Cómo utilizar el software swizard
Ingrese a la página de inicio del autor, que contiene materiales didácticos detallados
IceSword
IceSword es una hoja afilada que corta la mano malvada (Así que es un poco incómodo elegir este nombre local, jaja). Es adecuado para los sistemas operativos Windows 2000/XP/2003 y se utiliza para detectar las manos negras (puertas traseras del caballo de Troya) detrás del sistema y procesarlas. Por supuesto, su uso requiere que los usuarios tengan cierto conocimiento del sistema operativo. p>
Blog del autor
IceSword es una hoja afilada que corta la mano negra (por eso el nombre de esta tierra es un poco parecido a e, jaja). Es adecuado para los sistemas operativos Windows 2000/XP/2003 y se utiliza para detectar las manos negras (puertas traseras del caballo de Troya) detrás del sistema y tratarlas. Por supuesto, su uso requiere que los usuarios tengan ciertos conocimientos del sistema operativo.
Antes de explicar el software, lo primero que hay que tener en cuenta es: este programa no puede activar el depurador del kernel (como softice), de lo contrario el sistema fallará inmediatamente. Además, guarde los datos antes de usarlos para evitar errores desconocidos.
IceSword es muy poderoso bajo el capó. Durante el uso, encontrará que las funciones internas de Ice and Snow Sword son muy poderosas, lo que le permite usar Ice and Snow Sword en cualquier momento, en cualquier lugar y bajo cualquier circunstancia.
Las funciones internas de Ice and Snow Sword son muy poderosas, lo que te permite utilizar Ice and Snow Sword en cualquier momento, en cualquier lugar y bajo cualquier circunstancia.
Las funciones internas de Ice and Snow Sword son muy poderosas, lo que te permite utilizar Ice and Snow Sword en cualquier momento, en cualquier lugar y bajo cualquier circunstancia. IceSword utiliza muchas tecnologías de kernel nuevas para hacer que estas puertas traseras sean imposibles de ocultar.
Preguntas frecuentes sobre procesos, puertos y servicios de IceSword
P: Ahora existen muchas herramientas de procesos y puertos, entonces, ¿cuál es el punto de usar IceSword?
Respuesta: La mayoría de las llamadas herramientas de proceso se escriben usando Windows Toolhlp32 o psapi, y luego usan la llamada al sistema ZwQuerySystemInformation (las dos primeras eventualmente también usan esta llamada), y se pueden eliminar fácilmente con solo un ApiHook Ellos, sin mencionar algunas puertas traseras a nivel de kernel; muy pocas herramientas utilizan la estructura de programación de subprocesos del kernel para consultar procesos. Esta solución debe estar codificada, no solo para diferentes versiones del sistema, sino que también puede no requerir un parche. Sólo diferentes versiones del sistema son diferentes, y aplicar un parche puede requerir actualizar el programa. Ahora alguien ha propuesto un método para evitar este tipo de consultas. La solución de búsqueda de procesos de estado del kernel de IceSword es actualmente única y, teniendo en cuenta los posibles métodos de ocultación de las puertas traseras del kernel, actualmente puede encontrar todos los procesos ocultos.
2. La mayoría de las herramientas también usan Toolhlp32 y psapi para encontrar el nombre de la ruta del proceso. La primera llamará a la función RtlDebug*** para inyectar subprocesos remotos en el objetivo y la segunda utilizará la depuración. api para leer el proceso de destino Básicamente, lo anterior es una enumeración de PEB. Como mencioné anteriormente en mi blog, es fácil modificar PEB para que estas herramientas no puedan encontrarlo. El programa de estado del kernel de IceSword mostrará la ruta completa en su forma original, incluso si cambia a otras rutas en tiempo de ejecución, también se mostrará.
3. El módulo dll de proceso es el mismo que en el punto 2. Otras herramientas que utilizan PEB se pueden engañar fácilmente, pero IceSword no se equivoca.
4.El asesino de procesos de IceSword es poderoso y fácil de usar (y por supuesto peligroso). Puede eliminar fácilmente múltiples procesos arbitrarios seleccionados. Por supuesto, no es exacto decir que se eliminan tres: proceso inactivo, proceso del sistema y proceso csrss. No se explicarán los motivos. El resto de los procesos se pueden eliminar fácilmente. Por supuesto, algunos procesos (como winlogon) bloquearán el sistema después de eliminarlos.
5. De hecho, hay muchas herramientas de puertos en Internet, pero también hay muchas formas de ocultar puertos en Internet. Esos métodos de Bingjian son completamente inviables. De hecho, quería traer una búsqueda dinámica de firewall, pero no quería que estuviera demasiado sobrecargada.
