BlackIce
是一個入侵檢測系統,它能將一些現象檔案以其它的協定分析器可以讀取的格式寫到硬碟上。因此在運用到一個安全的環境時,這種用法比一般的sniffering程式更加有用。然而,它是非混雜模式的,因此,僅僅監聽進入計算機的數據包。
這個軟體在九九年獲得了PC Magazine的技術卓越大獎,專家對它的評語是:“對於沒有防火牆的家庭用戶來說,BlackICE是一道不可缺少的防線;而對於企業網路,它又增加了一層保護措施--它並不是要取代防火牆,而是阻止企圖穿過防火牆的入侵者。BlackICE集成有非常強大的檢測和分析引擎,可以識別200多種入侵技巧,給你全面的網路檢測以及系統防護,它還能即時監測網路連線埠和協定,攔截所有可疑的網路入侵,無論黑客如何費盡心機也無法危害到你的系統。而且它還可以將查明那些試圖入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP位址記錄下來,以便你採取進一步行動。封言用過後感覺,該軟體的靈敏度和準確率非常高,穩定性也相當出色,系統資源占用率極少,是每一位上網朋友的最佳選擇。
blackice病毒
病毒特徵
在%systemroot%\system32下生成blackice.exe和kernel.dll檔案,二者相互保護。載入在啟動項裡面的是blackice.exe。一旦打開office文檔如word、excel等,均會在進程中添加blackice.exe的進程,同時在\Documents and Settings\*username*\LocalSettings\Temp資料夾下生成bk_*.tmp,其中*為數字和字母,按照現有檔案名稱遞增。一位為數字或字母,兩位的話是數字+字母形勢,大小均為33kb,同時注入系統進程且無法中止。使用防毒軟體可以查殺,病毒分類為Worm.win32.Whiteice.a,一般防毒軟體(我用的kaspersky)均可結束blackice進程但無法直接刪除該檔案,可以刪除kernel.dll,可以刪除bk_*.tmp,提示需要重啟才能殺掉blackice。但重啟之後開機提示系統找不到%systemroot%\system32\blackice.exe,而且再次打開office文檔還會重複上面的過程;也就是防毒軟體無法根除。
刪除過程
安全模式下,用kaspersky添加病毒檔案的兩個關鍵區域和office所在的資料夾即\Documents and Settings\*username*\Application Data\Microsoft,然後掃描防毒防毒完成後,運行msconfig取消blackice的啟動項,然後運行regedit搜尋blackice相關鍵值並全部刪除。重啟之後,進入正常模式,在%systemroot%\system32資料夾下新建兩個空白txt檔案並修改為blackice.exe和kernel.dll,修改其屬性為唯讀。重啟。再次進入正常模式後對上述關鍵區域防毒,同時運行regedit刪除相關鍵值。刪除及防毒完畢後再次重啟,進入正常模式後卸載office。至此病毒再也不會出現。重新安裝office後,再次打開office文檔也不會再出現病毒了。
特別提下,就算你沒中毒,使用“在%systemroot%\system32資料夾下新建兩個空白txt檔案並修改為blackice.exe和kernel.dll,修改其屬性為唯讀”這個方法也可以防止病毒在%systemroot%\system32下生成blackice.exe和kernel.dll檔案,起到一定的預防作用。
BLACK·ICE(攻性防壁)
BALDR系列遊戲下的特有名詞,是一種對電子體或者病毒體使用的攻擊性武器,大多是軍方、政府部門、高等級的金融體系等使用
與一般的防禦壁不同,攻性防壁是以殺傷為目的而製作的,如果一般人的電子體進入攻性防壁,會對人的腦內晶片發出大量的垃圾信息讓晶片過負荷燒毀,因為腦內晶片已經跟使用者一體化,接近於大腦的一部分,所以晶片燒毀的話很可能導致使用者‘腦死’——BALDR SKY的主角門倉甲,就因為被論理爆彈(一種類似於攻性防壁的攻擊手段,不過不同的是這個完全是主動攻擊)的餘波命中,要不是腦內晶片帶有安全裝置,當過負荷的時候自動斷開,門倉甲也會跟他的隊員一樣命運直接腦死,但是雖然說有安全裝置,實際上門倉甲也因為這次的攻擊導致腦內晶片半毀,可見這種攻擊的恐怖;而一般的病毒體一旦進入攻性防壁幾乎會直接毀滅