谁认识pjf

有这么一款软件，它专为查探系统中的幕后黑手——木马和后门而设计，内部功能强大，它使用了大量新颖的内核技术，使内核级的后门一样躲无所躲，它就是——IceSword冰刃。

作者无从查考，但绝对不是个人，而是一个团队，是中国一个反黑的先锋团队！IceSword冰刃（以下简称IceSword）是一款斩断系统黑手的绿色软件。

在笔者的使用中，IceSword表现很令笔者满意，绝对是一把强悍的瑞士军刀——小巧、强大。

1.IceSword的“防” 打开软件，看出什么没？有经验的用户就会发现，这把冰刃可谓独特，它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而并是通常所见的软件程序名（见图1）。

这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同（随机五位/六位字串），这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。

另外，你可以试着将软件的文件名改一下，比如改为killvir.exe，那么显示出来的进程名就变为了killvir.exe。

现在你再试着关闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。

图1 2.IceSword的“攻” 如果IceSword只有很好的保护自身功能，并没有清除木马的能力，也不值得笔者介绍了。

如果大家还记得本刊2005年第5期《如何查杀隐形木马》一文，那一定会觉得IceSword表现相当完美了。

但这只所谓的隐身灰鸽子，在IceSword面前只算是小儿科的玩意。

因为这只鸽子只能隐身于系统的正常模式，在系统安全模式却是再普通不过的木马。

而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。

今天，笔者通过一次经历来说明IceSword几招必杀技。

前段时间，笔者某位朋友的个人服务器（Windows 2003），出现异常，网络流量超高，朋友使用常规方法只可以清除简单的木马，并没有解决问题，怀疑是中了更强的木马，于是找来笔者帮忙。

笔者在询问了一些情况后，直接登录到系统安全模式检查，谁知也没有什么特别发现。

于是笔者尝试拿出IceSword这把“瑞士军刀”…… 第一步：打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。

这个隐藏的“幕后黑手”马上露出马脚（见图2），但使用系统自带的“任务管理器”是看不到些进程的。

注意，IceSword默认是使用红色显示系统内隐藏程序，但IceSword若在内核模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分析及处理。

图2 别以为只是系统自带的任务管理器功能弱，未能发现。

我们又用了IceSword与Process Explorer（另一款功能强大的进程查看软件）进行对比，同样也没办法发现“幕后黑手”的踪影（见图3）。

图3 第二步：点击窗口左侧的“服务”按钮，来查看系统服务。

这时就可以看到如图4所示的情况了，这个木马的服务也是隐藏的，怪不得笔者未能发现行踪。

图4 第三步：既然看了服务，也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情况。

反正IceSword也提供 查看/编辑注册表功能，正好和系统的“注册表编辑器”也来个对比，点击窗口左侧的“注册表”标签，然后打开依次展开[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]项（见图5）。

真是不比不知道，一比吓一跳。

看来，系统内置工具还是选择“沉默”，还记得《如何查杀隐形木马》一文吧，虽说鸽子在正常模式下，它的主服务也能隐藏，但它在系统的“注册表编辑器”内完全是显示的，更不要说目前是安全模式。

仔细看看，既然已经从IceSword得到可靠情报，得知“幕后黑手”位于系统目录E:\Windows\system32\wins下. 图6 第五步：剩下的事容易多了，在IceSword中点击“查看”标签下的“进程”按钮，右击刚刚发现的隐藏进程，选择“结束进程”。

然后用IceSword删除那三个木马文件，最后，还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。

清理完这只“黑手”后，再使用杀毒软件重新杀一遍系统，确认没有其他的木马。

上面的例子充分体现了IceSword的魅力所在。

正如作者所言，IceSword大量采用新颖技术，有别于其他普通进程工具，比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程，就这一点，其他同类软件就是做不到的。

当然有些进程也不是随便可以结束的，如系统的winlogon.exe进程，一旦杀掉后系统就崩溃了，这些也需要注意。

还等什么，这么好用、强悍的“瑞士军刀”，还不赶快准备一把防身？

熊猫烧香的属性与特征

其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。

尼姆亚变种W(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe,com,pif,src,html,asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样【危害】病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。

