第一部分：冰刃殺毒流程。

在基礎(chǔ)篇里面，我向大家介紹了有關(guān)所有冰刃的基礎(chǔ)使用方法，那么怎么用冰刃來(lái)殺毒呢？這個(gè)寫(xiě)一下大概的流程。

第一步：禁止運(yùn)行進(jìn)程。打開(kāi)所有需要的軟件和文件夾后，可以通過(guò)菜單里面禁止進(jìn)線程建立，具體方法看基礎(chǔ)篇，里面有詳細(xì)介紹。

第二步：結(jié)束病毒進(jìn)程。結(jié)束所有與病毒有關(guān)的進(jìn)程，還要結(jié)束某些與系統(tǒng)進(jìn)程無(wú)關(guān)的進(jìn)程，可能包括一些額外的應(yīng)用程序，包括桌面文件等等。這個(gè)為了保持病毒不會(huì)因?yàn)槟承┻M(jìn)程而重新被調(diào)用。

第三步：處理啟動(dòng)項(xiàng)目，處理服務(wù)、注冊(cè)表等啟動(dòng)項(xiàng)目，分別在冰刃查看——服務(wù)、注冊(cè)表、文件中處理。具體方法可以看基礎(chǔ)篇。

第四步：刪除病毒文件。刪除所有可能的病毒進(jìn)程，當(dāng)然如果要備份，可以利用冰刃的復(fù)制功能，把病毒副本復(fù)制出來(lái)。如果復(fù)制病毒樣本，需要一些技術(shù)，因?yàn)楹芏嗖《救绻幚聿划?dāng)，在重新啟動(dòng)后還會(huì)恢復(fù)回來(lái)。

第五步：重新啟動(dòng)計(jì)算機(jī)，你可以利用冰刃的重啟并監(jiān)視這個(gè)功能，我會(huì)下面的部分介紹。也可以利用計(jì)算機(jī)系統(tǒng)的重新啟動(dòng)功能，但是要把禁止進(jìn)程建立的對(duì)勾去掉，并且在運(yùn)行冰刃的前提下重新啟動(dòng)。這一步的目的為了防止某些潛入式DLL潛入到系統(tǒng)進(jìn)程中作亂，而且無(wú)法刪除。比如潛入到Winlogon中的DLL用基礎(chǔ)篇里面的方法可能會(huì)出現(xiàn)藍(lán)屏。

第六步：做進(jìn)一步檢查，檢查文件刪除情況，注冊(cè)表刪除情況。

第七步：檢查應(yīng)用程序。很多病毒會(huì)修改應(yīng)用程序，達(dá)到保護(hù)自己的目的，比如：盜取QQ的軟件，會(huì)修改QQ.exe，當(dāng)運(yùn)行QQ軟件的時(shí)候病毒會(huì)重新被加載，所以要通過(guò)冰刃的線程監(jiān)控，還有文件進(jìn)行進(jìn)一步的監(jiān)控。

第八步：處理可疑文件。在以上所有步驟過(guò)程中，一般都會(huì)出現(xiàn)一些不認(rèn)識(shí)的或者不知道的程序，對(duì)這些程序我們做的就是最后處理，重點(diǎn)在于分析這些程序到底有無(wú)用處。到底是什么軟件釋放的，或者病毒釋放的。這個(gè)一般要高手才能進(jìn)行。

最后一步：特別處理，重點(diǎn)處理病毒修改的系統(tǒng)設(shè)置，比如隱藏文件的設(shè)置、HOST文件的修改、主頁(yè)等IE項(xiàng)目的修改、文件關(guān)聯(lián)的修改等等。這些修改一般都要等殺毒結(jié)束后進(jìn)行。

這個(gè)殺毒過(guò)程只是最基本的，和我自己給人解決問(wèn)題時(shí)候套用的一個(gè)格式有一些關(guān)系?？催^(guò)這個(gè)以后，對(duì)于我的刪除方法會(huì)有一定了解

第二部分：刪除頑固病毒文件

這一部分在基礎(chǔ)篇中提到，但是當(dāng)時(shí)我沒(méi)有測(cè)試，小聰給我的結(jié)果讓我很驚訝，怎么會(huì)不能成功，我就想了想做進(jìn)一步的實(shí)驗(yàn)。此實(shí)驗(yàn)在虛擬機(jī)下進(jìn)行，如果沒(méi)有虛擬機(jī)請(qǐng)不要模仿。

