問:現在程序埠工具很多,什麼要使用icesword?
答:1、絕大多數所謂的程序工具都是利用windows的toolhlp32或psapi再或 zwquerysysteminformation系統呼叫(前二者最終也用到此呼叫)來編寫,隨便乙個apihook就可輕輕鬆鬆乾掉它們,更不用說一 些核心級 後門了;極少數工具利用核心執行緒排程結構來查詢程序,這種方案需版本系統不同,打個補丁也可能需要公升級程式,並且現在有人也提出過防止此種查詢的方法。而icesword的程序查詢核心態方案是目前獨一無二的,並且充分考慮核心後門可能的隱藏手段,目前可以查出所有隱藏程序。
2、絕大多數工具查詢程序路徑名也是通過toolhlp32、psapi,前者會呼叫rtldebug***函式向目標注入遠執行緒,後者會用調 試api讀取目標程序記憶體,本質上都是對peb的列舉,前面我的blog提到過輕易修改peb就讓這些工具找不到 北了。而icesword的核心態方案原原本本地將全路徑展示,就算執行時剪下到其他路徑也會隨之顯示。
3、程序dll模組與2的情況也是一樣,利用peb的其他工具會被輕易欺
騙,而icesword不會弄錯。
4、icesword的程序殺除強大且方便(當然也會有危險)。可輕易將選中的多個任意程序一併殺除。當然,說任意不確切,除去三個:idle 程序、system程序、csrss程序,原因就不詳述了。其餘程序可輕易殺死,當然有些程序(如winlogo n)殺掉後系統就崩潰了。
5、對於埠工具,網上的確有很多,不過網上隱藏埠的方法也很多,
那些方法對icesword可是完全行不通的。其實本想帶個防火牆動態查詢,不過不想弄得太臃腫。
6、先說這些了...
問:windows自帶的服務工具強大且方便,icesowrd有什麼更好的特點呢?
答:因為比較懶,介面使用上的確沒它來的好,不過icesword的服務功能主要是檢視木馬服務的,使用還是很方便的。舉個例子,順便談一類木馬的查詢:
有一種利用svchost的木馬,怎麼利用的呢?svchost是一些共享程序服務的宿主,有些木馬就以dll存在,依靠svchost運作, 如何找出它們呢?首先看程序一欄,發現svchost過多,特別注意一下pid較大的,記住它們的pid,到服務 一欄,就可找到pid對應的服務項,配合登錄檔檢視它的dll檔案路徑(由服務項的第一欄所列名稱到登錄檔的services子鍵下找對應名稱的子鍵), 根據它是不是慣常的服務項,很容易發現異常。剩下的工作就是停止任務或結束程序、刪除檔案、恢復登錄檔 之類的了,當然過程中需要你對服務有一般的知識。
問:那麼什麼樣的木馬後門才會隱藏程序登錄檔檔案的?用icesword又如何查詢呢?
答:比如近來很流行且開源(容易出變種)的hxdef就是這麼乙個後門。雖然它帶有乙個驅動,不過還只能算乙個系統級後門,還稱不上核心級。不 過就這樣的乙個後門,你用一些工具,***專家、***大師、***克星看看,能不能看到它的程序、註冊項、服務 以及目錄檔案,呵呵。用icesword就很方便了,你直接就可在程序欄看到紅色顯示的hxdef100程序,同時也可以在服務欄中看到紅色顯示的服務 項,順便一說,在登錄檔和檔案欄裡你都可發現它們,若木馬正在反向連線,你在埠欄也可看到,另外,核心 模組中也可以看到它的驅動。殺除它麼,首先由程序欄得後門程式全路徑,結束程序,將後門目錄刪除,刪除登錄檔中的服務對應項...這裡只是選乙個簡單例 子,請你自行學習如何有效利用icesword吧。
問:「核心模組」是什麼?
答:載入到系統內和空間的pe模組,主要是驅動程式*.sys,一般核心態後們作為核心驅動存在,比如說某種rootkit載入_root_.sys,前面提到的hxdef也載入了hxdefdrv.sys,你可以在此欄中看到。
問:「spi」與「bho」又是什麼?
答:spi欄列舉出系統中的網路服務提供者,因為它有可能被用來做無程序木馬,注意「dll路徑」,正常系統只有兩個不同dll(當然協議比較 多)。bho是ie的外掛程式,全名browser help objects,木馬以這種形式存在的話,使用者開啟網頁即會啟用木馬。
問:「ssdt」有何用?
答:核心級後門有可能修改這個服務表,以截獲你系統的服務函式呼叫,特別是一些老 rootkit,像上面提到的ntrootkit通過這種hook實現登錄檔、檔案的隱藏。被修改的值以紅色顯示,當然有些安全程式也會修改,比如regmon,所以不要見 到紅色就慌張。
問:「訊息鉤子」與木馬有什麼關係?
