“冰剑”斩无情――IceSword

现在的蠕虫病毒和木马后门越来越狡猾，总是想尽一切方法将自己隐藏得极端隐蔽。可能大家早已厌倦了普通的木马查杀工具，使用这些工具根本无法发现隐蔽着的“幕后黑手”，还误让用户以为自己的系统很安全！而我们今天要介绍的这款木马查杀新贵IceSword（冰剑）则与众不同（如图1），无论是什么后门都将在它面前统统曝光。它即适合菜鸟查杀系统中的木马，也可被高手利用来分析各种可疑的木马后门。

图1

一、查看隐藏的木马进程

运行IceSword后，点击左边“查看”栏中的“进程”项，在右边的进程列表中就可以查看到当前系统中所有可见和隐藏的进程了。隐藏的进程会以红色醒目地标记出来，以方便查找系统级后门。

   小提示：如果在进程列表中没有红色的隐藏进程项，说明你还没有打开相关的设置。点击菜单“文件”→“设置”，去掉对话框中的“不显示状态为Deleting的进程”选项即可（如图2）。在进程列表中可以查看到每个进程文件的路径，这可以方便我们查看到一些使用了与系统服务相同文件名的木马后门。例如在按进程名排列进程时，我们发现了其中有一个进程名为“Svchost.exe”，其路径异常地存放在了“C:Windows”目录下（如图3）。通过查看发现原来这是一个经过伪装的木马后门！如果我们使用Windows的进程管理器，将无法得知此进程的存放路径，还误以为它是正常的系统进程呢。

图2

图3

 

    

二、强大的进程终止功能

发现了木马进程后，可以轻松地将其结束。有许多进程注册为系统服务或感染了svchost.exe、lsass.exe等文件，致使无法正常中止该进程或将文件删除。然而使用IceSword后，除idle、System、csrss这三个进程外，可以结束任何正在运行的进程。在进程列表中单选或按住Ctrl键选择多个进程，点击右键菜单中的“结束进程”，即可杀掉无法结束的顽固进程了（如图4）。

图4

 

三、增强型的注册表编辑器

点击IceSword左边的“注册表”项，可以方便地对注册表进行查看、编辑或删除等操作（如图5）。与Windows的Regedit相比，IceSword中的“注册表”项可以查找被木马后门隐藏的任意注册项，不受任何注册表隐藏的蒙蔽。一些木马后门，有可能修改自己在注册表中的名称长度，从而不会在Regedit中显示；还有一些木马建立含有特殊字符的子键，用Regedit根本打不开。用IceSword就可轻松地解决这些问题。

图5

四、替换正在运行的程序文件

点击IceSword左边的“文件”项，打开一个类似资源管理的窗口（如图6），可别小看它的功能，因为它具备反隐藏、反保护的功能。一些木马文件采用了隐藏或加密的手段，在IceSword面前也是无能为力的。其中最有用的功能，就是可以帮助我们替换正在运行中的木马文件。

图6

例如刚才我们想删除刚才发现的木马文件“Svchost.exe”，可是该文件在安全模式下也是启动系统后即自动运行，唯一的办法就是进入DOS环境中才能删除该文件。IceSword中可就简单了，在“文件”项目中找到该文件，点击右键并选择“删除”命令即可。

还可以利用IceSword为系统“免疫”，在“文件”项中随便用右键点击某个正常文件，选择“复制”命令，然后要求输入目标文件路径，这里浏览选择正在使用中的木马文件（如图7）。确定后，前面复制的正常文件的内容就写入后面的木马文件中了。有一些木马或蠕虫病毒在感染系统时，如果检查到系统中已存在自身的文件时就不会进行再次感染，却没想到这些文件早已成了一个死尸躯壳。

图7

 

五、木马查杀的综合实例

此外，在IceSword中的“查看”项中还有其它强大的木马检测功能，例如在“启动组”中可以查看到隐藏的自启动程序；“服务”项项可查看系统服务，还可查看“内核模块”、“SPI”与“BHO”、“SSDT”等内核级后门修改调用的服务（这可是高手专利，呵！）。来看看笔者为大家展示一个检查Svchost木马的实例：

1.检测Svchost木马

如果在“进程”项中发现svchost过多，记住它的“进程ID”值，到“服务”栏中可通过“服务进程ID”值找到对应的服务项，然后可找到该项服务名称为“RpcSs的服务”（如图8）。再打开“注册表”栏找到“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”下的同名键，再查看它对应的dll文件路径（如图9），很容易就可发现木马的异常项，后面的工作就是停止该进程、删除文件、恢复注册表之类的了，当然这需要我们对服务比较熟悉。

图8

图9

2.杀掉多线程保护的木马

在结束这个Svchost木马时，发现此木马采用了多线程保护技术，将其结束后一会儿又自动运行了。这时可在“查看”栏中点击“监视进程创建”项，查看到是什么线程又创建了这个进程（如图10），然后将它们一起中止掉。在关闭线程的过程中，为突破多线程保护，可以打开“设置”并选中“禁止进线程创建”，此时系统不能创建进程或者线程，我们就可以顺利地杀掉多线程保护的木马进程了。

图10

有了这把“无情的冰剑”，相信什么样的木马都很难躲过它的剑风，我们的系统从此也会安全许多。