国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

斬斷木馬黑手：如何使用IceSword冰刃2005-09-30 21:49:36.593eNet有這么一款軟件，它專為查探系統(tǒng)中的幕后黑手——木馬和后門而設(shè)計，內(nèi)部功能強(qiáng)大，它使用了大量新穎的內(nèi)核技術(shù)，使內(nèi)核級的后門一樣躲無所躲，它就是——IceSword冰刃。IceSword冰刃(以下簡稱IceSword)是一款斬斷系統(tǒng)黑手的綠色軟件。在筆者的使用中，IceSword表現(xiàn)很令筆者滿意，絕對是一把強(qiáng)悍的瑞士軍刀——小巧、強(qiáng)大。1.IceSword的“防”打開軟件，看出什么沒？有經(jīng)驗的用戶就會發(fā)現(xiàn)，這把冰刃可謂獨特，它顯示在系統(tǒng)任務(wù)欄或軟件標(biāo)題欄的都只是一串隨機(jī)字串“CE318C”，而并是通常所見的軟件程序名(見圖1)。這就是IceSword獨有的隨機(jī)字串標(biāo)題欄，用戶每次打開這把冰刃，所出現(xiàn)的字串都是隨機(jī)生成，隨機(jī)出現(xiàn)，都不相同(隨機(jī)五位/六位字串)，這樣很多通過標(biāo)題欄來關(guān)閉程序的木馬和后門在它面前都無功而返了。另外，你可以試著將軟件的文件名改一下，比如改為killvir.exe，那么顯示出來的進(jìn)程名就變?yōu)榱薻illvir.exe。現(xiàn)在你再試著關(guān)閉一下IceSword，是不是會彈出確認(rèn)窗口？這樣那些木馬或后門就算通過鼠標(biāo)或鍵盤鉤子控制窗口退出按鈕，也不能結(jié)束IceSword的運(yùn)行了，只能在IceSword的面前乖乖就范了。圖12.IceSword的“攻”如果IceSword只有很好的保護(hù)自身功能，并沒有清除木馬的能力，也不值得筆者介紹了。如果大家還記得本刊2005年第5期《如何查殺隱形木馬》一文，那一定會覺得IceSword表現(xiàn)相當(dāng)完美了。但這只所謂的隱身灰鴿子，在IceSword面前只算是小兒科的玩意。因為這只鴿子只能隱身于系統(tǒng)的正常模式，在系統(tǒng)安全模式卻是再普通不過的木馬。而IceSword的作者就在幫助中多次強(qiáng)調(diào)IceSword是專門針對功能強(qiáng)大的內(nèi)核級后門設(shè)計的。今天，筆者通過一次經(jīng)歷來說明IceSword幾招必殺技。前段時間，筆者某位朋友的個人服務(wù)器(Windows 2003)，出現(xiàn)異常，網(wǎng)絡(luò)流量超高，朋友使用常規(guī)方法只可以清除簡單的木馬，并沒有解決問題，懷疑是中了更強(qiáng)的木馬，于是找來筆者幫忙。筆者在詢問了一些情況后，直接登錄到系統(tǒng)安全模式檢查，誰知也沒有什么特別發(fā)現(xiàn)。于是筆者嘗試拿出IceSword這把“瑞士軍刀”……第一步:打開IceSword，在窗口左側(cè)點擊“進(jìn)程”按鈕，查看系統(tǒng)當(dāng)前進(jìn)程。這個隱藏的“幕后黑手”馬上露出馬腳(見圖2)，但使用系統(tǒng)自帶的“任務(wù)管理器”是看不到些進(jìn)程的。注意，IceSword默認(rèn)是使用紅色顯示系統(tǒng)內(nèi)隱藏程序，但I(xiàn)ceSword若在內(nèi)核模塊處顯示多處紅色項目并不都是病毒，我們還需要作進(jìn)一步的技術(shù)分析及處理。圖2別以為只是系統(tǒng)自帶的任務(wù)管理器功能弱，未能發(fā)現(xiàn)。我們又用了IceSword與Process Explorer(另一款功能強(qiáng)大的進(jìn)程查看軟件)進(jìn)行對比，同樣也沒辦法發(fā)現(xiàn)“幕后黑手”的蹤影(見圖3)。圖3第二步:點擊窗口左側(cè)的“服務(wù)”按鈕，來查看系統(tǒng)服務(wù)。這時就可以看到如圖4所示的情況了，這個木馬的服務(wù)也是隱藏的，怪不得筆者未能發(fā)現(xiàn)行蹤。圖4第三步:既然看了服務(wù)，也應(yīng)該查查注冊表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情況。反正IceSword也提供查看/編輯注冊表功能，正好和系統(tǒng)的“注冊表編輯器”也來個對比，點擊窗口左側(cè)的“注冊表”標(biāo)簽，然后打開依次展開[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]項(見圖5)。真是不比不知道，一比嚇一跳。看來，系統(tǒng)內(nèi)置工具還是選擇“沉默”，還記得《如何查殺隱形木馬》一文吧，雖說鴿子在正常模式下，它的主服務(wù)也能隱藏，但它在系統(tǒng)的“注冊表編輯器”內(nèi)完全是顯示的，更不要說目前是安全模式。仔細(xì)看看，既然已經(jīng)從IceSword得到可靠情報，得知“幕后黑手”位于系統(tǒng)目錄E:\Windows\system32\wins下.圖6第五步:剩下的事容易多了，在IceSword中點擊“查看”標(biāo)簽下的“進(jìn)程”按鈕，右擊剛剛發(fā)現(xiàn)的隱藏進(jìn)程，選擇“結(jié)束進(jìn)程”。然后用IceSword刪除那三個木馬文件，最后，還要刪除多余的服務(wù)項——那兩個HackerDefender*的注冊表鍵值即可。清理完這只“黑手”后，再使用殺毒軟件重新殺一遍系統(tǒng)，確認(rèn)沒有其他的木馬。上面的例子充分體現(xiàn)了IceSword的魅力所在。正如作者所言，IceSword大量采用新穎技術(shù)，有別于其他普通進(jìn)程工具，比如IceSword就可以結(jié)束除Idle進(jìn)程、System進(jìn)程、csrss進(jìn)程這三個進(jìn)程外的所有進(jìn)程，就這一點，其他同類軟件就是做不到的。當(dāng)然有些進(jìn)程也不是隨便可以結(jié)束的，如系統(tǒng)的winlogon.exe進(jìn)程，一旦殺掉后系統(tǒng)就崩潰了，這些也需要注意。還等什么，這么好用、強(qiáng)悍的“瑞士軍刀”，還不趕快準(zhǔn)備一把防身？