¿Cómo utilizar IceSord?
IceSword, también conocida como cuchilla de hielo o cuchilla de hielo, a veces denominada IS, es una herramienta de limpieza y diagnóstico de sistemas producida por PJF de USTC.
Existen innumerables herramientas para eliminar software malicioso. ¿Por qué se la considera la herramienta número uno? Las razones son las siguientes:
1) ¿Tiene archivos a menudo que no se pueden eliminar? Como el archivo CNNIC o 3721
2) ¿Hay a menudo un registro que le impide modificarlo? Por ejemplo, el registro de CNNIC está protegido automáticamente por CNNIC
3) ¿Hay a menudo? ¿Un proceso que no se puede eliminar y muestra el mensaje "No se puede completar"?
4) ¿El navegador tiene demasiados complementos?
5) ¿Hay procesos y puertos que no se pueden eliminar? ¿Están ocultos cuando se ejecutan algunos programas?
6) ¿Hay algunos archivos de software fraudulentos que no se pueden ver en el administrador de recursos?
1. ¿Se utilizan la mayoría de las llamadas herramientas de proceso? Toolhlp32 de Windows o llamadas al sistema psapi o ZwQuerySystemInformation (las dos primeras eventualmente usan esta llamada), cualquier ApiHook puede eliminarlos fácilmente, sin mencionar algunas puertas traseras a nivel del kernel, muy pocas herramientas usan la estructura de programación de subprocesos del kernel para consultar el proceso; La solución debe estar codificada, no solo las diferentes versiones del sistema son diferentes, un parche también puede requerir actualizar el programa y algunas personas también han propuesto métodos para evitar este tipo de búsqueda. La solución de estado central de búsqueda de procesos de IceSword es actualmente única y considera completamente los posibles métodos de ocultación de las puertas traseras del kernel. Actualmente, puede detectar todos los procesos ocultos.
2. La mayoría de las herramientas también usan Toolhlp32 y psapi para encontrar el nombre de la ruta del proceso. La primera llamará a la función RtlDebug*** para inyectar subprocesos remotos en el objetivo, y la segunda usará la API de depuración para. leer la memoria del proceso de destino Esencialmente Las anteriores son todas las enumeraciones de PEB. Al modificar el PEB, estas herramientas se pueden encontrar fácilmente. La solución principal de IceSword muestra la ruta completa tal como está, y al cortar a otras rutas durante el tiempo de ejecución también se mostrará.
3. El módulo dll de proceso es el mismo que el 2. Otras herramientas que usan PEB serán fácilmente engañadas, pero IceSword no cometerá ningún error (hay muy pocos sistemas que no lo admitan. En este momento tiempo, el PEB todavía se utiliza para enumerar).
4. El proceso de eliminación de IceSword es poderoso y conveniente (por supuesto, también es peligroso). Se pueden eliminar fácilmente varios procesos seleccionados juntos. Por supuesto, no es exacto decir que es arbitrario, excepto por tres: proceso inactivo, proceso del sistema y proceso csrss. Los motivos no se detallarán. El resto de los procesos se pueden eliminar fácilmente. Por supuesto, algunos procesos (como winlogon) bloquearán el sistema después de ser eliminados.
5. De hecho, existen muchas herramientas de puertos en Internet, pero también hay muchas formas de ocultar puertos en Internet. Esos métodos son completamente inviables para IceSword. De hecho, quería incorporar un firewall para la búsqueda dinámica, pero no quería sobrecargarlo demasiado. El puerto aquí se refiere al puerto al que pertenece la pila de protocolos Tcpip IPv4 de Windows. Las pilas de protocolos de terceros o las pilas IPv6 no están incluidas en esta lista.