P: La herramienta de servicio que viene con Windows es potente y conveniente. ¿Cuáles son las mejores funciones de IceSowrd?
Respuesta: Como soy vago, realmente no me siento cómodo usando la interfaz. Sin embargo, la función del servicio de IceSword es principalmente comprobar el servicio troyano, que sigue siendo muy cómodo de usar. Por ejemplo, hablemos de un tipo de búsqueda de troyano: hay un troyano que usa svchost. ¿Cómo usarlo? svchost es un host que algunos *** disfrutan de servicios de proceso. Algunos troyanos tienen este dll. ¿Cómo encontrarlo según la operación de *svchost? Primero mire la columna de proceso y descubra que hay demasiados svchost. Preste especial atención a aquellos con pids más grandes. Recuerde sus pids para encontrar los elementos de servicio correspondientes al pid. ruta del archivo (desde el servicio Busque la subclave del nombre correspondiente en la subclave de servicio del registro que figura en la primera columna del nombre del elemento. Dependiendo de si se trata de un elemento de servicio común, es fácil encontrar la excepción). Detectar anomalías es fácil. El trabajo restante es detener tareas o finalizar procesos, eliminar archivos, restaurar el registro, etc. Por supuesto, esto requiere que tengas conocimientos de servicios.
P: Entonces, ¿qué tipo de puerta trasera troyana ocultará el archivo de registro del proceso? ¿Cómo lo encuentro usando IceSword?
Respuesta: Por ejemplo, hxdef, recientemente muy popular y de código abierto, es un programa de puerta trasera (propenso a variantes). Aunque viene con un controlador, sigue siendo sólo una puerta trasera a nivel de sistema, no una puerta trasera a nivel de kernel. Sin embargo, con una puerta trasera de este tipo, puedes usar algunas herramientas, como *** expert, *** master y *** nemesis, para ver si puedes ver sus procesos, entradas de registro, servicios y archivos de directorio, jaja. Es muy conveniente usar IceSword. Puede ver directamente el proceso hxdef100 mostrado en rojo en la barra de procesos y también puede ver los elementos de servicio mostrados en rojo en la barra de servicios. Registro y barra de archivos Si el troyano se conecta al revés, se puede ver en la barra de puertos y su controlador también se puede ver en el módulo del kernel. Para eliminarlo, primero obtenga la ruta completa del programa de puerta trasera desde la barra de proceso, finalice el proceso, elimine el directorio de puerta trasera, elimine el servicio correspondiente en el registro... Aquí hay solo un ejemplo simple, aprenda cómo ser efectivo por tu cuenta Aprovecha IceSword.
P: ¿Qué es un "módulo kernel"?
Respuesta: El módulo PE cargado en el sistema y el espacio es principalmente el controlador *.sys. Generalmente, existe como un controlador del kernel después de ingresar al estado del kernel. Por ejemplo, un determinado rootkit cargará _root_. sys, el hxdef mencionado anteriormente también cargará hxdefdrv.sys, que puede ver en esta columna.
P: ¿Qué pasa con "SPI" y "BHO"?
Respuesta: La columna SPI enumera el proveedor de servicios de red del sistema, porque puede usarse para crear troyanos sin procesos. Preste atención a la "ruta DLL". Los sistemas normales solo tienen dos DLL diferentes. (Por supuesto que hay más acuerdos). BHO es un complemento para IE, su nombre completo es Browser Help BHO es un complemento para IE, su nombre completo es Browser Help Objects. Si el troyano existe de esta forma, el usuario lo activará abriendo una página web.
P: ¿Para qué sirve "SSDT"?
Respuesta: Es posible que el programa de puerta trasera a nivel de kernel modifique esta tabla de servicios para interceptar llamadas a funciones de servicio del sistema, especialmente para rootkits más antiguos, como el ntrootkit mencionado anteriormente, que usa este gancho para ocultar Registro y archivos. Los valores modificados aparecen en rojo y, por supuesto, algunos programas de seguridad los modificarán, como regmon, así que no entre en pánico cuando vea rojo.
P: ¿Cuál es la relación entre los "enganches de mensajes" y los troyanos?
R: Si usa SetWindowsHookEx para configurar un enlace global en una DLL, el sistema lo cargará en el proceso usando user32, por lo que también puede usarse como medio para inyectar troyanos sin proceso en los procesos.
P: ¿Para qué se utilizan los dos últimos elementos de seguimiento?