答:若在dll中使用setwindowshookex設定一全域性鉤子,系統會將其加載入使用user32的程序中,因而它也可被利用為無程序木馬的程序注入手段。
問:最後兩個監視項有什麼用處?
答:「監視進執行緒建立」將icesword執行期間的進執行緒建立呼叫記錄在迴圈緩衝裡,「監視程序終止」記錄乙個程序被其它程序 terminate的情況。舉例說明作用:乙個木馬或病毒程序執行起來時檢視有沒有防毒程式如norton的程序,有則殺之,若 icesword正在執行,這個操作就被記錄下來,你可以查到是哪個程序做的事,因而可以發現木馬或病毒程序並結束之。再如:乙個木馬或病毒採用多執行緒保 護技術,你發現乙個異常程序後結束了,一會兒它又起來了,你可用icesword發現是什麼執行緒又建立 了這個程序,把它們一併殺除。中途可能會用到「設定」選單項:在設定對話方塊中選中「禁止進執行緒建立」,此時系統不能建立程序或者執行緒,你安穩的殺除可疑進 執行緒後,再取消禁止就可以了。
問:icesword的登錄檔項有什麼特點?相對來說,regedit有什麼不足嗎?
答:說起regedit的不足就太多了,比如它的名稱長度限制,建乙個名長300位元組的子項看看(程式設計或用其他工具,比如regedt32),此項和位於它後面的子鍵在regedit中顯示不出來;再如有意用程式建立的有特殊字元的子鍵regedit根本 打不開。
當然icesword中新增登錄檔編輯並不是為了解決上面的問題,因為已經有了很多很好的工具可以代替regedit。icesword中的 「登錄檔」項是為了查詢被木馬後門隱藏的註冊項而寫的,它不受目前任何登錄檔隱藏手法的蒙蔽,真正可靠的讓你看到注 冊表實際內容。
問:那麼檔案項又有什麼特點呢?
答:同樣,具備反隱藏、反保護的功能。當然就有一些***,檔案保護工具(移走檔案和檔案加密類除外)在它面前就無效,如果你的機器與人共用, 那麼不希望別人看到的檔案就採用加密處理吧,以前的檔案保護(防讀或隱藏)是沒有用的。還有對安全的***是本來 system32\config\sam等檔案是不能拷貝也不能開啟的,但icesword是可以直接拷貝的。不過只有管理員能執行icesword。最 後說乙個小技巧:用複製來改寫檔案。對乙個被非共享開啟的檔案、或乙個正執行的程式檔案(比如木馬), 你想改掉它的內容(比如想向木馬程式檔案寫入垃圾資料使它重啟後無法執行),那麼請選中乙個檔案(內含你想修改的內容),選「複製」選單,將目標檔案欄中 添上你欲修改掉的檔案(木馬)路徑名,確定後前者的內容就寫入後者(木馬)從頭開始的位置。
最後提醒一句:每次開機icesword只第一次執行確認管理員許可權,所以管理員執行程式後,如果要交付機器給低許可權使用者使用,應該先重啟機器,否則可能為低許可權使用者利用。
問:gdt/idt的轉儲檔案裡有什麼內容?
答:gdt.log內儲存有系統全域性描述符表的內容,idt.log則包含中斷描述符表的內容。如果有後門程式修改它,建立了呼叫門或中斷門,很容易被發現。
問:轉儲列表是什麼意思?
答:即將顯示在當前列表視中的部分內容存入指定檔案,比如轉儲系統內所有程序,放入網上請人幫忙診斷。不過意義不大,icesword編寫前已假定使用者有一定安全知識,可能不需要這類功能。
linux程序查埠,埠查程序
ps ef grep 服務name 例如,結果 root 15034 其中,15034就是它的程序pid,如果要刪掉這個程序 kill 9 15034 也可以這樣殺程序 pkill 服務名 根據程序,可以查出它暴露埠 netstat tunlp grep 程序pid 通過程序pid.查服務 ps e...
程序埠檢視
今天遇到apache的httpd服務開啟不了,報錯是服務埠位址x被占用。解決步驟為 檢視程序的埠。檢視的命令為 1,netstat tuanp t表示tcp協議 u表示udp協議 a表示顯示監聽 非監聽套接字。n表示以數字形式,而不是解析成host,port or user names.p表示顯示程...
程序 埠管理
程序 所有程序 ps a 正在執行的程序 ps aux less 搜尋指定程序 pgrep chromium 停止程序 kill 9 4394埠 檢視3306 netstat an grep 3306限制埠訪問 netstat anp 檢視所有開啟的埠 netstat an grep 443 檢視指...