En la actualidad, algunos programas maliciosos adoptan todo tipo de métodos: inyección de subprocesos, ocultación de procesos, ocultación de archivos y protección de controladores. Es muy difícil para los usuarios normales eliminar archivos o encontrar procesos. Algunos de ellos lo han visto, pero no pueden eliminarlo ni eliminarlo. Están ansiosos, pero si no funciona, aún necesitan eliminar el archivo de otro sistema operativo. Por ejemplo, el software fraudulento que utiliza protección de controladores, como CNNIC, Yahoo Assistant, etc., cuando se carga el controlador .sys, filtra archivos y operaciones de registro, devuelve directamente un verdadero y Windows indica que el archivo se ha eliminado. pero a primera vista, todavía está ahí. Algunas herramientas de eliminación de archivos, como el desbloqueo, no son efectivas. IceSword es la única herramienta conocida actualmente que puede eliminar directamente dichos controladores cargados y proteger el registro. La eliminación de software fraudulento como CNNIC se puede completar sin reiniciar.
IS ha adoptado muchos métodos y medios novedosos a nivel de kernel. Sus detalles técnicos no se analizan en este artículo. Lo siguiente trata principalmente sobre sus funciones principales desde la perspectiva del usuario. ■Ver procesos
Incluyendo la dirección del archivo del proceso en ejecución, varios procesos ocultos y prioridades. También puede usarlo para eliminar fácilmente procesos que no se pueden eliminar con herramientas como el Administrador de tareas y Procexp. También puede ver la información del hilo y del módulo del proceso, finalizar el hilo, etc.
■Ver puertos
Herramientas similares a cport y ActivePort muestran los puertos abiertos actualmente y las direcciones y nombres de las aplicaciones correspondientes. Incluyendo herramientas que utilizan varios medios para ocultar puertos, todos son visibles debajo.
■El módulo del kernel se carga en el sistema y el módulo PE en el espacio suele ser el controlador *.sys. Puede ver varios controladores cargados. Incluyendo algunos archivos de controladores ocultos, como el propio IsDrv118.sys de IS, que es invisible en el administrador de recursos.
■Grupo de inicio
Los métodos relacionados en el grupo de inicio de Windows son relativamente fáciles de entender. Pero desafortunadamente, no aparece ningún mensaje para eliminar, solo se puede ver.
■Servicio
Se utiliza para ver servicios ocultos o no ocultos en el sistema. Los servicios ocultos se muestran en rojo. Proporciona operaciones sobre servicios como iniciar, detener, deshabilitar, etc.
■SPI y BHO
Estos dos se están volviendo cada vez más populares entre el software fraudulento. SPI es una interfaz que proporciona servicios, es decir, todas las operaciones de red de Windows envían y reciben paquetes de datos a través de esta interfaz. Muchos software maliciosos reemplazan este .dll para que pueda monitorear los paquetes de todos los usuarios que acceden a la red y entregar anuncios dirigidos. Si no está seguro, eliminar este .dll hará que la red quede inutilizable y no pueda acceder a Internet. Herramientas como LSPFix están diseñadas para esta función. Sin mencionar BHO, que es un complemento auxiliar para el navegador. Cuando el usuario inicia el navegador, automáticamente puede iniciar y mostrar ventanas publicitarias, etc. Estos dos elementos sólo proporcionan funciones de visualización.
■SSDT (Tabla de descriptores de servicios del sistema)
Tabla de descriptores de servicios del sistema. Las puertas traseras a nivel de kernel pueden modificar esta tabla de servicios para interceptar llamadas a funciones de servicio de su sistema, especialmente algunas antiguas. Los rootkits, como el ntrootkit mencionado anteriormente, utilizan este gancho para ocultar el registro y los archivos. El valor modificado se muestra en rojo. Por supuesto, algunos programas de seguridad también lo modificarán, como regmon.
■Enganche de mensaje
Si usa SetWindowsHookEx en una dll para configurar un enlace global, el sistema lo cargará en el proceso usando user32, por lo que también se puede explotar como un enlace sin proceso. Troyano. Medios de inyección de procesos.