Respuesta: Mientras IceSword se está ejecutando, "Ver creación de subprocesos entrantes" registrará las llamadas de creación de subprocesos entrantes en un búfer circular, mientras que "Ver terminación de proceso" registrará cuando otro proceso finalice un proceso. Por ejemplo: se está ejecutando un proceso de troyano o virus, verifique si hay software antivirus (como el proceso de Norton), si es así, elimínelo. Si IceSword se está ejecutando, esta operación se registrará y podrá saber cuál. es. El proceso está haciendo algo para encontrar el proceso troyano o viral y eliminarlo. Otro ejemplo: los troyanos o virus utilizan tecnología de protección de subprocesos múltiples. Encuentra un proceso anormal y lo finaliza, pero vuelve a aparecer después de un tiempo. En este momento, puede usar IceSword para averiguar por qué subprocesos se creó este proceso. luego mátalos a todos. Puedes usar Ice Sword para descubrir qué subprocesos crearon el proceso y eliminarlos a todos juntos. Puede usar el elemento del menú Configuración en medio del proceso: seleccione Deshabilitar la creación de subprocesos en el cuadro de diálogo Configuración para que el sistema no pueda crear procesos o subprocesos, y luego desactívelo después de eliminar de forma segura el subproceso sospechoso.
P: ¿Cuáles son las características de las claves de registro de IceSword? ¿RegEdit tiene alguna deficiencia en comparación?
Respuesta: Hablando de las deficiencias de Regedit, hay demasiadas, como el límite de longitud del nombre. Cree una subclave con un nombre de 300 bytes (programación u otras herramientas, como regedt32). y las subclaves posteriores no se pueden mostrar en regedit en absoluto; otro ejemplo es que regedit no se puede abrir en absoluto utilizando deliberadamente subclaves de caracteres especiales creadas por el programa. A continuación se muestran algunos ejemplos de los tipos de subclaves que se pueden agregar a IceSword. Por supuesto, agregar un editor de registro a IceSword no resolverá los problemas anteriores, porque ya existen muchas buenas herramientas que pueden usarse para reemplazar Regedit. La clave de "registro" de IceSword está escrita para encontrar claves de registro ocultas por puertas traseras troyanas y no se ve afectada por ningún truco actualmente oculto en el registro.
Pregunta: La clave de "registro" de IceSword está escrita para encontrar claves de registro ocultas por puertas traseras troyanas. ¿No se ve afectada por ningún truco oculto en el registro actual?
P: ¿Cuáles son las características de los elementos de archivo?
Respuesta: Nuevamente, tiene funciones antiocultamiento y antiprotección. Por supuesto, también tiene algunos efectos secundarios. Las herramientas de protección de archivos (excepto la eliminación de archivos y el cifrado de archivos) fallarán si su máquina y sus personas son pirateadas, utilice el cifrado para los archivos que no desea que otros vean. La protección de archivos anterior (antilectura u ocultación) es inútil. Otro efecto secundario sobre la seguridad es que archivos como system32\config\SAM no se pueden copiar ni abrir, pero IceSword puede copiarlos directamente. Sólo los administradores pueden ejecutar IceSword, pero existe un último recurso: reescribir el archivo copiándolo. Para archivos abiertos de forma no privada o archivos de programa en ejecución (como archivos de programa del caballo de Troya), si desea modificar su contenido (por ejemplo, desea escribir datos basura en el archivo del programa del caballo de Troya para que no se pueda ejecutar) , luego seleccione un archivo (que contenga el contenido que desea modificar), seleccione el menú "Copiar" y agregue el archivo que desea modificar al archivo de destino (es decir, una copia del archivo que desea modificar) . Agregue el nombre de ruta del archivo (troyano) que se va a modificar y luego escriba el contenido del primero en el segundo (troyano) desde cero.
Un último recordatorio: cada vez que inicia IceSword, solo se confirman los permisos de administrador la primera vez que lo ejecuta, por lo que el administrador puede ejecutar el programa. Si desea entregar la máquina a un usuario con pocos privilegios, debe reiniciar la máquina. , de lo contrario, puede verse comprometido por usuarios con pocos privilegios.
P: ¿Qué hay en el archivo de volcado GDT/IDT?
Respuesta: GDT.log contiene el contenido de la tabla de descriptores globales del sistema, mientras que IDT.log contiene el contenido de la tabla de descriptores de interrupciones. Si una puerta trasera la modifica y crea una puerta de llamada o una puerta de interrupción, se puede detectar fácilmente.
P: ¿Qué significa lista de volcado?
Respuesta: Se refiere a volcar parte de la lista actual en un archivo específico, como volcar todos los procesos en el sistema y ponerlos en línea para ayudar al diagnóstico. IceSword se escribe asumiendo que el usuario tiene algunos conocimientos de seguridad y es posible que no necesite dicha funcionalidad.