블레이드 IceSord 는 어떻게 사용합니까?

IceSword (아이스 나이프 또는 아이스 블레이드라고도 함) 일부 주소 (IS) 는 USTC 의 PJF 에서 나온 시스템 진단 및 제거 도구입니다.

불량배 소프트웨어 도구를 무수히 많이 제거하는데 왜 제일기구라고 부르는가?

1) 다음과 같은 이유가 있다.

1) 파일을 삭제할 수 없는 경우가 많습니까? CNNIC 나 3721 과 같은 문서?

2) 수정할 수 없는 레지스트리가 자주 있습니까? CNNIC 의 레지스트리가 자동으로 보호되는

3) 프로세스를 자주 죽이지 않고' 완성할 수 없다' 는 메시지가 있습니까?

4) 브라우저에 n 개 이상의 플러그인이 있습니까?

5) 프로세스 및 포트를 숨긴 프로그램이 있습니까?

6) 리소스 관리자에서 볼 수 없는 악성 소프트웨어 파일이 있습니까?

1, 대부분의 소위 프로세스 도구는 Windows 의 Toolhlp32 또는 psapi 또는 ZwQuerySystemInformation 시스템 호출 (둘 다 결국 이 호출을 사용함) 을 사용하여 작성하므로 하나의 ApiHook 을 쉽게 제거할 수 있습니다 커널 스레드 스케줄링 구조를 사용하여 프로세스를 쿼리하는 도구는 극히 드뭅니다. 이 시나리오에서는 하드 코딩이 필요합니다. 버전 시스템마다 다를 뿐만 아니라 패치에도 업그레이드 프로그램이 필요할 수 있습니다. 현재 일부 사람들은 이러한 조회를 방지하는 방법을 제시했습니다. IceSword 의 프로세스 검색 핵심 상태 시나리오는 현재 유일하며, 커널 백도어의 가능한 숨겨진 수단을 충분히 고려하며, 현재 모든 숨겨진 프로세스를 찾아낼 수 있다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 예술명언)

2, 대부분의 도구 조회 프로세스 경로 이름도 RtlDebug*** 함수를 호출하여 대상에 원격 스레드를 주입하는 Toolhlp32, psapi 를 통해, 디버깅 API 를 사용하여 대상 프로세스 메모리를 읽습니다 IceSword 의 핵심 상태 구성표는 원래 전체 경로를 로컬로 표시하고 런타임 시 다른 경로로 잘라내는 것도 함께 표시됩니다.

3, 프로세스 dll 모듈 및 2 의 경우에도 마찬가지입니다. PEB 를 사용하는 다른 도구는 IceSword 가 틀리지 않고 쉽게 속일 수 있습니다 (지원되지 않는 시스템이 매우 드물지만 여전히 열거 PEB 가 사용됨).

4, IceSword 의 프로세스는 강력하고 편리합니다 (물론 위험도 있음). 선택한 여러 프로세스를 함께 쉽게 제거할 수 있습니다. 물론, idle 프로세스, System 프로세스, csrss 프로세스 등 세 가지를 제외한 것은 정확하지 않습니다. 나머지 과정은 쉽게 죽일 수 있지만, 물론 winlogon 과 같은 일부 프로세스가 죽임을 당하면 시스템이 붕괴된다.

5, 포트 도구의 경우 인터넷에는 많은 것들이 있지만, 인터넷에서 포트를 숨기는 방법도 많습니다. 이러한 방법은 IceSword 에서는 전혀 작동하지 않습니다. 사실 방화벽을 가지고 동적으로 찾고 싶었지만 너무 비대하게 만들고 싶지 않았습니다. 여기서 포트는 windows 의 IPv4 Tcpip 스택이 속한 포트이며 타사 스택 또는 IPv6 스택은 이 열에 없습니다.