■Monitoreo de creación y terminación de subprocesos
"Supervisar la creación de subprocesos entrantes" registra las llamadas de creación de subprocesos entrantes durante la ejecución de IceSword en el búfer circular, y "supervisar la terminación del proceso" registra un proceso terminado por otros procesos. Un ejemplo para ilustrar la función: cuando se está ejecutando un proceso de troyano o virus, verifique si hay un proceso de un programa antivirus como Norton y elimínelo si lo hay. Si IceSword se está ejecutando, esta operación se registrará. , y podrá averiguar qué proceso lo hizo. De este modo, se pueden descubrir y finalizar procesos troyanos o virales. Otro ejemplo: un troyano o virus utiliza tecnología de protección de subprocesos múltiples. Descubre que un proceso anormal finaliza y luego se inicia nuevamente. Puede usar IceSword para descubrir qué subproceso creó este proceso y eliminarlos juntos. Puede utilizar el elemento del menú "Configuración" durante el proceso: seleccione "Desactivar la creación de subprocesos entrantes" en el cuadro de diálogo de configuración. En este momento, el sistema no puede crear procesos o subprocesos. Después de eliminar de forma segura los subprocesos entrantes sospechosos, puede cancelarlos. prohibición.
■¿Cuáles son las deficiencias del registro Regedit?
Hablando de las deficiencias de Regedit, hay demasiadas, como el límite de longitud del nombre, que crea una ruta de nombre completa de más de 255 bytes. Si observa las subclaves (programando o usando otras herramientas, como regedt32), este elemento y las subclaves detrás de él no se pueden mostrar en regedit, además, regedit no puede abrir subclaves con caracteres especiales creados intencionalmente por un programa.
La adición de la edición del registro en IceSword no resuelve los problemas anteriores, porque ya existen muchas buenas herramientas que pueden reemplazar a Regedit. El elemento "registro" en IceSword está escrito para encontrar elementos de registro ocultos por puertas traseras troyanos. No está cegado por ninguna técnica de ocultación de registro actual y le permite ver de manera verdadera y confiable el contenido real del registro.
Por ejemplo, el valor clave HKLM\SYSTEM\CurrentControlSet\Services\dnport agregado por CNNIC se utiliza para cargar el archivo del controlador cndport.sys. Si lo elimina a través de Regedit, directamente cometerá un error y no se podrá eliminar en absoluto. Pero el Estado Islámico puede matarlo fácilmente.
■Operación de archivos
La operación de archivos de IS es algo similar a la del administrador de recursos. Aunque no es tan conveniente de operar, su función única radica en su función anti-ocultación. -Funciones de protección. Otro efecto secundario sobre la seguridad es que archivos como system32\config\SAM no se pueden copiar ni abrir, pero IceSword se puede copiar directamente. De manera similar al controlador cargado, como el archivo cdnport.sys de CNNIC, actualmente solo IS puede eliminarlo directamente. Ningún otro método puede romper la protección del controlador en sí.
Incluso para los desbloqueadores más útiles, CopyLock y KillBox son ineficaces. Aprovechando el mecanismo de eliminación que el sistema Windows no ha cargado completamente, agregando PendingFileRenameOperations en HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, este es el último recurso para todas las herramientas de eliminación de archivos rebeldes, pero el controlador también lo vuelve ineficaz. protección. En el pasado, era necesario reiniciar e iniciar en otro sistema operativo para eliminarlo.
----Aquellos que crean software fraudulento realmente utilizan todos sus métodos.
Las funciones internas de IceSword son muy potentes. Tal vez haya utilizado muchos software con funciones similares, como algunas herramientas de proceso y herramientas de puerto, pero ahora las funciones de puerta trasera a nivel del sistema se están volviendo cada vez más poderosas. En general, puede ocultar fácilmente procesos, puertos, registro e información de archivos. Herramientas comunes No hay forma de descubrir estos "cerebros". IceSword utiliza muchas tecnologías de kernel novedosas para hacer invisibles estas puertas traseras.
IceSword utiliza muchas tecnologías novedosas, lo cual es diferente de otras herramientas de proceso ordinarias. Por ejemplo, IceSword puede finalizar el proceso inactivo y el proceso del sistema. , csrss Procesa todos los procesos excepto estos tres procesos, esto es algo que otro software similar no puede hacer. Por supuesto, algunos procesos no se pueden finalizar de manera casual, como el proceso winlogon.exe del sistema. Una vez finalizado, el sistema también fallará.