“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。

该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。

一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。

由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

注：江苏等地区成为“熊猫烧香”重灾区。

熊猫烧香病毒特征

Symantec AntiVirus、Duba、QQAV、防火墙、进程，它能感染系统中exe,com,pif,src,html:\WINDOWS\System32\.exe b，达到增加点击量的目的，但病毒不会感染以下文件夹名中的文件： WINDOW、Winnt、System Volume Information、Recycled，使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

1;Explorer\Advanced\、MSN,asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件.kxp; 0x00 删除以下服务： navapsvc、wscsvc、Internet Explorer、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32,src的文件，把自己附加到文件的头部，并在扩展名为htm,html;System32\Drivers\spoclsv.exe 并中止系统中以下的进程： Mcshield.exe、VsTskMgr;Folder\Hidden\，该文件是一系统备份工具GHOST的备份文件： “武汉男生”；Software\Microsoft\Windows\CurrentVersion\,com，共存在的话就运行net share命令关闭admin$共享 c、网镖、杀毒；Drivers\，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失、msctls_statusbar32、pjf(ustc)、IceSword 并使用的键盘映射的方法关闭安全软件IceSword 添加注册表使自己自启动 HKEY_CURRENT_USER\spoclsv、Windows NT、WindowsUpdate、Windows Media Player;Run svcshare -&gt、RavTask：★★★★★ 影响平台：Win 9x/,IE就会不断的在后台点击写入的网址、Movie Maker、VirusScan、KPfwSvc、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_：蠕虫 危险级别；Run svcshare -&gt、卡巴斯基反病毒、SPBBCSvc、Symantec Core LC; C：\、Outlook Express、KVCenter.kxp、KVSrvXP.exe、KRegEx，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒；System32\Drivers\spoclsv.exe 3：病毒行为 a、ccProxy;ME,Win 2000/、毒霸、瑞星、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP、SNDSrvc、CCenter：每隔10秒下载病毒作者指定的文件，并用命令行检查系统中是否存在共享.exe、江民、黄山IE.exe、绿鹰PC、密码防盗；SHOWALL CheckedValue -> C：\、超级兔子、优化大师.exe。

目前病毒创始人武汉男生被警方抓获、Microsoft Frontpage、木马克星、木马清道夫、QQ病毒、System Safety Monitor、Winsock Expert、游戏木马检测大师、注册表编辑器、系统配置实用程序、FireSvc e、ccEvtMgr、ccSetMgr，近日又化身为“金猪报喜” 病毒类型；SOFTWARE\Microsoft\Windows\CurrentVersion\、Ravmond、噬菌体、木马辅助查找器.exe：感染文件 病毒会感染扩展名为exe：添加注册表自启动 病毒会添加自启动项HKEY_CURRENT_USER\、kvMonXP;Software\Microsoft\Windows\CurrentVersion\.kxp;WINDOWS\.exe、Logo_1.exe、Rundl132、NetMeeting、Common Files。

。

, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件：每隔18秒点击病毒作者指定的网页，并用命令行检查系统中是否存在共享.exe、Rav、Wrapped gift Killer.exe：金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具 病毒描述：每隔1秒寻找桌面窗口，并关闭窗口标题中含有以下字符的程序： QQKav、NPFMntor MskService,pif;NT,Win XP、MSN Gamin Zone g：删除文件 病毒会删除扩展名为gho的文件.exe 2:Worm.WhBoy.h 病毒中文名：熊猫烧香（武汉男生）：拷贝文件 病毒运行后，会把自己拷贝到C、ComPlus Applications、Messenger、InstallShield Installation Information.exe：每隔6秒删除安全软件在注册表中的键值 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\,Win 2003 专杀工具，共存在的话就运行net share命令关闭admin$共享 d、esteem proces;WINDOWS\病毒名称