因?yàn)槲覜](méi)有釋放頑固病毒的樣本，只能運(yùn)用計(jì)算機(jī)系統(tǒng)中最基礎(chǔ)的文件，考慮到非常難刪除的病毒文件都是SYS文件，我選擇了C:\WINDOWS\system32\drivers\acpi.sys文件進(jìn)行進(jìn)一步測(cè)試，這個(gè)文件是系統(tǒng)基礎(chǔ)文件，不要輕易刪除。

此文件很像某些病毒，刪除它還會(huì)重新生成一個(gè)新的文件，我們就用它來(lái)進(jìn)行新的測(cè)試。第一次測(cè)試是在正常模式下，在c:\建立一個(gè)名稱為acpi.sys的文件，并設(shè)置了只讀、系統(tǒng)、隱藏三個(gè)屬性，用冰刃強(qiáng)制刪除此文件，再以最快速度考入，觀察，確實(shí)可以達(dá)到2分鐘的目的，也就是說(shuō)2分鐘后系統(tǒng)會(huì)自動(dòng)把此文件修改會(huì)上面的樣子，并且大小相同。第二次測(cè)試是根據(jù)基礎(chǔ)篇敘述禁止了進(jìn)線程創(chuàng)建（方法詳見(jiàn)基礎(chǔ)篇最后部分的一）的模式下進(jìn)行，利用冰刃可以刪除文件，并且保證在此模式的前提條件下并不被刪除，也不會(huì)被覆蓋，但是當(dāng)模式改變，就會(huì)被快速替換。猜想，測(cè)試到此發(fā)現(xiàn)，頑固病毒文件冰刃刪除不了，但是它真的無(wú)能為力，我覺(jué)得不會(huì)，禁止進(jìn)線程建立只是禁止了全部的進(jìn)線程建立，那么我們可不可以用冰刃禁止一部分呢？等待我們的是進(jìn)一步測(cè)試，如果成功，那么冰刃也可以刪除頑固文件了。

第三部分 冰刃的運(yùn)行原理

在這一部分，我主要講的是為什么冰刃可以檢查隱藏進(jìn)程、可以那么強(qiáng)大。我們現(xiàn)在知道，有很多免費(fèi)軟件都可以進(jìn)行進(jìn)程、端口、注冊(cè)表的檢查，但是為什么冰刃的功能會(huì)比其他軟件好呢？下面就看看以下回答吧。 字串6

第一，絕大多數(shù)所謂的進(jìn)程工具都是利用Windows的Toolhlp32或者psapi再或者ZwQuerySystemInformation系統(tǒng)調(diào)用來(lái)編寫(xiě)的，隨便一個(gè)ApiHook就可以輕松的干掉它們了，更不用說(shuō)那些內(nèi)核級(jí)別的后門(mén)了。此外還有極少數(shù)工具利用內(nèi)核線程調(diào)度結(jié)構(gòu)來(lái)查詢進(jìn)程，這種方案需要硬編碼，這不僅因不同版本的系統(tǒng)而各異，而且打個(gè)補(bǔ)丁也可能需要升級(jí)程序，并且現(xiàn)在還有人提出過(guò)防止此種查找的方法。而IceSword的進(jìn)程查找核心態(tài)方案是目前比較特殊的，并且充分考慮到內(nèi)核后面可能的隱藏手段，可以查到目前大部分隱藏進(jìn)程。 字串2

第二，絕大多數(shù)工具查找進(jìn)程路徑名也通過(guò)Toolhlp32和psapi，前者會(huì)調(diào)用RtlDebug函數(shù)向目標(biāo)注入遠(yuǎn)線程，后者會(huì)調(diào)用api讀取目標(biāo)進(jìn)程內(nèi)存，其本質(zhì)上都是對(duì)PEB的枚舉，因此，通過(guò)修改PEB就可以輕易讓這些工具失靈。而IceSword的核心態(tài)方案采用全路徑展示，運(yùn)行時(shí)剪切到的其他路徑也會(huì)顯示出來(lái)。

