文件。如图所示： IceSword文件菜单的操作 文件菜单中有：重启并监视、创建进程规则、创建线程规则。如图所示： 重启并监视： IceSword不方便监视开机就自启的程序，可以通过“重启并监视”监视系统启动时所有进线程创建，可以轻易发现进程注入。 创建进线程规则： 用来设定创建进线程时的规则，总规则是指允许还是禁止满足该条规则所有条款的进线程创建事件；一条规则中的条款间的关系是与关系，即同时满足才算匹配这条规则；“规则号”是从零开始的，假设当前有n条规则，添加规则时输入零规则号即代表在队头插入，输入n规则号则在队尾插入；如果前面一条规则已经匹配，那么所有后面的规则就忽略掉了，系统直接允许或禁止这次创建操作。 禁止calc.exe的运行 点击“创建进线程时规则”→“添加规则”，如图所示： 注意一条规则中文件名和路径名只能填一个，运行结果如图所示： 禁止向explorer.exe注入线程 首先查到该进程的PID，然后添加两条“创建进程规则”，第一条允许explorer.exe自己在自己的进程内创建线程，目标进程和源进程都是explorer.exe。第二条禁止所有进程在explorer.exe例创建线程，第一条必须在前。如图所示：