个人电脑安全防护-阳光网驿首发

淋着雨靠近你

请跟随我一起做个人电脑的安全防护

首先声明：以下所用的软件，有可能杀软会报警，因为软件对系统底层进行操作，如果不信任此软件，请删除并更新病毒库进行查杀

软件1：冰刃IceSword 1.22

IceSword是一斩断黑手的利刃。它适用于Windows 2000/XP/2003/Vista操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。
    在对软件做讲解之前，首先说明第一注意事项 ：此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。
    IceSword目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。
    如果您使用过老版本，请一定注意，使用新版本前要重新启动系统，不要交替使用二者。
    IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。

    如何退出IceSword：直接关闭，若你要防止进程被结束时，需要以命令行形式输入：IceSword.exe /c，此时需要Ctrl+Alt+D才能关闭（使用三键前先按一下任意键）。
    如果最小化到托盘时托盘图标又消失了：此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标

进程
    欲察看当前进程，请点击“进程”按钮，在右部列出的进程中，隐藏的进程会以红色醒目地标记出，以方便查找隐藏自身的系统级后门。1.16中进程栏只纳入基本功能，欲使用一些扩展的隐藏进程功能，请使用系统检查。

    右键菜单：
    1、刷新列表：请再次点击“进程”按钮，或点击右键，选择“刷新列表”。
    2、结束进程：点击左键选中一项，或按住Ctrl键选择多项，然后使用右键菜单的“结束进程”将它们结束掉。
    3、线程信息：在右键菜单中选择“线程信息”，出现如下对话框：


    注意其中的“强制终止”是危险的操作 ，对一个线程只应操作一次，否则系统可能崩溃。为了尽量通用，里面注释掉了大量代码，因而是不完全的。不过可以应付一些用户的要求了：终止系统线程与在核心态死循环的线程，虽然可能仍然能看到它们的存在，那只是一些残留。

    4、模块信息：在右键菜单中选择“模块信息”，出现如下对话框：



    “卸除”对于系统DLL是无效的，你可以使用“强制解除”，不过强制解除系统DLL必然会使进程挂掉。强制解除后在使用PEB来查询模块的工具中仍可看到被解除的DLL，而实际上DLL已经被卸掉了。这是因为我懒得做善后处理了——修改PEB的内容。

    5、内存读写：在右键菜单中选择“内存读写”，出现如下对话框：



    操作时首先填入读的起始地址和长度，点击“读内存”，如果该进程内的指定地址有效，则读取并显示，您可以在编辑框中修改后点击“写内存”写入选中的进程。注意此刻的提示框会建议您选“否”即不破除COW机制，在您不十分明白COW之前，请选择“否”，否则可能写入错误的地址给系统带来错误以至崩溃。
    读出内容后，可以点击“反汇编”查看反汇编值，某些木马修改函数入口来hook函数，可由反汇编值分析判断。

端口
    此栏的功能是进程端口关联。它的前四项与netstat -an类似，后两项是打开该端口的进程。
    在“进程ID”一栏中，出现0值是指该端口已关闭，处于“TIME_WAIT”状态，由于2000上使用技术XP/2003有所不同，所以前者与后二者上的显示可能些微差别。IceSword破除系统级后门的端口隐藏，只要进程使用windows系统功能打开了端口，就逃不出查找。不过注意因为偷懒，未将隐藏的端口像进程那样红色显示，所以您需要自己对照。


内核模块：即当前系统加载的核心模块比如驱动程序。
启动组：是两个RUN子键的内容，懒得写操作了，请自行更改注册表。
服务：用于查看系统中的被隐藏的或未隐藏的服务，隐藏的服务以红色显示，注意在操作时可能有的服务耗时较长，请稍后手动刷新几次。
SPI、BHO：不多说了。
SSDT：即系统服务派发表，其中被修改项会红色显示。
消息钩子： 枚举系统中所注册的消息钩子(通过SetWindowsHookEx等)，若钩子函数在exe模块中则是实际的地址，若在dll模块中则是相对于dll基址的偏移，具体请自行判断吧（一般地址值小于0x400000的就是全局钩子）。
监视进线程创建：顾名思义，进线程的创建纪录保存在以循环缓冲里，要IceSword运行期间才进行纪录，您可以用它发现木马后门创建了什么进程和线程，尤其是远线程。红色显示的即是进程创建(目标进程TID为0时为进程创建，紧接其后的红色项是它的主线程的创建)和远线程创建(应该注意)，须注意的是，此栏只显示最新的1024项内容。
监视进程终止：一般只是监视一个进程结束另一个进程，进程结束自身一般不纪录。

注册表
    与Regedit用法类似，注意它有权限打开与修改任何子键，使用时要小心，不要误修改(比如SAM子键)。
    子键的删除、子键下项的创建都是在左边子键上点击右键，在菜单中选择即可，而右边各项上点击则出现“删除所选”的菜单，删除选中的一项或多项。在右边双击一项则出现修改对话框，举一图示：



文件
    文件操作与资源管理器类似，但只提供文件删除、复制的功能。其特点还是防止文件隐藏，同时可以修改已打开文件(通过复制功能，将复制的目标文件指定为那个已打开文件即可)。


个人电脑安全策略应用

使用附件中的ipsec.exe 打开会出现说明文档，关闭，然后进入按任意键，程序会自动关闭相关危险端口，中间会提示再次任意键进行下一步操作，必须等程序运行完毕，提示完成后才可关闭



相关附件，上传中，请稍后下载。

兵刃 网通下载  http://qycnc1.onlinedown.net/down/IceSword122cn.zip

兵刃 电信下载 http://86516.onlinedown.net/down/IceSword122cn.zip

以上连接为华军软件园下载连接

[ 本帖最后由 淋着雨靠近你 于 2008-7-2 22:04 编辑 ]

whoareyou

用影子系统也不错,重新启动就没毒了.

本帖子由阳光论坛管理组成员答复[增加管理津贴4个]

打造出国内一流的行业软件应用交流论坛－－阳光网驿助力企业信息化

xinxin83

这东西以前玩游戏用过，，，挺强大的

cqcbc

学习了，也要考虑使用一种防护措施了。

michaelhzt

影子系统用过，但一般不怎么使用，用来上一些特别网站怕有病毒时才用。

tiantian110

那就用还原精灵或者最好用还原卡。