第三，進(jìn)程dll模塊與前一種情況一樣，利用PEB的其他工具會(huì)被輕易欺騙，而IceSword不會(huì)弄錯(cuò)，如果系統(tǒng)不支持，這時(shí)候會(huì)采用枚舉PEB。

第四，IceSword的進(jìn)程殺除功能強(qiáng)大且方便，可輕易將選中的多個(gè)進(jìn)程一并殺除，其中包括系統(tǒng)進(jìn)程（除idle進(jìn)程、System進(jìn)程、csrss進(jìn)程），此時(shí)系統(tǒng)可能會(huì)出現(xiàn)藍(lán)屏、重啟等狀況。

 

注：以上內(nèi)容參考《計(jì)算機(jī)病毒分析與防范大全》278頁(yè)

根據(jù)以上敘述，我們可以看出，一般病毒不會(huì)輕易結(jié)束掉冰刃的進(jìn)程，但是某些病毒為了保護(hù)自己，根據(jù)進(jìn)程名稱結(jié)束了冰刃，這時(shí)只要修改冰刃主程序（IceSword.exe）的名稱就可以了。 字串5

根據(jù)某期《黑客防線》的介紹，好像有一種方法可以對(duì)付冰刃，徹底結(jié)束冰刃。

以上只是簡(jiǎn)單說(shuō)明了以下冰刃的原理，它的顯示進(jìn)程的算法與其他軟件不同，所以可以很好的結(jié)束大部分進(jìn)程。這個(gè)也是為什么第一次運(yùn)行冰刃需要管理員帳戶的原因之一。

冰刃在啟動(dòng)的時(shí)候會(huì)加載很復(fù)雜的東西，其中包括一些dll文件和系統(tǒng)驅(qū)動(dòng)文件，這些也必須需要管理員賬戶，并且開(kāi)啟某個(gè)特定的服務(wù)才能啟動(dòng)。所以冰刃第一次在普通用戶組或者安全模式下是無(wú)法啟動(dòng)的，顯示如圖二的提示框。

第四部分 冰刃對(duì)DLL文件的處理

 

沒(méi)有找到類(lèi)似病毒，我在測(cè)試病毒的時(shí)候如果有雷同就可以對(duì)這一部分進(jìn)行更新。

   

第五部分 菜單高級(jí)應(yīng)用

在基礎(chǔ)篇中，我講了如何應(yīng)用菜單的設(shè)置，禁止進(jìn)程或者線程的建立，我們現(xiàn)在看看其他菜單項(xiàng)目的應(yīng)用。在文件下拉菜單中，有設(shè)置、重啟并監(jiān)視、創(chuàng)建進(jìn)程規(guī)則、創(chuàng)建線程規(guī)則等幾個(gè)項(xiàng)目

 

在對(duì)軟件做講解之前，首先說(shuō)明第一注意事項(xiàng)：此程序運(yùn)行時(shí)不可激活內(nèi)核調(diào)試器(如softice)，否則系統(tǒng)即刻崩潰。另外使用前請(qǐng)保存好您的數(shù)據(jù)，以防萬(wàn)一未知的Bug帶來(lái)?yè)p失。

IceSword內(nèi)部功能是十分強(qiáng)大的。可能您也用過(guò)很多類(lèi)似功能的軟件，比如一些進(jìn)程工具、端口工具，但是現(xiàn)在的系統(tǒng)級(jí)后門(mén)功能越來(lái)越強(qiáng)，一般都可輕而 易舉地隱藏進(jìn)程、端口、注冊(cè)表、文件信息，一般的工具根本無(wú)法發(fā)現(xiàn)這些“幕后黑手”。IceSwo rd使用大量新穎的內(nèi)核技術(shù)，使得這些后門(mén)躲無(wú)所躲。

