冰刃杀毒工具使用实验(29)

实验目的
（1）学习冰刃的基本功能；

（2）掌握冰刃的基本使用方法；

预备知识
      windows操作系统的基本知识，例如：进程、网络、服务和文件等的了解。

      冰刃是一款广受好评的ARK工具。ARK工具全称为Anti Rootkit工具，可以理解为辅助杀毒工具，在具有一定操作系统知识后，完全可以利用该工具手动杀毒！冰刃适用于Windows 2000/XP/2003 操作系统，界面虽然看起来比较的粗糙，但是其内部功能是十分强大，用于查探系统中的幕后黑手—木马后门，并作出处理。一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些 "幕后黑手"。目前最新版本为1.22。

实验环境
Windows XP SP3 操作系统（最好是虚拟机环境）。

实验内容和步骤
打开 Windows XP SP3虚拟机，运行桌面上的冰刃软件。

任务一：了解程序主界面
      打开软件，显示在系统任务栏或软件标题栏的都只是一串随机字“abv12D840C”，而不是常见的窗口名，这是IceSword自我保护的方式之一：随机字串标题栏。每次打开出现的字串都是随机生成，这样那些通过标题栏来关闭程序的病毒木马就无用了。
     
      文件菜单里面有个设置创建进线程规则的选项,可以看看。

任务二：了解进程管理模块
      点击窗口左侧的“进程”，查看系统当前进程。显示为红色的为隐藏进程，系统默认是没有的（系统自带的“任务管理器”是看不到的，有时另一款功能强大的进程查看软件Process Explorer也无法查到），因此红色项应全部结束（当然主程序IceSword.exe除外）。
     
      按Ctrl键选择多个项目，然后再点开右键菜单中的“结束进程”，可一次搞定所有需结束的进程。记录源文件地址，到时候一并删除。

      IceSword可结束除Idle进程、System进程、csrss进程这三个进程外的所有进程，这一点，很多同类软件是做不到的。但是有些进程也不是随便可以结束的，如系统的winlogon.exe进程，一旦杀掉后系统就崩溃了。

      很多木马程序都喜欢插入explorer.exe，来执行需要的操作，对于这些插入的DLL文件怎么办呢，选中explorer.exe进程，然后点右键菜单中的“模块信息”，会看到所嵌入进程的所有DLL文件，找到病毒模块，点击卸载即可结束掉这个DLL，如果病毒程序比较厉害可能无法卸载，强制解除就起了作用，一般的DLL包括系统DLL都可以强制解除掉，所以慎用这个功能。此外，进程里还有其他功能，如强制结束线程，包括右键菜单中还有线程信息、内存读写等。

任务三：了解端口管理模块
      端口管理模块还可以知道哪些进程有联网行为，不过美中不足的是不能在这里结束相关进程，端口管理模块如下图所示。
   
      这里的连接状态大概分为：

      LISTEN：正在监听中,随时准备连接某一个目标

      SYN_SENT：客户端通过应用程序调用connect进行active open，于是客户端tcp发送一个SYN以请求建立一个连接，之后状态置为SYN_SENT

      SYN_RECV：服务端应发出ACK确认客户端的 SYN，同时自己向客户端发送一个SYN，之后状态置为SYN_RECV

      ESTABLISHED：代表一个打开的连接，双方可以进行或已经在数据交互了

      CLOSE_WAIT：连接正在准备跟对方断开

      TIME_WAIT：表示系统在等待对方的响应，让对方回复到底连还是不连

      CLOSING：比较少见

      CLOSED：连接被关闭

任务四：了解内核模块
      内核模块是加载到系统地址空间的PE模块，内核程序是通过ntkrnlpa.exe等程序启动，基本上是C:\windows\system32\drivers\下的驱动程序 *.sys文件，当然也有少部分C:\windows\system32\目录下的sys文件，仅有很少的几个dll文件。冰刃中的内核模块只能察看简单的内核信息，靠知识去分析正常和不正常的内核。
     
任务五：了解启动组模块
      和内核模块一样，只能查看，无法作任何处理。只显示以下几个地方的启动项目，不全面，可用冰刃的注册表删除可疑启动。

      注册表中，仅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run两个项目。

      文件夹包括C:\Documents and Settings\您所使用的用户名称\「开始」菜单\程序\启动和C:\Documents and Settings\All Users\「开始」菜单\程序\启动

    
任务六：了解服务管理模块
      与windows自身提供的服务管理差不多，稍微多点功能：
     
      （1）显示隐藏服务

      服务中可以显示隐藏服务，用红色表示，和进程一样

      （2）修改服务状态（启动、停止等）

      打开服务，选中要进行操作的服务，按Ctrl键可以选择多个项目，在右键菜单里面选择要作的操作，比如停止、启动、暂停、恢复。

      （3）修改服务的启动类型（禁用、自动、手动）

      打开服务，选中要进行操作的服务，按Ctrl键可以选择多个项目，在右键菜单里面选择要作的操作，比如禁用、自动、手动。这个修改的是启动类型，所以修改后，不可能修改当前状态。

任务七：了解SPI模块
      SPI简单地说就是现实计算机目前所有的硬件接口和设备，同样也只能查看
     
任务八：了解BHO模块
       BHO为浏览器插件，浏览器的插件，很多软件安装完毕或者流氓软件都会在浏览器里驻足，过多的插件会给浏览器带来不稳定。不过冰刃只能查看。
     
任务九：了解SSDT模块
      SSDT即系统服务表，一些 "rootkit" 经常通过hook截获你系统的服务函数调用，以实现注册表、文件的隐藏。被修改的值以红色显示，不过，当然有些安全程序也会修改，如windows\\System32\\drivers\\klif.sys 就是卡巴斯基内核驱动.

     
任务十：了解消息钩子模块
      简单地说就是拦截各种系统命令的动作,比如我们右击删除一个文件，那么就会给系统发出一个“我要删除这个文件”的命令。收到后windows再转给系统中专门负责删除职能的那个人，由他去具体执行,而如果病毒采用了钩子，则会监视这些操作，将所有命令先经过自己手。如果发现删除命令的对象是自己，那么就把这个命令抛弃掉，如果是其他的就继续交给那个人来执行。不过并不是所有钩子都是病毒的杰作，安全软件基本都会有，如何辨别就需要对文件名字有一定了解或上网查阅。
    
任务十一：了解注册表管理模块
      冰刃对注册表有非常高的权限（管理员权限），可以看到某些系统注册表编辑器中不可见的项目，所以在进行操作的时候要有十足把握，不要因为错删、错改某些系统关键项目，使计算机系统崩溃。
     
任务十二：了解文件管理模块
      文件是一个浏览计算机所有文件的地方，可以看到任何隐藏的文件，对付无法删除的文件，也可以使用强制删除等特殊方法删除。