IS的文件作有點類似于資源管理器，雖然作起來沒有那么方便，但是它的獨到功能在于具備反隱藏、反保護的功能。還有對安全的副作用是本來system32\config\SAM等文件是不能拷貝也不能打開的，但IceSword是可以直接拷貝的。類似于已經(jīng)加載的驅(qū)動，如CNNIC的cdnport.sys這個文件，目前只有IS可以直接把它刪除，其它無論什么方式，都無法破除驅(qū)動自身的保護。 
　　即使對大多數(shù)有用的unlocker，CopyLock、KillBox都是無效的。利用Windows的系統(tǒng)還沒有完全加載的刪除機制，通過在HKLM\SYSTEM\CurrentControlSet\Control\SessionManager下增加PendingFileRenameOperations，這個是所有刪除頑固文件工具的最后一招，但它也被驅(qū)動保護變得無效了。以前的情況就是需要重啟啟動到另外一個作系統(tǒng)下刪除。 


注冊表Regedit
　　
　　　　說起Regedit的不足就太多了，比如它的名稱長度限制，建一個全路徑名長大于255字節(jié)的子項看看(編程或用其他工具，比如regedt32)，此項和位于它后面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本打不開
　　IceSword中添加注冊表編輯并不是為了解決上面的問題，因為已經(jīng)有了很多很好的工具可以代替Regedit。IceSword中的“注冊表”項是為了查找被木馬后門隱藏的注冊項而寫的，它不受目前任何注冊表隱藏手法的蒙蔽，真正可靠的讓你看到注冊表實際內(nèi)容。 
　　
　　　　如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個鍵值，就是通過它來加載cndport.sys這個驅(qū)動文件的。通過Regedit你刪除會直接出錯，根本無法刪除。而用IS就可以輕易干掉。

　　 

　　 

另外Icesword還有查看端口.查看服務(wù).SPI和BHO. SSDT.消息鉤子等功能就不做介紹啦..自己發(fā)現(xiàn)..
　　 
　　IceSword的自身保護做的非常好..它顯示在系統(tǒng)任務(wù)欄或軟件標題欄的都只是一串隨機字串..用戶每次打開這把冰刃，所出現(xiàn)的字串都是隨機生成，隨機出現(xiàn)，都不相同(隨機五位/六位字串)，這樣很多通過標題欄來關(guān)閉程序的木馬和后門在它面前都無功而返了。另外還可以改軟件名字.進程名也會相應(yīng)改變.這樣那些木馬或后門就算通過鼠標或鍵盤鉤子控制窗口退出按鈕，也不能結(jié)束IceSword的運行了，只能在IceSword的面前乖乖就范了。AV終結(jié)者是最好的例子..

最新評論