IceSword FAQ 進(jìn)程、端口、服務(wù)篇

問(wèn)：現(xiàn)在進(jìn)程端口工具很多，什么要使用IceSword？
答：1、絕大多數(shù)所謂的進(jìn)程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation 系統(tǒng)調(diào)用（前二者最終也用到此調(diào)用）編寫(xiě)，隨便一個(gè)ApiHook就可輕輕松松干掉它們，更不用說(shuō)一些內(nèi)核級(jí) 后門(mén)了；極少數(shù)工具利用內(nèi)核線程調(diào)度結(jié)構(gòu)來(lái)查詢進(jìn)程，這種方案需要硬編碼，不僅不同版本系統(tǒng)不同，打個(gè)補(bǔ)丁也可能需要升級(jí)程序，并且現(xiàn)在有人也提出過(guò)防止 此種查找的方法。而IceSword的進(jìn)程查找核心態(tài)方案是目前獨(dú)一無(wú)二，并且充分考慮內(nèi)核后門(mén)可能的隱藏手段，目前可以查出所有隱藏進(jìn)程。

2、絕大多數(shù)工具查找進(jìn)程路徑名也是通過(guò)Toolhlp32、psapi，前者會(huì)調(diào)用RtlDebug***函數(shù)向目標(biāo)注入遠(yuǎn)線程，后者會(huì)用調(diào)試 api讀取目標(biāo)進(jìn)程內(nèi)，本質(zhì)上都是對(duì)PEB的枚舉，前面我的blog提到過(guò)輕易修改PEB就讓這些工具找不到 北了。而IceSword的核心態(tài)方案原原本本地將全路徑展示，就算運(yùn)行時(shí)剪切到其他路徑也會(huì)隨之顯示。

3、進(jìn)程dll模塊與2的情況也是一樣，利用PEB的其他工具會(huì)被輕易欺騙，而IceSword不會(huì)弄錯(cuò)。

4、IceSword的進(jìn)程殺除強(qiáng)大且方便（當(dāng)然也會(huì)有危險(xiǎn)）?？奢p易將選中的多個(gè)任意進(jìn)程一并殺除。當(dāng)然，說(shuō)任意不確切，除去三個(gè)：idle進(jìn) 程、System進(jìn)程、csrss進(jìn)程，原因就不詳述了。其余進(jìn)程可輕易殺死，當(dāng)然有些進(jìn)程（如winlogon）殺掉后系統(tǒng)就崩潰了。

5、對(duì)于端口工具，網(wǎng)上的確有很多，不過(guò)網(wǎng)上隱藏端口的方法也很多，那些方法對(duì)IceSword可是完全行不通的。其實(shí)本想帶個(gè)防火墻動(dòng)態(tài)查找，不過(guò)不想弄得太臃腫。

問(wèn)：windows自帶的服務(wù)工具強(qiáng)大且方便，IceSowrd有什么更好的特點(diǎn)呢？
答：因?yàn)楸容^懶，界面使用上的確沒(méi)它來(lái)的好，不過(guò)IceSword的服務(wù)功能主要是查看木馬服務(wù)的，使用還是很方便的。舉個(gè)例子，順便談一類(lèi)木馬 的查找：有一種利用svchost的木馬，怎么利用的呢？svchost是一些共享進(jìn)程服務(wù)的宿主，有些木馬就以dll存在，依*svchost運(yùn)作，如 何找出它們呢？首先看進(jìn)程一欄，發(fā)現(xiàn)svchost過(guò)多，特別注意一下pid較大的，記住它們的pid，到服務(wù)一欄，就可找到pid對(duì)應(yīng)的服務(wù)項(xiàng)，配合注 冊(cè)表查看它的dll文件路徑（由服務(wù)項(xiàng)的第一欄所列名稱到注冊(cè)表的services子鍵下找對(duì)應(yīng)名稱的子鍵），根據(jù)它是不是慣常的服務(wù)項(xiàng)，很容易發(fā)現(xiàn)異 常。剩下的工作就是停止任務(wù)或結(jié)束進(jìn)程、刪除文件、恢復(fù)注冊(cè)表 之類(lèi)的了，當(dāng)然過(guò)程中需要你對(duì)服務(wù)有一般的知識(shí)。

