IS的文件作有點(diǎn)類似于資源管理器，雖然作起來(lái)沒(méi)有那么方便，但是它的獨(dú)到功能在于具備反隱藏、反保護(hù)的功能。還有對(duì)安全的副作用是本來(lái)system32\config\SAM等文件是不能拷貝也不能打開(kāi)的，但I(xiàn)ceSword是可以直接拷貝的。類似于已經(jīng)加載的驅(qū)動(dòng)，如CNNIC的cdnport.sys這個(gè)文件，目前只有IS可以直接把它刪除，其它無(wú)論什么方式，都無(wú)法破除驅(qū)動(dòng)自身的保護(hù)。 
　　即使對(duì)大多數(shù)有用的unlocker，CopyLock、KillBox都是無(wú)效的。利用Windows的系統(tǒng)還沒(méi)有完全加載的刪除機(jī)制，通過(guò)在HKLM\SYSTEM\CurrentControlSet\Control\SessionManager下增加PendingFileRenameOperations，這個(gè)是所有刪除頑固文件工具的最后一招，但它也被驅(qū)動(dòng)保護(hù)變得無(wú)效了。以前的情況就是需要重啟啟動(dòng)到另外一個(gè)作系統(tǒng)下刪除。 


注冊(cè)表Regedit
　　
　　　　說(shuō)起Regedit的不足就太多了，比如它的名稱長(zhǎng)度限制，建一個(gè)全路徑名長(zhǎng)大于255字節(jié)的子項(xiàng)看看(編程或用其他工具，比如regedt32)，此項(xiàng)和位于它后面的子鍵在regedit中顯示不出來(lái);再如有意用程序建立的有特殊字符的子鍵regedit根本打不開(kāi)
　　IceSword中添加注冊(cè)表編輯并不是為了解決上面的問(wèn)題，因?yàn)橐呀?jīng)有了很多很好的工具可以代替Regedit。IceSword中的“注冊(cè)表”項(xiàng)是為了查找被木馬后門隱藏的注冊(cè)項(xiàng)而寫(xiě)的，它不受目前任何注冊(cè)表隱藏手法的蒙蔽，真正可靠的讓你看到注冊(cè)表實(shí)際內(nèi)容。 
　　
　　　　如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個(gè)鍵值，就是通過(guò)它來(lái)加載cndport.sys這個(gè)驅(qū)動(dòng)文件的。通過(guò)Regedit你刪除會(huì)直接出錯(cuò)，根本無(wú)法刪除。而用IS就可以輕易干掉。

　　 

　　 

另外Icesword還有查看端口.查看服務(wù).SPI和BHO. SSDT.消息鉤子等功能就不做介紹啦..自己發(fā)現(xiàn)..
　　 
　　IceSword的自身保護(hù)做的非常好..它顯示在系統(tǒng)任務(wù)欄或軟件標(biāo)題欄的都只是一串隨機(jī)字串..用戶每次打開(kāi)這把冰刃，所出現(xiàn)的字串都是隨機(jī)生成，隨機(jī)出現(xiàn)，都不相同(隨機(jī)五位/六位字串)，這樣很多通過(guò)標(biāo)題欄來(lái)關(guān)閉程序的木馬和后門在它面前都無(wú)功而返了。另外還可以改軟件名字.進(jìn)程名也會(huì)相應(yīng)改變.這樣那些木馬或后門就算通過(guò)鼠標(biāo)或鍵盤鉤子控制窗口退出按鈕，也不能結(jié)束IceSword的運(yùn)行了，只能在IceSword的面前乖乖就范了。AV終結(jié)者是最好的例子..

最新評(píng)論