IceSword (冰刃) 應用圖文指南第2/2頁
更新時間:2008年01月24日 22:29:33 作者:
IceSword (冰刃) 應用圖文指南
IS的文件作有點類似于資源管理器,雖然作起來沒有那么方便,但是它的獨到功能在于具備反隱藏、反保護的功能。還有對安全的副作用是本來system32\config\SAM等文件是不能拷貝也不能打開的,但IceSword是可以直接拷貝的。類似于已經(jīng)加載的驅動,如CNNIC的cdnport.sys這個文件,目前只有IS可以直接把它刪除,其它無論什么方式,都無法破除驅動自身的保護。
即使對大多數(shù)有用的unlocker,CopyLock、KillBox都是無效的。利用Windows的系統(tǒng)還沒有完全加載的刪除機制,通過在HKLM\SYSTEM\CurrentControlSet\Control\SessionManager下增加PendingFileRenameOperations,這個是所有刪除頑固文件工具的最后一招,但它也被驅動保護變得無效了。以前的情況就是需要重啟啟動到另外一個作系統(tǒng)下刪除。


注冊表Regedit
說起Regedit的不足就太多了,比如它的名稱長度限制,建一個全路徑名長大于255字節(jié)的子項看看(編程或用其他工具,比如regedt32),此項和位于它后面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本打不開
IceSword中添加注冊表編輯并不是為了解決上面的問題,因為已經(jīng)有了很多很好的工具可以代替Regedit。IceSword中的“注冊表”項是為了查找被木馬后門隱藏的注冊項而寫的,它不受目前任何注冊表隱藏手法的蒙蔽,真正可靠的讓你看到注冊表實際內容。
如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個鍵值,就是通過它來加載cndport.sys這個驅動文件的。通過Regedit你刪除會直接出錯,根本無法刪除。而用IS就可以輕易干掉。



另外Icesword還有查看端口.查看服務.SPI和BHO. SSDT.消息鉤子等功能就不做介紹啦..自己發(fā)現(xiàn)..
IceSword的自身保護做的非常好..它顯示在系統(tǒng)任務欄或軟件標題欄的都只是一串隨機字串..用戶每次打開這把冰刃,所出現(xiàn)的字串都是隨機生成,隨機出現(xiàn),都不相同(隨機五位/六位字串),這樣很多通過標題欄來關閉程序的木馬和后門在它面前都無功而返了。另外還可以改軟件名字.進程名也會相應改變.這樣那些木馬或后門就算通過鼠標或鍵盤鉤子控制窗口退出按鈕,也不能結束IceSword的運行了,只能在IceSword的面前乖乖就范了。AV終結者是最好的例子..