問(wèn)：那么什么樣的木馬后門(mén)才會(huì)隱藏進(jìn)程注冊(cè)表文件的？用IceSword又如何查找呢？
答：比如近來(lái)很流行且開(kāi)源（容易出變種）的hxdef就是這么一個(gè)后門(mén)。雖然它帶有一個(gè)驅(qū)動(dòng)，不過(guò)還只能算一個(gè)系統(tǒng)級(jí)后門(mén)，還稱不上內(nèi)核級(jí)。不過(guò) 就這樣的一個(gè)后門(mén)，你用一些工具，***專(zhuān)家、***大師、***克星看看，能不能看到它的進(jìn)程、注冊(cè)項(xiàng)、服務(wù) 以及目錄文件，呵呵。用IceSword就很方便了，你直接就可在進(jìn)程欄看到紅色顯示的hxdef100進(jìn)程，同時(shí)也可以在服務(wù)欄中看到紅色顯示的服務(wù) 項(xiàng)，順便一說(shuō)，在注冊(cè)表和文件欄里你都可發(fā)現(xiàn)它們，若木馬正在反向連接，你在端口欄也可看到，另外，內(nèi)核 模塊中也可以看到它的驅(qū)動(dòng)。殺除它么，首先由進(jìn)程欄得后門(mén)程序全路徑，結(jié)束進(jìn)程，將后門(mén)目錄刪除，刪除注冊(cè)表中的服務(wù)對(duì)應(yīng)項(xiàng)...這里只是選一個(gè)簡(jiǎn)單例 子，請(qǐng)你自行學(xué)習(xí)如何有效利用IceSword吧。

問(wèn)：“內(nèi)核模塊”是什么？
答：加載到系統(tǒng)內(nèi)和空間的PE模塊，主要是驅(qū)動(dòng)程序*.sys，一般核心態(tài)后們作為核心驅(qū)動(dòng)存在，比如說(shuō)某種rootkit加載_root_.sys，前面提到的hxdef也加載了hxdefdrv.sys，你可以在此欄中看到。

問(wèn)：“SPI”與“BHO”又是什么？
答：SPI欄列舉出系統(tǒng)中的網(wǎng)絡(luò)服務(wù)提供者，因?yàn)樗锌赡鼙挥脕?lái)做無(wú)進(jìn)程木馬，注意“DLL路徑”，正常系統(tǒng)只有兩個(gè)不同DLL（當(dāng)然協(xié)議比較多）。BHO是IE的插件，全名Browser Help Objects，木馬以這種形式存在的話，用戶打開(kāi)網(wǎng)頁(yè)即會(huì)激活木馬。

問(wèn)：“SSDT”有何用？
答：內(nèi)核級(jí)后門(mén)有可能修改這個(gè)服務(wù)表，以截獲你系統(tǒng)的服務(wù)函數(shù)調(diào)用，特別是一些老的rootkit，像上面提到的ntrootkit通過(guò)這種hook實(shí)現(xiàn)注冊(cè)表、文件的隱藏。被修改的值以紅色顯示，當(dāng)然有些安全程序也會(huì)修改，比如regmon，所以不要見(jiàn) 到紅色就慌張。

問(wèn)：“消息鉤子”與木馬有什么關(guān)系？
答：若在dll中使用SetWindowsHookEx設(shè)置一全局鉤子，系統(tǒng)會(huì)將其加載入使用user32的進(jìn)程中，因而它也可被利用為無(wú)進(jìn)程木馬的進(jìn)程注入手段。

問(wèn)：最后兩個(gè)監(jiān)視項(xiàng)有什么用處？
答：“監(jiān)視進(jìn)線程創(chuàng)建”將IceSword運(yùn)行期間的進(jìn)線程創(chuàng)建調(diào)用記錄在循環(huán)緩沖里，“監(jiān)視進(jìn)程終止”記錄一個(gè)進(jìn)程被其它進(jìn)程 Terminate的情況。舉例說(shuō)明作用：一個(gè)木馬或病毒進(jìn)程運(yùn)行起來(lái)時(shí)查看有沒(méi)有殺毒程序如norton的進(jìn)程，有則殺之，若 IceSword正在運(yùn)行，這個(gè)操作就被記錄下來(lái)，你可以查到是哪個(gè)進(jìn)程做的事，因而可以發(fā)現(xiàn)木馬或病毒進(jìn)程并結(jié)束之。再如：一個(gè)木馬或病毒采用多線程保 護(hù)技術(shù)，你發(fā)現(xiàn)一個(gè)異常進(jìn)程后結(jié)束了，一會(huì)兒它又起來(lái)了，你可用IceSword發(fā)現(xiàn)是什么線程又創(chuàng)建 了這個(gè)進(jìn)程，把它們一并殺除。中途可能會(huì)用到“設(shè)置”菜單項(xiàng)：在設(shè)置對(duì)話框中選中“禁止進(jìn)線程創(chuàng)建”，此時(shí)系統(tǒng)不能創(chuàng)建進(jìn)程或者線程，你安穩(wěn)的殺除可疑進(jìn) 線程后，再取消禁止就可以了。

