楼主: wangjay1980
收起左侧

[经验分享] 实例教你如何使用“冰刃”ICEWORD

[复制链接]
YoYo
发表于 2007-2-11 16:02:23 | 显示全部楼层
软件是很不错的!可惜至今偶还是不会用!
GBUser
发表于 2007-2-11 16:47:37 | 显示全部楼层

冰剑就是俺的高级任务管理器

不过貌似N久不更新了?
听说不少RootKit可以绕过它了。
啥时候介绍下RootKit  Unhooker如何?先行谢过
zzh161
发表于 2007-2-11 22:00:16 | 显示全部楼层
icesword直接针对底层,用不好就崩溃了
野马
发表于 2007-2-11 22:46:44 | 显示全部楼层
俺菜!不太会用冰刃,所以干脆不用,直接用微点!冰刃能办的微点也能办吧。

[ 本帖最后由 野马 于 2007-2-11 22:47 编辑 ]
yjytn
发表于 2007-2-12 01:35:14 | 显示全部楼层
现在没时间看,做个记号。
world0
发表于 2007-2-12 03:23:29 | 显示全部楼层
  我是菜菜,我只用过找隐藏的病毒文件。。
ooo-ppp
发表于 2007-2-12 10:05:33 | 显示全部楼层

问题

笨鸟提个问题  ,您是如何判断出病毒进程的 ,能否详细的 讲解一下发现判断的过程,这样菜鸟才能提高反病毒的经验,您才能轻松轻松,您看如何拜托!
drevil
发表于 2007-2-26 22:41:19 | 显示全部楼层
好东西,不过用的比较少,还不是很熟练~~~
newyearfong
发表于 2007-2-27 14:23:27 | 显示全部楼层

转几个其他论坛的教程

IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。  在对软件做讲解之前,首先说明第一注意事项:此程序运行时不可激活内核调试器(softice),否则系统即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损失。  IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些幕后黑手IceSwo rd使用大量新颖的内核技术,使得这些后门躲无所躲。

IceSword FAQ
进程、端口、服务篇问:现在进程端口工具很多,什么要使用IceSword答:1、绝大多数所谓的进程工具都是利用WindowsToolhlp32psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)来编写,随便一个ApiHook就可轻轻松松干掉它们,更不用说一些内核级后门了;极少数工具利用内核线程调度结构来查询进程,这种方案需要硬编码,不仅不同版本系统不同,打个补丁也可能需要升级程序,并且现在有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前独一无二的,并且充分考虑内核后门可能的隐藏手段,目前可以查出所有隐藏进程。
2
、绝大多数工具查找进程路径名也是通过Toolhlp32psapi,前者会调用RtlDebug***函数向目标注入远线程,后者会用调试api读取目标进程内存,本质上都是对PEB的枚举,前面我的blog提到过轻易修改PEB就让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示,就算运行时剪切到其他路径也会随之显示。

[ 本帖最后由 newyearfong 于 2007-2-27 14:27 编辑 ]
newyearfong
发表于 2007-2-27 14:27:47 | 显示全部楼层

回复 #29 newyearfong 的帖子

3、进程dll模块与2的情况也是一样,利用PEB的其他工具会被轻易欺
骗,而IceSword不会弄错。
4、IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然,说任意不确切,除去三个:idle进程、System进程、csrss进程,原因就不详述了。其余进程可轻易杀死,当然有些进程(如winlogo n)杀掉后系统就崩溃了。
5、对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,
那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找,不过不想弄得太臃肿。
6、先说这些了...

问:windows自带的服务工具强大且方便,IceSowrd有什么更好的特点呢?
答:因为比较懒,界面使用上的确没它来的好,不过IceSword的服务功能主要是查看木马服务的,使用还是很方便的。举个例子,顺便谈一类木马的查找:
有一种利用svchost的木马,怎么利用的呢?svchost是一些共享进程服务的宿主,有些木马就以dll存在,依靠svchost运作,如何找出它们呢?首先看进程一栏,发现svchost过多,特别注意一下pid较大的,记住它们的pid,到服务 一栏,就可找到pid对应的服务项,配合注册表查看它的dll文件路径(由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键),根据它是不是惯常的服务项,很容易发现异常。剩下的工作就是停止任务或结束进程、删除文件、恢复注册表 之类的了,当然过程中需要你对服务有一般的知识。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:48 , Processed in 0.100880 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表