User:Eros of Fire/IceSword

IceSword is a anti-rootkit (ARK) personal software for detection of rootkits and boot-time virus infections on Microsoft Windows. This tool is a freeware.

Lo esencial de su desarrollo se hizo a lo largo del primer semestre 2006. Durante el primer semestre 2007, las pruebas lo situaron dentro de los cuatro mejores antirootkits de su categoría detrás de los más recientes RkUnhooker, Gmer, DarkSpy, y delante de su antepasado RootkitRevealer

Autor
IceSword fue desarrollado por un estudiante de la University of Sciences and Technology of China, miembro del Xfocus Team cuyo apodo es pjf_.

Descripción
IceSword es uno de los pocos HIDS detectores de rootkits y otros servicios furtivos escondidos en un PC que haya sido considerado difícil de pasar por Hacker Defender. Utiliza un algoritmo similar al de ''Blacklight" (incluido en los productos comerciales de F-Secure).

Aunque su funcionamiento es poco comprensible para los no iniciados, sus funciones básicas resultan sencillas de entender. No requiere instalación en sentido común del término y su lanzamiento no es percibido como una agresión por una gran mayoría de las herramientas de defensa habituales. Puede entrar en conflicto con algunos sistemas de seguridad, que impiden su funcionamiento. Según las actividades que debe analizar, IceSword puede ocupar entre menos 4Mb y approximadamente 12Mb de memoria.

Páginas de IceSword

 * Process: lista de los procesos activos con informaciones como la definición del bloque EPROCESS (estructura de datos en modo núcleo que contiene informaciones que pueden permitir ocultar un proceso) y la utilización de la memoria dinámica y máxima. Un clic derecho sobre uno de los procesos causa la apertura de una ventana de información donde se encuentra la posibilidad de parar el intruso con la función Terminate Process.
 * Port: lista de las aplicaciones que abren puertos del PC con indicación de cada Dirección IP (local y distante), de los puertos utilizados, del Identificador de proceso PID y del estatus de cada conexión.
 * Kernel Module: lista de las funciones sofware del núcleo cargadas dinámicamente en la memoria cuando un programa requiere sus servicios. Los rootkits en modo núcleo enganchan el sistema e introducen modificaciones al kernel. El acceso a éste está generalmente prohibido a los usuarios y requiere autorizaciones especiales.
 * El enganchamiento del sistema es el método quizá más fiable y más robusto porque se sitúa a nivel más bajo.
 * La sección Kernel Module enseña los ficheros actualmente cargados en la memoria núcleo que va a ofrecer diversos servicios. Si un rootkit actúa en modo núcleo, inevitablemente habrá cargado su driver y será visible en esta sección.
 * Startup: lista de las aplicaciones al inicio del sistema operativo (equivalente de ficheros y carpeta de inicio y de claves comunes de Seem).
 * Los rootkits instalan a menudo un procedimiento de lanzamiento automático al inicio del sistema constituido por una clave inyectada dentro del Registro del sistema.
 * Se puede cargar dinámicamente un driver .sys por un programa ejecutable, lo que implica que es necesario lanzar este ejecutable. Después, el driver puede ser cargado automáticamente por la instauración de un servicio control o por un servicio normal que cargará el ejecutable.
 * Win32 services: lista de los servicios (funciones informáticas del sistema o de gestión de periférico) presentes en el PC. IS reanuda las descripciones incluidas en la ayuda de Microsoft incorporada al sistema, apareciendo en la lengua de instalación.
 * SPI (Service Provider Interface): lista de interfaces informáticos (pilotos) de periféricos desarrollados según la norma de programación WOSA para permitir un acceso común a los servicios.
 * BHO (Browser Helper Object): lista de los módulos dll que proporcionan una funcionalidad suplementaria para Internet Explorer. El API BHO se expone al enganchamiento por un intruso para la toma de control de la navegación.
 * SSDT (System Service Descriptor Table): tabla utilizada por Windows para dirigir llamadas del sistema hacia un tratamiento conveniente. El enganchamiento de la tabla del descriptor de servicio del sistema (SSDT) con vista a su modificación es otra técnica frecuentemente utilizada. Al modificar esta tabla, el rootkit puede reorientar la ejecución hacia su código en vez de hacerlo hacia el módulo original del sistema.
 * Message Hooks: lista de los procesos que utilizan algunas funciones API de Windows,como los periféricos de entrada de datos. El proceso sistema SER32.DLL establece una función de interceptación de las actividades. Algunos ejemplos son:
 * WH_GETMESSAGE: todos los acontecimientos pasan por este filtro, controla cualquier tipo de mensaje enviado a una aplicación.
 * WH_MSGFILTER': recoge los acontecimientos generados a consecuencia de una introducción de datos en una ventana de diálogo, una zona de mensaje o un menú.
 * WH_KEYBOARD: recoge los acontecimientos desencadenados por el tecleo.
 * Log Process: lista general de los acontecimientos informados por las distintas aplicaciones instaladas sobre el PC, aplicaciones Microsoft o no, y vinculados con el inicio (o el cierre) y con las actividades de los distintos procesos en función.
 * Esta lista enseña los distintos identificadores PID (Process Identifier) y TID (Thread Identifier). Todos los módulos de un mismo proceso tienen el mismo PID pero tienen su propio identificador TID.
 * Un thread tiene su propio espacio en memoria y es independiente de otros threads. Un proceso puede lanzar dos threads (o más) que van a realizar dos tratamientos distintos a la vez. El segundo thread no tiene que esperar que el primero se termine. Esto se llama el multi-thread. La técnica de inyección de código, consiste generalmente en acceder a la memoria de un proceso, luego en inyectar un nuevo código, y en ejecutar este código, por este proceso, en un nuevo thread. A pesar de eso, no es evidente saber si un determinado thread es sano, excepto para el autor del programa.
 * System Ckeck: Al inicio de IS (a partir del v1.16), control general del existente sobre el PC (procesos ocultados, drivers modificados)

Notas

 * Requiere privilegios de administrador para ejecutarse y funcionar adecuadamente.
 * Es incompatible con algunos depuradores de Modo Kernel.

Enlaces externos

 * IceSword - sitio official (descarga) (en inglés)
 * Presentación (Security Exploded) (en inglés)
 * IceSword…The Best Rootkit Defender? (Tech-Security) (en inglés)
 * IceSword - explicaciones detalladas, descarga y asistencia por Txon (InforMars) (en francés)
 * Xfocus Team

IceSword