현재 일부 건달 소프트웨어는 스레드 주입, 프로세스 숨기기, 파일 숨기기, 드라이브 보호, 일반 사용자가 파일을 삭제하거나 프로세스를 찾는 것은 매우 어렵습니다. 어떤 것은 보고, 삭제할 수 없고, 죽일 수 없고, 조급해하며, 정말 안 된다. 또 다른 시스템에서 파일을 삭제해야 한다. 예를 들어, CNNIC, Yahoo Assistant 와 같은 구동 보호 불량 소프트웨어는. sys 가 로딩할 때 파일과 레지스트리를 필터링하고, true 를 반환하고, Windows 는 파일이 삭제되었다는 것을 알려주지만, 한 번 보면 아직 거기에 있다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 성공명언) Unclocker 와 같은 일부 파일 제거 도구는 유효하지 않습니다.

IceSword 는 이러한 로드된 드라이버를 직접 삭제하고 레지스트리 보호를 수행할 수 있는 유일한 도구입니다. CNNIC 제거와 같은 불량 소프트웨어는 재부팅 없이 완성할 수 있다.

is 는 이 문서에서 다루지 않는 새롭고 커널 수준의 접근 방식과 수단을 많이 채택하고 있으며,

■ 프로세스 보기

의 주요 기능은 다음과 같습니다 또한 작업 관리자, Procexp 등의 도구로 죽일 수 없는 프로세스를 쉽게 죽일 수 있습니다. 프로세스의 스레드, 모듈 정보, 끝 스레드 등을 볼 수도 있습니다.

■ 보기 포트

cport, ActivePort 와 같은 도구를 사용하여 현재 로컬로 열려 있는 엔드포인트를 해당 애플리케이션 주소, 이름과 함께 표시합니다. 다양한 수단을 사용하여 포트를 숨기는 도구가 포함되어 있으며 그 아래에는 한눈에 볼 수 있습니다.

■ 커널 모듈이 시스템 내부 및 공간에 로드된 PE 모듈 (일반적으로 드라이버 *.sys) 은 로드된 다양한 드라이버를 볼 수 있습니다. IS 자체의 IsDrv118.sys 와 같은 숨겨진 드라이버 파일을 포함합니다. 리소스 관리자에서는 볼 수 없습니다.

■ 시작 그룹

Windows 시작 그룹 내 관련 방식을 쉽게 이해할 수 있다. 하지만 아쉽게도 삭제 기능은 묻지 않고 볼 수 있습니다.

■ 서비스

시스템에서 숨겨져 있거나 숨겨져 있지 않은 서비스를 볼 수 있으며 숨겨진 서비스는 빨간색으로 표시됩니다. 서비스에 대한 시작, 중지, 비활성화 등의 작업을 제공합니다.

■SPI 와 BHO

는 현재 불량 소프트웨어가 점점 더 마음에 드는 곳이다. SPI 는 서비스 제공 인터페이스입니다. 즉, 모든 Windows 네트워크 작업은 이 인터페이스를 통해 패킷을 송수신합니다. 많은 불량 소프트웨어가 이. dll 을 교체하여 모든 사용자가 인터넷에 액세스하는 패키지를 모니터링하고 일부 광고를 목표로 할 수 있습니다. 불명확한 상황에서 이. dll 을 삭제하면 인터넷을 사용할 수 없게 되고 인터넷에 접속할 수 없게 됩니다. LSPFix 와 같은 도구는 이 기능을 위한 것이다. BHO 는 말할 것도 없고, 브라우저의 보조 플러그인은 사용자가 브라우저를 시작할 때 자동으로 시작되어 광고 창 등을 팝업할 수 있습니다. 이 두 가지 모두 보기 전용 기능을 제공합니다.

■ ssdt (system service descriptor table)

커널 수준 뒷문에서 시스템의 서비스 함수 호출을 가로채기 위해 수정할 수 있는 시스템 서비스 설명 테이블입니다 수정된 값은 빨간색으로 표시되며, 물론 regmon 과 같은 일부 보안 프로그램도 수정됩니다.

■ 메시지 후크

dll 에서 SetWindowsHookEx 를 사용하여 글로벌 후크를 설정하면 user32 를 사용하는 프로세스에 로드되므로 프로세스 트로이 목마가 없는 프로세스 주입 수단으로도 활용할 수 있습니다.

