冰刃使用说明38302335.doc

IceSword 冰刃使用说明冰刃 icesword ,也称为冰刀或者冰刃,有些地址简称 IS ,是 USTC 的 PJF 出品的一款系统诊断、清除利器。清除流氓软件工具无数,为什么称之为第一利器呢,有如下的理由: 1)你是不是经常有文件删不掉?如CNNIC 或者 3721 的文件? 2)是不是经常有注册表不让你修改?如CNNIC 的注册表是它自动保护起来的 3)是不是经常有进程杀不掉,提示“无法完成”? 4)是不是浏览器有 N多的插件? 5)是不是有一些程序运行的时候隐藏了进程和端口? 6)是不是有一些流氓软件的文件在资源管理器下看都看不到? 1、绝大多数所谓的进程工具都是利用 Windows 的Toolhlp32 或psapi 再或 ZwQuerySystemInformation 系统调用(前二者最终也用到此调用)来编写,随便一个 ApiHook 就可轻轻松松干掉它们,更不用说一些内核级***了;极少数工具利用内核线程调度结构来查询进程,这种方案需要硬编码,不仅不同版本系统不同,打个补丁也可能需要升级程序,并且现在有人也提出过防止此种查找的方法。而IceSword 的进程查找核心态方案是目前独一无二的,并且充分考虑内核***可能的隐藏手段,目前可以查出所有隐藏进程。 2、绝大多数工具查找进程路径名也是通过 Toolhlp32 、psapi ,前者会调用 RtlDebug*** 函数向目标注入远线程,后者会用调试 api 读取目标进程内存,本质上都是对 PEB 的枚举,通过修改 PEB 就轻易让这些工具找不到北了。而 IceSword 的核心态方案原原本本地将全路径展示,运行时剪切到其他路径也会随之显示。 3、进程 dll 模块与 2的情况也是一样,利用 PEB 的其他工具会被轻易欺骗, 而IceSword 不会弄错(有极少数系统不支持,此时仍采用枚举 PEB) 。 4、IceSword 的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然,说任意不确切,除去三个:idle 进程、Syste m 进程、 csrss 进程,原因就不详述了。其余进程可轻易杀死,当然有些进程(如 winlogon) 杀掉后系统就崩溃了。 5、对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,那些方法对 IceSword 可是完全行不通的。其实本想带个防火墙动态查找,不过不想弄得太臃肿。这里的端口是指 windows 的IPv4 Tcpip 协议栈所属的端口,第三方协议栈或 IPv6 栈不在此列。目前一些流氓软件采取的手段无所不用其极:线程注入,进程隐藏,文件隐藏,驱动保护,普通用户想把文件给删了或者找出进程来,是非常困难的。有的是看到了,删不掉,杀不掉,干着急,实在不行,还需要从另外的作系统去删除文件。NIC ,雅虎助手之类,.sys 驱动加载的时候,它过滤了文件和注册表作,直接返回一个 true,Windows 提示文件删了, 但一看,它还在那里。象一些文件删除工具如 unclocker 都无效。 IceSword 是目前所知唯一可以直接删除这类已经加载的驱动和采取注册表保护的工具。象清除CNNIC 这类流氓软件,不需要重启也可以完成了。 IS采取了很多新颖的、内核级的方法和手段,关于它的技术细节不在本文讨论之列,下面主要从使用者角度讲一下它的主要功能: ■查看进程包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp 等工具杀不掉的进程。还可以查看进程的线程、模块信息,结束线程等。■查看端口类似于 cport 、ActivePort 这类工具,显示当前本地打开的端品以及相应的应用程序地址、名字。包括使用了各种手段隐藏端口的工具,在它下面,都一览无余。■内核模块加载到系统内和空间的 PE模块,一般都是驱动程序*.sys ,可以看到各种已经加载的驱动。包括一些隐藏的驱动文件,如 IS自身的 ,这个在资源管理器里是看不见的。■启动组 Windows 启动组里面的相关方式,这个比较容易理解了。不过可惜的是没有提示删除功能,只能查看。■服务用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务以红色显示。提供对服务的作如启动,停止,禁用等。■SPI 和BHO 这两个是目前流氓软件越来越看中的地方。 SPI 是服务提供接口,即所有 Windows 的网络作都是通过这个接口发出和接收数据包的。 替换掉,这样就可以监视所有用户访问网络的包,可以针对性投放一些广告。如果不清楚的情况下, 删掉,会造成网络无法使用,上不了网。LSPFix 等工具就是针对这个功能的。BHO 就更不用说了,浏览器的辅助插件, 用户启动浏览器的时候