一些安全工具的簡單操作 3 (轉)
Icesword對岸號稱斬殺木馬的利器,在國外也是很有名的一款軟體。主要功用為結束進程、查找後門、Rookit、強制刪除登錄機碼。建議使用英文版。
下載頁面
使用木馬樣本測試,該木馬會在C:/womdows/system/ 生成services.exe。
註: xp系統在%SystemRoot%\System32有支正常檔案為services.exe。
1.. 使用icesword可以查看正在執行的程序。
windows自帶的工作管理員沒有顯示程序
http://aycu15.webshots.com/image/534/2002649961704609148_rs.jpg
切換到process頁面,icesword偵測到執行中隱藏的木馬程式,以紅色標示。右鍵點選此程式,選擇Terminate process可以中止此木馬程式。
http://aycu24.webshots.com/image/2463/2002638241893581940_rs.jpg
2.使用icesword 觀察隱藏中毒檔案
即使打開windows 隱藏檔案屬性,在C:/womdows/system/,仍然沒有辦法看到service.exe這支木馬。
http://aycu40.webshots.com/image/839/2002601034233721749_rs.jpg
使用icesword 切換到File,在C:/womdows/system/,找到service.exe這支隱藏木馬,右鍵點選delete即可刪除。
http://aycu34.webshots.com/image/5193/2002662552996841424_rs.jpg
3. 強制刪除登錄機碼。切換到registry,找尋欲刪除的機碼,右鍵點選delete。
http://i3.tinypic.com/160ogt2.jpg
4. Sometime,我們會碰到防毒軟體警報 *dll 文件無法清除,可以使用process explorer來找出掛鉤的程序,當然如果不是系統進程,直接結束再刪掉dll 就好了,可是process explorer 往往會告訴我們寄宿的程序為svchost.exe, explorer.exe,winlogon.exe這些系統程序,此時我們可以使用icesword來卸載 dll文件。在process頁中找到系統進程,點選右鍵"Moudle Information",查看訊息。注意有時候卸載*dll會造成系統當機,此時就必須請出system safety monitor來禁止*dll文件的載入
選擇欲卸載的*dl,點選unload卸載或是unload(force)來強制卸載。l
http://aycu31.webshots.com/image/3190/2000399967247688027_rs.jpg
http://aycu11.webshots.com/image/3330/2000313405039156341_rs.jpg
5. 可以i監看一些隱藏服務。隱藏服務icesword會以紅色標示。
http://aycu07.webshots.com/image/126/2000314976775045670_rs.jpg 謝謝大大的分享~~~~~~~~~~~~~
頁:
[1]