计算机网络安全技术与实施（旧） 2013国赛信息安全工具软件教程及视频 木马攻击-冰刃.docVIP

网络技术专业教学资源库 PAGE 1 / NUMPAGES 6 国家高等职业教育网络技术专业教学资源库 计算机网络安全技术与实施 课程资源子库 网络安全相关工具软件使用介绍 木马攻击-冰刃  木马攻击-冰刃 冰刃的英文名称为IceSword，是一款系统诊断、清除利器，其内部功能是十分强大，用于探查系统中的木马后门， 并进行相应的处理。它适用于Windows 2000/XP/2003?操作系统，其内部功能是十分强大，用于探查系统中的木马后门， 并进行相应的处理。 冰刃攻击 点击左上角的“文件”，再选择“设置”，勾选最下面的三个选项，点击“确定”。注：这样设置后是无法再打开任何新的程序的。如果要配合其他软件使用，请先打开其他软件再设置 查看并结束可疑进程。点击窗口左侧的“进程”，查看系统当前进程。显示为红色的为隐藏进程，系统默认是没有的（系统自带的“任务管理器”是看不到的，有时另一款功能强大的进程查看软件Process Explorer也无法查到），因为红色项应全部结束（当然主程序IceSword.exe除外）。如果你确定那些正常的，可以不关。 终止插入的DLL文件。很多木马程序都喜欢插入explorer.exe，来执行需要的操作，对于这些插入的DLL文件怎么办呢，选中explorer.exe进程，然后点右键菜单中的“模块信息”，会看到所嵌入进程的所有DLL文件，如果有病毒，即可找到病毒模块，点击卸载即可结束掉这个DLL，如果病毒程序比较厉害，可能无法卸载，那么强制解除就起到了作用，一般的DLL包括系统DLL都可以强制解除掉，所以慎用这个功能。 查看开放端口。木马需要发送收集的资料（比如账号密码）给种植木马的人就需要联网或者等待连接那么从端口状态下就可以轻易找出可疑程序。点击窗口左侧“端口”查看系统当前开放了哪些端口。 内核模块是加载到系统内核空间的PE模块，内核程序通过C:\windows\system32\ntkrnlpa.exe等程序启动，基本上是C：\windows\system32\drivers\下的驱动程序*.sys文件，当然也有少部分C：\windows\system32\目录下的sys文件，仅有很少的几个dll文件，我们的目标主机有3个冰刃中的内核模块只能查看简单的内核信息，靠知识去分析正常和不正常的内核。 查看启动组信息。和内核程序一样，只能查看，无法作任何处理。只显示以下几个地方的启动项目，不全面，可用冰刃的注册表删除可疑启动，操作方法见下文。注册表中，仅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run两个项目，文件夹包括C:\Documents and Settings\您所使用的用户名称\「开始」菜单\程序\启动和C:\Documents and Settings\All Users\「开始」菜单\程序\启动 显示隐藏服务。服务可以显示隐藏服务，用红色表示，和进程一样。修改服务状态（启动、停止等）打开服务，选中要进行操作的服务，按Ctrl键可以选择多个项目，在右键菜单里面选择要作的操作，比如停止、启动、暂停、恢复。这里面要注意一个问题，就是系统的关键服务是不能停止的，否则系统会自动重新启动计算机。这仅修改当前状态，而重新启动计算机后，如果服务的启动类型是自动，还会启动该服务。 冰刃对注册表有非常高的权限（管理权限），可以看到某些系统注册表编辑器中不可见的项目，所以在进行操作的时候要有十足把握，不要因为错删某些系统关键项目，使计算机系统崩溃。 文件是一个浏览计算机所有文件的地方，可以看到任何隐藏的文件，对付无法删除的文件，也可以使用强制删除等特殊方法删除，具体方法 ?以上是IceSword软件的使用方法。