为什么我打不开后缀名为.exe的文件啊？？

解决方法：是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下： %System%\drivers\spoclsv.exe 创建启动项： CODE: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ＂svcshare＂=＂%System%\drivers\spoclsv.exe＂ 修改注册表信息干扰“显示所有文件和文件夹”设置： CODE: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] ＂CheckedValue＂=dword:00000000 在各分区根目录生成副本： X:\setup.exe X:\autorun.inf autorun.inf内容： CODE: [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 尝试关闭下列窗口： QQKav QQAV VirusScan Symantec AntiVirus Duba Windows esteem procs System Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc) IceSword 结束一些对头的进程： Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe 禁用一系列服务： Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMon KVWSC KVSrvXP kavsvc AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 删除若干安全软件启动项信息： RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStatEXE YLive.exe yassistse 使用net share命令删除管理共享： CODE: net share X$ /del /y net share admin$ /del /y net share IPC$ /del /y 遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件： X:\WINDOWS X:\Winnt X:\System Volume Information X:\Recycled %ProgramFiles%\Windows NT %ProgramFiles%\WindowsUpdate %ProgramFiles%\Windows Media Player %ProgramFiles%\Outlook Express %ProgramFiles%\Internet Explorer %ProgramFiles%\NetMeeting %ProgramFiles%\Common Files %ProgramFiles%\ComPlus Applications %ProgramFiles%\Messenger %ProgramFiles%\InstallShield Installation Information %ProgramFiles%\MSN %ProgramFiles%\Microsoft Frontpage %ProgramFiles%\Movie Maker %ProgramFiles%\MSN Gamin Zone 将自身捆绑在被感染文件前端，并在尾部添加标记信息： QUOTE: .WhBoy{原文件名}.exe.{原文件大小}. 与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe，删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机： password harley golf pussy mustang shadow fish qwerty baseball letmein ccc admin abc pass passwd database abcd abc123 sybase 123qwe server computer super 123asd ihavenopass godblessyou enable alpha 1234qwer 123abc aaa patrick pat administrator root sex god foobar secret test test123 temp temp123 win asdf pwd qwer yxcv zxcv home xxx owner login Login love mypc mypc123 admin123 mypass mypass123 Administrator Guest admin Root 清除步骤 ========== 1. 断开网络 2. 结束病毒进程 %System%\drivers\spoclsv.exe 3. 删除病毒文件： %System%\drivers\spoclsv.exe 4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件： X:\setup.exe X:\autorun.inf 5. 删除病毒创建的启动项： CODE: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ＂svcshare＂=＂%System%\drivers\spoclsv.exe＂ 6. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能： CODE: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] ＂CheckedValue＂=dword:00000001 7. 修复或重新安装反病毒软件 8. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件到以下网址下载专杀工具： 江民熊猫烧香专杀工具http://www.jiangmin.com记住千万不要双击任何盘，因为一双击就会激活病毒，导致查杀失败。

也可以到天空软件站去下载一个由病毒制作者编写的熊猫及其变种病毒专杀工具：http://www1.skycn.com/soft/32670.html

求教EFS加密文件破破解方法,谢

第一步，启用系统中的GUEST帐户。

此时从资源管理器中是不能访问test文件夹的。

打开cmd，在任务管理器中终止explorer.exe进程，打开PsExec尝试用system登录。

失败。

提示进程无法创建。

看来全县不够。

回到管理员帐户，新建一个管理员帐户test并以之登录。

在test帐户中运行资源管理器可以访问test文件夹，但是不能打开1.txt加密文件。

此时再用上法以system登录。

此时打开文件为乱码！ 运行IceSword.exe，在 文件 中定位test文件夹。

右键选择1.txt，复制到桌面，文件名任意，后缀不变。

双击打开文件，正常读出！第一步破解EFS成功！ 第二步，登陆Windows Server 2003 SP1系统（管理员身份）。

使用上述方法再次复制1.txt到桌面，打开后出现乱码，和system读取时情况一致。

第二种尝试失败。

总结： 本方法意义： 目前仅适用于察看系统中其他人使用EFS加密过的文件（请读者务必不要做违法及危害他人权利的事！），在系统重装或私钥丢失情况下的文件恢复有待进一步地探索。

本方法使用的两个软件： PsExec IceSword。

前者是国外非常流行的远程控制软件，命令行界面。

后者则是PJF制作的国内著名隐藏进程察看软件冰刃。

本方法适用条件： 1. 需要足够运行上述两个软件的权限（如果可以结合net user命令的话应该不难，这只是一个小提示，读者还请自律^_^）。

2. 系统内还有该EFS加密文件对应的密钥（这一条件是基于我的初步推测） 本方法成功的原因浅析： 1. 利用了system帐户特有的内核级权限，这可能是能够读取管理员或其他正常用户密钥的条件。

2. IceSword特有的读取加密文件的技术。

关于这一点，是我最百思不得其解的地方，真希望能听到PJF亲自阐述一下这是如何实现的0.0...