冰刀（icesword)vs驱动级隐藏木马（rootkit)-pcshare.doc

PcShare简介:QUOTE:一款计算机远程控制软件,采用HTTP反向通信,屏幕数据线传输,驱动隐藏端口通信过程等技术,达到系统级别的隐藏。类似灰鸽子,由于结合了最新的Rootkit技术,用一般的系统扫描软件如Hijackthis等无法检测到其木马服务信息,最近有泛滥的趋势...PcShare样本()运行后释放文件有:%System32%\%System32%\%System32%\drivers\:在注册表中添加了隐藏的驱动服务:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfbqufe][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ybfbqufe]指向%SystemRoot%\System32\drivers\:修改dmserver服务(监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置):[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver\Parameters][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dmserver\Parameters]指向病毒文件:"ServiceDll"="%System32%\"如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。如果是2000系统:修改RpcSs服务(RemoteProcedureCallServices):[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs\Parameters][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcSs\Parameters]指向病毒文件:"ServiceDll"="%System32%\"。它用于本地计算机的远程程序调用服务。它是本地网络的公用服务。这个程序对系统的正常运行是非常重要的。驱动级隐藏木马结合了最新的Rootkit技术,用一般的系统扫描软件如Hijackthis等无法检测到其木马服务信息,最近有泛滥的趋势...但是有这么一款软件,它专为查探系统中的幕后黑手——木马和后门而设计,内部功能强大,它使用了大量新颖的内核技术,使内核级的后门一样躲无所躲,它就是——IceSword冰刃。IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的使用中,IceSword表现很令笔者满意,绝对是一把强悍的瑞士军刀——小巧、强大。“防打开软件,看出什么没?有经验的用户就会发现,这把冰刃可谓独特,它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”,而并是通常所见的软件程序名。这就是IceSword独有的随机字串标题栏,用户每次打开这把冰刃,所出现的字串都是随机生成,随机出现,都不相同(随机五位/六位字串),这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外,你可以试着将软件的文件名改一下,,。现在你再试着关闭一下IceSword,是不是会弹出确认窗口?这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮,也不能结束IceSword的运行了,只能在IceSword的面前乖乖就范了。“攻”如果IceSword只有很好的保护自身功能,并没有清除木马的能力,也不值得笔者介绍了。而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。今天,笔者通过一次经历来说明IceSword几招必杀技。前段时间,笔者某位朋友的个人服务器(Windows2003),出现异常,网络流量超高,朋友使用常规方法只可以清除简单的木马,并没有解决问题,怀疑是中了更强的木马,于是找来笔者帮忙。笔者在询问了一些