問(wèn)：IceSword的注冊(cè)表項(xiàng)有什么特點(diǎn)？相對(duì)來(lái)說(shuō)，RegEdit有什么不足嗎？
答：說(shuō)起Regedit的不足就太多了，比如它的名稱長(zhǎng)度限制，建一個(gè)名長(zhǎng)300字節(jié)的子項(xiàng)看看（編程或用其他工具，比如regedt32），此 項(xiàng)和位于它后面的子鍵在regedit中顯示不出來(lái)；再如有意用程序建立的有特殊字符的子鍵regedit根本 打不開(kāi)。當(dāng)然IceSword中添加注冊(cè)表編輯并不是為了解決上面的問(wèn)題，因?yàn)橐呀?jīng)有了很多很好的工具可以代替Regedit。IceSword中的“注 冊(cè)表”項(xiàng)是為了查找被木馬后門(mén)隱藏的注冊(cè)項(xiàng)而寫(xiě)的，它不受目前任何注冊(cè)表隱藏手法的蒙蔽，真正可*的讓你看到注 冊(cè)表實(shí)際內(nèi)容。

問(wèn)：那么文件項(xiàng)又有什么特點(diǎn)呢？
答：同樣，具備反隱藏、反保護(hù)的功能。當(dāng)然就有一些副作用，文件保護(hù)工具（移走文件和文件加密類(lèi)除外）在它面前就無(wú)效，如果你的機(jī)器與人共用，那 么不希望別人看到的文件就采用加密處理吧，以前的文件保護(hù)（防讀或隱藏）是沒(méi)有用的。還有對(duì)安全的副作用是本來(lái) system32\config\SAM等文件是不能拷貝也不能打開(kāi)的，但I(xiàn)ceSword是可以直接拷貝的。不過(guò)只有管理員能運(yùn)行IceSword。最 后說(shuō)一個(gè)小技巧：用復(fù)制來(lái)改寫(xiě)文件。對(duì)一個(gè)被非共享打開(kāi)的文件、或一個(gè)正運(yùn)行的程序文件（比如木馬）， 你想改掉它的內(nèi)容（比如想向木馬程序文件寫(xiě)入垃圾數(shù)據(jù)使它重啟后無(wú)法運(yùn)行），那么請(qǐng)選中一個(gè)文件（內(nèi)含你想修改的內(nèi)容），選“復(fù)制”菜單，將目標(biāo)文件欄中 添上你欲修改掉的文件（木馬）路徑名，確定后前者的內(nèi)容就寫(xiě)入后者（木馬）從頭開(kāi)始的位置。最后提醒一句：每次開(kāi)機(jī)IceSword只第一次運(yùn)行確認(rèn)管理 員權(quán)限，所以管理員運(yùn)行程序后，如果要交付機(jī)器給低權(quán)限用戶使用，應(yīng)該先重啟機(jī)器，否則可能為低權(quán)限用戶利用。

問(wèn)：GDT/IDT的轉(zhuǎn)儲(chǔ)文件里有什么內(nèi)容？
答：GDT.log內(nèi)保存有系統(tǒng)全局描述符表的內(nèi)容，IDT.log則包含中斷描述符表的內(nèi)容。如果有后門(mén)程序修改它，建立了調(diào)用門(mén)或中斷門(mén)，很容易被發(fā)現(xiàn)。

問(wèn)：轉(zhuǎn)儲(chǔ)列表是什么意思？
答：即將顯示在當(dāng)前列表視中的部分內(nèi)容存入指定文件，比如轉(zhuǎn)儲(chǔ)系統(tǒng)內(nèi)所有進(jìn)程，放入網(wǎng)上請(qǐng)人幫忙診斷。不過(guò)意義不大，IceSword編寫(xiě)前已假定使用者有一定安全知識(shí)，可能不需要這類(lèi)功能。