■ 스레드 생성 및 스레드 종료 모니터링

스레드 생성 모니터링은 IceSword 실행 중 스레드 생성 호출을 루프 버퍼에 기록하고 모니터 프로세스 종료는 한 프로세스가 다른 프로세스인 Terminate 에 의해 기록되는 상황을 기록합니다. 예를 들어, 트로이 목마 또는 바이러스 프로세스가 실행될 때 Norton 과 같은 바이러스 백신 프로그램이 있는지 확인하고, IceSword 가 실행 중이면 이 작업이 기록되며, 어떤 프로세스가 어떤 프로세스를 수행하는지 확인할 수 있으므로 트로이 목마 또는 바이러스 프로세스를 발견하고 끝낼 수 있습니다.

다시 한 번: 트로이 목마나 바이러스가 멀티스레드 보호 기술을 채택하고 있는데, 비정상적인 프로세스가 끝난 후 잠시 후에 다시 일어납니다. IceSword 를 사용하여 어떤 스레드가 이 프로세스를 다시 만들었는지 알아내어 함께 죽일 수 있습니다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 성공명언) 중간에 "설정" 메뉴 항목이 사용될 수 있습니다. 설정 대화 상자에서 "스레드 생성 금지" 를 선택하면 시스템에서 프로세스나 스레드를 만들 수 없습니다. 의심스러운 스레드를 안전하게 제거한 후 금지를 취소하면 됩니다.

■ 레지스트리 Regedit 의 단점은 무엇입니까?

< P > regedit 에 대해 이야기하기에는 너무 부족합니다. 예를 들어, 이름 길이 제한, 전체 경로 이름이 255 바이트보다 큰 하위 항목 (프로그래밍 또는 regedt32 와 같은 다른 도구 사용) 을 만들 경우, 이 항목과 그 뒤에 있는 하위 키는 Regedit 에 표시되지 않습니다. 또 의도적으로 프로그램으로 만든 특수 문자가 있는 하위 키인 regedit 은 전혀 열리지 않는다.

IceSword 에 레지스트리 편집을 추가하는 것은 위의 문제를 해결하기 위한 것이 아닙니다. 이미 Regedit 를 대체할 수 있는 좋은 도구가 많이 있기 때문입니다. IceSword 의' 레지스트리' 항목은 목마 뒷문에 숨겨진 등록 항목을 찾기 위해 쓴 것으로, 현재 어떤 레지스트리 숨기기 수법에 속지 않고 레지스트리 실제 내용을 볼 수 있도록 믿을 만하다.

CNNIC 에서 추가한 hklm \ system \ current control set \ services \ dnport 와 같은 키 값은 cndport.sys 드라이버 파일을 로드하는 데 사용됩니다 Regedit 을 통해 삭제하면 직접 오류가 발생하여 전혀 삭제할 수 없습니다. IS 로 쉽게 죽일 수 있습니다.

■ 파일

또한 보안에 대한 부작용은 원래 system32\config\SAM 과 같은 파일은 복사하거나 열 수 없지만 IceSword 는 직접 복사할 수 있다는 것입니다. CNNIC 의 cdnport.sys 파일과 같이 이미 로드된 드라이브와 마찬가지로 현재 IS 만 직접 삭제할 수 있으며, 다른 어떤 방식으로도 자신의 보호를 깨뜨릴 수 없습니다.

대부분의 유용한 unlocker 에도 CopyLock, KillBox 는 유효하지 않습니다. Windows 를 이용하는 시스템은 아직 완전히 로드되지 않은 삭제 메커니즘을 사용하여 hklm \ system \ currentcontrolset \ control \ sessionmanager 아래에 PendingFileRenameOperations 를 추가합니다 이전에는 다른 운영 체제로 재부팅하여 제거해야 했습니다.

---불량배 소프트웨어를 만드는 그 무리는 정말 수단을 가리지 않는다.

IceSword 내부 기능은 매우 강력합니다. 일부 프로세스 도구, 포트 도구와 같은 유사한 기능을 많이 사용해 본 적이 있을 수도 있지만, 현재 시스템 수준의 백도어 기능이 점점 더 강해지고 있어 일반적으로 프로세스, 포트, 레지스트리, 파일 정보를 쉽게 숨길 수 있으며, 일반 도구는 이러한 "배후 흑수" 를 전혀 발견할 수 없습니다. IceSword 는 수많은 새로운 커널 기술을 사용하여 이러한 백도어를 숨길 수 있도록 합니다.