IceSword 1.22 / 冰刃 Anti Rootkit Software
IceSword內部功能是十分強大的。可能您也用過很多類似功能的軟體,比如一些進程工具、埠工具,但是現在的系統級後門功能越來越強,一般都可輕而易舉地隱藏進程、埠、註冊表、檔資訊,一般的工具根本無法發現這些“幕後黑手”。IceSword使用大量新穎的內核技術,使得這些後門躲無所躲。
===================================轉自PJF
添加的小功能有:
1、進程欄裏的模組搜索(Find Modules)
2、註冊表欄裏的搜索功能(Find、Find Next)
3、文件欄裏的搜索功能,分別是ADS的枚舉(包括或不包括子目錄)、普通文件查找(Find Files)
上面是要求最多的,確實對查找惡意軟體有幫助
4、BHO欄的刪除、SSDT欄的恢復(Restore)
這項算是“雞肋”項吧,可加可不加。
5、Advanced Scan:第三步的Scan Module提供給一些高級用戶使用,一般用戶不要隨便restore,特別不要restore第一項顯示爲"-----"的條目,因爲它們或是作業系統自己修改項、或是IceSword修改項,restore後會使系統崩潰或是IceSword不能正常工作。
最 早的IceSword也會自行restore一些內核執行體、文件系統的惡意inline hook,不過並未提示用戶,現在覺得像SVV那樣讓高級用戶自行分析可能會有幫助。另外裏面的一些項會有重復(IAT hook與Inline modified hook),偷懶不檢查了,重復restore並沒有太大關係。還有掃描時不要做其他事,請耐心等待。
有 朋友建議應該對找到的結果多做一些分析,判斷出修改後代碼的意義,這當然不錯,不過要完美的結果工作很煩瑣——比如我可以用一條指令跳轉,也可以用十條或 更多冗餘指令做同樣的工作——而目前沒有時間完善,所以只有JMP/PUSH+RET的判斷。提議下對高級用戶可選的替代方案:記住修改的位址,使用進程 欄裏的“記憶體讀寫”中的“反彙編”功能,就先請用戶人工分析一下吧,呵呵。
6、隱藏簽名項(View->Hide Signed Items)。在功能表中選中後對進程、模組列舉、驅動、服務四欄有作用。要注意選中後刷新那四欄會很慢,要耐心等。運行過程中系統相關函數會主動連接外界 以獲取一些資訊(比如去crl.microsoft.com獲取證書吊銷列表),一般來說,可以用防火牆禁之,所以選中後發現IS有連接也不必奇怪,M$ 搞的,呵呵。
7、其他就是內部核心功能的加強了,零零碎碎有挺多,就不細說了。使用時請觀察下View->Init State,有不是“OK”的說明初始化未完成,請report一下
===================================轉自PJF
IceSword has a Windows Explorer-like interface but displays hidden processes and resources that Windows Explorer would never show. It isn't a "click-here-to-delete-rootkits" product but a sophisticated discovery tool that can protect against sinister rootkits if used before they infect a machine.
Download - Current Version - 1.22 - English
IceSword122en.zip - MD5: 49582e999155cdf2812a1d645caf0831