冰刃杀毒工具使用实验(29)

实验目的
(1)学习冰刃的基本功能;

(2)掌握冰刃的基本使用方法;

预备知识
      windows操作系统的基本知识,例如:进程、网络、服务和文件等的了解。

      冰刃是一款广受好评的ARK工具。ARK工具全称为Anti Rootkit工具,可以理解为辅助杀毒工具,在具有一定操作系统知识后,完全可以利用该工具手动杀毒!冰刃适用于Windows 2000/XP/2003 操作系统,界面虽然看起来比较的粗糙,但是其内部功能是十分强大,用于查探系统中的幕后黑手—木马后门,并作出处理。一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些 "幕后黑手"。目前最新版本为1.22。

实验环境
Windows XP SP3 操作系统(最好是虚拟机环境)。

实验内容和步骤
打开 Windows XP SP3虚拟机,运行桌面上的冰刃软件。

任务一:了解程序主界面
      打开软件,显示在系统任务栏或软件标题栏的都只是一串随机字“abv12D840C”,而不是常见的窗口名,这是IceSword自我保护的方式之一:随机字串标题栏。每次打开出现的字串都是随机生成,这样那些通过标题栏来关闭程序的病毒木马就无用了。
冰刃杀毒工具使用实验(29)_第1张图片     
      文件菜单里面有个设置创建进线程规则的选项,可以看看。

任务二:了解进程管理模块
      点击窗口左侧的“进程”,查看系统当前进程。显示为红色的为隐藏进程,系统默认是没有的(系统自带的“任务管理器”是看不到的,有时另一款功能强大的进程查看软件Process Explorer也无法查到),因此红色项应全部结束(当然主程序IceSword.exe除外)。
冰刃杀毒工具使用实验(29)_第2张图片     
      按Ctrl键选择多个项目,然后再点开右键菜单中的“结束进程”,可一次搞定所有需结束的进程。记录源文件地址,到时候一并删除。

      IceSword可结束除Idle进程、System进程、csrss进程这三个进程外的所有进程,这一点,很多同类软件是做不到的。但是有些进程也不是随便可以结束的,如系统的winlogon.exe进程,一旦杀掉后系统就崩溃了。

      很多木马程序都喜欢插入explorer.exe,来执行需要的操作,对于这些插入的DLL文件怎么办呢,选中explorer.exe进程,然后点右键菜单中的“模块信息”,会看到所嵌入进程的所有DLL文件,找到病毒模块,点击卸载即可结束掉这个DLL,如果病毒程序比较厉害可能无法卸载,强制解除就起了作用,一般的DLL包括系统DLL都可以强制解除掉,所以慎用这个功能。此外,进程里还有其他功能,如强制结束线程,包括右键菜单中还有线程信息、内存读写等。

任务三:了解端口管理模块
      端口管理模块还可以知道哪些进程有联网行为,不过美中不足的是不能在这里结束相关进程,端口管理模块如下图所示。
冰刃杀毒工具使用实验(29)_第3张图片   
      这里的连接状态大概分为:

      LISTEN:正在监听中,随时准备连接某一个目标

      SYN_SENT:客户端通过应用程序调用connect进行active open,于是客户端tcp发送一个SYN以请求建立一个连接,之后状态置为SYN_SENT

      SYN_RECV:服务端应发出ACK确认客户端的 SYN,同时自己向客户端发送一个SYN,之后状态置为SYN_RECV

      ESTABLISHED:代表一个打开的连接,双方可以进行或已经在数据交互了

      CLOSE_WAIT:连接正在准备跟对方断开

      TIME_WAIT:表示系统在等待对方的响应,让对方回复到底连还是不连

      CLOSING:比较少见

      CLOSED:连接被关闭

任务四:了解内核模块
      内核模块是加载到系统地址空间的PE模块,内核程序是通过ntkrnlpa.exe等程序启动,基本上是C:\windows\system32\drivers\下的驱动程序 *.sys文件,当然也有少部分C:\windows\system32\目录下的sys文件,仅有很少的几个dll文件。冰刃中的内核模块只能察看简单的内核信息,靠知识去分析正常和不正常的内核。
冰刃杀毒工具使用实验(29)_第4张图片     
任务五:了解启动组模块
      和内核模块一样,只能查看,无法作任何处理。只显示以下几个地方的启动项目,不全面,可用冰刃的注册表删除可疑启动。

      注册表中,仅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run两个项目。

      文件夹包括C:\Documents and Settings\您所使用的用户名称\「开始」菜单\程序\启动和C:\Documents and Settings\All Users\「开始」菜单\程序\启动
冰刃杀毒工具使用实验(29)_第5张图片
    
任务六:了解服务管理模块
      与windows自身提供的服务管理差不多,稍微多点功能:
冰刃杀毒工具使用实验(29)_第6张图片     
      (1)显示隐藏服务

      服务中可以显示隐藏服务,用红色表示,和进程一样

      (2)修改服务状态(启动、停止等)

      打开服务,选中要进行操作的服务,按Ctrl键可以选择多个项目,在右键菜单里面选择要作的操作,比如停止、启动、暂停、恢复。

      (3)修改服务的启动类型(禁用、自动、手动)

      打开服务,选中要进行操作的服务,按Ctrl键可以选择多个项目,在右键菜单里面选择要作的操作,比如禁用、自动、手动。这个修改的是启动类型,所以修改后,不可能修改当前状态。

任务七:了解SPI模块
      SPI简单地说就是现实计算机目前所有的硬件接口和设备,同样也只能查看
冰刃杀毒工具使用实验(29)_第7张图片     
任务八:了解BHO模块
       BHO为浏览器插件,浏览器的插件,很多软件安装完毕或者流氓软件都会在浏览器里驻足,过多的插件会给浏览器带来不稳定。不过冰刃只能查看。
冰刃杀毒工具使用实验(29)_第8张图片     
任务九:了解SSDT模块
      SSDT即系统服务表,一些 "rootkit" 经常通过hook截获你系统的服务函数调用,以实现注册表、文件的隐藏。被修改的值以红色显示,不过,当然有些安全程序也会修改,如windows\\System32\\drivers\\klif.sys 就是卡巴斯基内核驱动.
冰刃杀毒工具使用实验(29)_第9张图片
     
任务十:了解消息钩子模块
      简单地说就是拦截各种系统命令的动作,比如我们右击删除一个文件,那么就会给系统发出一个“我要删除这个文件”的命令。收到后windows再转给系统中专门负责删除职能的那个人,由他去具体执行,而如果病毒采用了钩子,则会监视这些操作,将所有命令先经过自己手。如果发现删除命令的对象是自己,那么就把这个命令抛弃掉,如果是其他的就继续交给那个人来执行。不过并不是所有钩子都是病毒的杰作,安全软件基本都会有,如何辨别就需要对文件名字有一定了解或上网查阅。
冰刃杀毒工具使用实验(29)_第10张图片    
任务十一:了解注册表管理模块
      冰刃对注册表有非常高的权限(管理员权限),可以看到某些系统注册表编辑器中不可见的项目,所以在进行操作的时候要有十足把握,不要因为错删、错改某些系统关键项目,使计算机系统崩溃。
冰刃杀毒工具使用实验(29)_第11张图片     
任务十二:了解文件管理模块
      文件是一个浏览计算机所有文件的地方,可以看到任何隐藏的文件,对付无法删除的文件,也可以使用强制删除等特殊方法删除。
冰刃杀毒工具使用实验(29)_第12张图片

你可能感兴趣的:(护网行动系列,windows,服务器,网络)