IceSword (冰刃) 應(yīng)用圖文指南第2/2頁
更新時間:2008年01月24日 22:29:33 作者:
IceSword (冰刃) 應(yīng)用圖文指南
IS的文件作有點類似于資源管理器,雖然作起來沒有那么方便,但是它的獨到功能在于具備反隱藏、反保護的功能。還有對安全的副作用是本來system32\config\SAM等文件是不能拷貝也不能打開的,但IceSword是可以直接拷貝的。類似于已經(jīng)加載的驅(qū)動,如CNNIC的cdnport.sys這個文件,目前只有IS可以直接把它刪除,其它無論什么方式,都無法破除驅(qū)動自身的保護。
即使對大多數(shù)有用的unlocker,CopyLock、KillBox都是無效的。利用Windows的系統(tǒng)還沒有完全加載的刪除機制,通過在HKLM\SYSTEM\CurrentControlSet\Control\SessionManager下增加PendingFileRenameOperations,這個是所有刪除頑固文件工具的最后一招,但它也被驅(qū)動保護變得無效了。以前的情況就是需要重啟啟動到另外一個作系統(tǒng)下刪除。


注冊表Regedit
說起Regedit的不足就太多了,比如它的名稱長度限制,建一個全路徑名長大于255字節(jié)的子項看看(編程或用其他工具,比如regedt32),此項和位于它后面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本打不開
IceSword中添加注冊表編輯并不是為了解決上面的問題,因為已經(jīng)有了很多很好的工具可以代替Regedit。IceSword中的“注冊表”項是為了查找被木馬后門隱藏的注冊項而寫的,它不受目前任何注冊表隱藏手法的蒙蔽,真正可靠的讓你看到注冊表實際內(nèi)容。
如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個鍵值,就是通過它來加載cndport.sys這個驅(qū)動文件的。通過Regedit你刪除會直接出錯,根本無法刪除。而用IS就可以輕易干掉。



另外Icesword還有查看端口.查看服務(wù).SPI和BHO. SSDT.消息鉤子等功能就不做介紹啦..自己發(fā)現(xiàn)..
IceSword的自身保護做的非常好..它顯示在系統(tǒng)任務(wù)欄或軟件標題欄的都只是一串隨機字串..用戶每次打開這把冰刃,所出現(xiàn)的字串都是隨機生成,隨機出現(xiàn),都不相同(隨機五位/六位字串),這樣很多通過標題欄來關(guān)閉程序的木馬和后門在它面前都無功而返了。另外還可以改軟件名字.進程名也會相應(yīng)改變.這樣那些木馬或后門就算通過鼠標或鍵盤鉤子控制窗口退出按鈕,也不能結(jié)束IceSword的運行了,只能在IceSword的面前乖乖就范了。AV終結(jié)者是最好的例子..
相關(guān)文章
揪出交換機端口背后“兇手”導(dǎo)致網(wǎng)速太慢
揪出交換機端口背后“兇手”導(dǎo)致網(wǎng)速太慢...2007-11-11談?wù)劶夹g(shù)原則,技術(shù)學(xué)習(xí)方法個人總結(jié)
談?wù)劶夹g(shù)原則,技術(shù)學(xué)習(xí)方法,代碼閱讀及其它個人總結(jié)這篇文章是前一陣在水木BBS上和別人討論中偶自己發(fā)言的摘編,是偶這幾年開發(fā)過程完全經(jīng)驗式的總結(jié)。完全個人經(jīng)驗,供批判。2008-06-06