IS的文件作有點(diǎn)類似于資源管理器，雖然作起來沒有那么方便，但是它的獨(dú)到功能在于具備反隱藏、反保護(hù)的功能。還有對(duì)安全的副作用是本來system32\config\SAM等文件是不能拷貝也不能打開的，但I(xiàn)ceSword是可以直接拷貝的。類似于已經(jīng)加載的驅(qū)動(dòng)，如CNNIC的cdnport.sys這個(gè)文件，目前只有IS可以直接把它刪除，其它無論什么方式，都無法破除驅(qū)動(dòng)自身的保護(hù)。 
　　即使對(duì)大多數(shù)有用的unlocker，CopyLock、KillBox都是無效的。利用Windows的系統(tǒng)還沒有完全加載的刪除機(jī)制，通過在HKLM\SYSTEM\CurrentControlSet\Control\SessionManager下增加PendingFileRenameOperations，這個(gè)是所有刪除頑固文件工具的最后一招，但它也被驅(qū)動(dòng)保護(hù)變得無效了。以前的情況就是需要重啟啟動(dòng)到另外一個(gè)作系統(tǒng)下刪除。 


注冊(cè)表Regedit
　　
　　　　說起Regedit的不足就太多了，比如它的名稱長度限制，建一個(gè)全路徑名長大于255字節(jié)的子項(xiàng)看看(編程或用其他工具，比如regedt32)，此項(xiàng)和位于它后面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本打不開
　　IceSword中添加注冊(cè)表編輯并不是為了解決上面的問題，因?yàn)橐呀?jīng)有了很多很好的工具可以代替Regedit。IceSword中的“注冊(cè)表”項(xiàng)是為了查找被木馬后門隱藏的注冊(cè)項(xiàng)而寫的，它不受目前任何注冊(cè)表隱藏手法的蒙蔽，真正可靠的讓你看到注冊(cè)表實(shí)際內(nèi)容。 
　　
　　　　如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個(gè)鍵值，就是通過它來加載cndport.sys這個(gè)驅(qū)動(dòng)文件的。通過Regedit你刪除會(huì)直接出錯(cuò)，根本無法刪除。而用IS就可以輕易干掉。

　　 

　　 

另外Icesword還有查看端口.查看服務(wù).SPI和BHO. SSDT.消息鉤子等功能就不做介紹啦..自己發(fā)現(xiàn)..
　　 
　　IceSword的自身保護(hù)做的非常好..它顯示在系統(tǒng)任務(wù)欄或軟件標(biāo)題欄的都只是一串隨機(jī)字串..用戶每次打開這把冰刃，所出現(xiàn)的字串都是隨機(jī)生成，隨機(jī)出現(xiàn)，都不相同(隨機(jī)五位/六位字串)，這樣很多通過標(biāo)題欄來關(guān)閉程序的木馬和后門在它面前都無功而返了。另外還可以改軟件名字.進(jìn)程名也會(huì)相應(yīng)改變.這樣那些木馬或后門就算通過鼠標(biāo)或鍵盤鉤子控制窗口退出按鈕，也不能結(jié)束IceSword的運(yùn)行了，只能在IceSword的面前乖乖就范了。AV終結(jié)者是最好的例子..

最新評(píng)論