软件介绍
冰刃冰剑是非常强大的查杀电脑木马的工具。它能有效监控计算机中的各种木马,充分发掘隐藏的进程、端口、注册表、文件信息等。,轻松查杀木马。兼容WindowsXP、2000、2003、Win7等常用操作系统。,可以通过简单的操作完成。
官方介绍
冰刃的内部功能非常强大。你可能用过很多功能差不多的软件,比如一些流程工具,端口工具,但是系统级的后门功能越来越强。一般很容易隐藏进程、端口、注册表、文件的信息,普通工具根本找不到这些“幕后”。IceSword采用了很多新颖的内核技术,使得这些后门无处不在。如何退出冰剑:直接关闭。如果你想阻止这个过程的完成,你需要在命令行输入:IceSword.exe/c。这时候你需要Ctrl+Alt+D来关闭它(使用三个键之前按任意键)。
如果最小化到托盘时托盘图标消失:此时可以用Ctrl+Alt+S调出冰剑主界面。我用它是因为我懒,没有重画图标。
溜冰鞋的功能介绍
1.在进程栏中搜索模块(查找模块)2.注册表列中的搜索功能(查找,查找下一个)
3.文件列中的搜索功能包括列出广告(包括或不包括子目录)和查找文件。
以上是要求最高的,对发现恶意软件真的很有帮助。
4.删除BHO列,恢复SSDT列。
5.高级扫描:第三步中的扫描模块是为一些高级用户提供的。普通用户不要随便恢复,尤其是显示为“-”的第一项,因为要么是操作系统本身,要么是Iceword修改了,恢复后会导致系统崩溃或者Iceword无法正常工作。最早的IceSword会自己恢复内核可执行文件和文件系统的一些恶意内联钩子,但是没有提示用户。我认为像SVV这样的高级用户自己做分析可能会有帮助。其他项目将被复制(IAT钩和嵌入式修改钩)。如果你懒,不查也没多大关系。扫描时不要做其他事情,请耐心等待。
有朋友建议对找到的结果做更多的分析,判断修改后的代码的含义,这当然是好的,但是要想得到一个完美的结果是非常复杂的——比如我可以用一条指令跳转或者用十条甚至更多冗余指令做同样的工作——而且没有时间去改进,所以我只有JMP/PUSH+RET的判断。给高级用户建议一个替代方案:记住修改的地址,使用进程栏“内存读写”中的“反汇编”功能,让用户先手动分析,呵呵。
6.隐藏签名项目(查看->隐藏签名项目)。在菜单中被选中后,对进程、模块枚举、驱动、服务四列有作用。请注意,在选择之后刷新这四列会很慢。耐心点。在运行过程中,系统相关的函数会主动与外界连接,获取一些信息(比如去crl.microsoft. com获取一个证书撤销列表)。一般来说都是可以用防火墙屏蔽的,所以发现is被选中后连上也就不足为奇了,M&# 36,呵呵。
7.其他公司正在加强内部核心职能。零零碎碎的也不少,就不细说了。使用时请观察视图->初始化状态。如果有“OK”的解释,请举报。
溜冰鞋菜单描述
设置:本栏目所有含义与其名称一致。详见常见问题。转储:“GDT/IDT”将当前目录下GDT和IDT的内容保存到GDT.txt和IDT.txt
“List”将当前列表中的部分列内容(仅针对前五项,即进程、端口、内核模块、启动组和服务)保存在用户指定的日志文件中。例如,要将进程路径名保存到日志文件,请单击进程按钮,然后选择列表菜单,指定文件,然后确认。
托盘切换:尽量减少冰剑托盘或反之亦然。
使用注意事项
1.程序运行时不要激活内核调试器(如softice),否则系统可能会立即崩溃。2.使用前请保存数据,以防未知bug造成损失。
3.Iceword目前仅设计用于使用32位x86兼容CPU的系统。
4.运行IceSword需要管理员权限。
使用教程
先在这个页面下载冰刃软件,解压后运行iceword冰刃。检查流程打开iceword冰刃,找到功能,找到如图所示的【流程】。右边怎么显示红色表示异常。
查看端口单击Functions-Ports找到一个可以查看系统的开放端口。
从启动功能菜单中,找到启动项目。您可以在右侧查看注册表路径和启动文件路径。
服务项目点击功能项目的服务栏,可以直接查看服务器的本地服务。此外,扩展了当前启动的服务的进程ID。
注册表管理
单击注册表项,将显示regedit中的内容。
单击“文件”菜单上的“设置”来添加和删除服务进程列表。您也可以直接禁用进程创建并锁定它。
创建一个线程规则,如左左截图所示。您可以添加新的线程规则。
常见问题
问:有许多过程端口工具。为什么要用冰剑?答:
1.所谓的流程工具,大部分都是用Windows Toolhlp32或者psapi或者ZwQuerySystemInformation系统调用编写的(前两个也是这个调用调用的)。任何ApiHook都可以轻松干掉它们,更不用说一些内核级的后门了;很少有工具使用内核线程调度结构来查询进程。这种方案需要硬编码。不仅不同版本的系统不一样,打补丁时你可能需要升级程序,也有人提出了防止这种搜索的方法。IceSword的进程搜索内核方案独一无二,充分考虑内核后门可能隐藏的手段,可以发现所有隐藏的进程。
2.大多数工具通过Toolhlp32和psapi找到进程路径名。前者会调用RtlDebug***函数将远程线程注入目标,后者会使用调试api读取目标进程的内存,本质上是PEB的枚举。通过修改PEB,这些工具可以很容易地找到北方。IceSword的核心状态方案会准确显示整个路径,在运行时切到其他路径时也会显示。
3.对于进程dll模块和2也是如此。其他用PEB的工具会很容易被骗,但是冰剑不会被骗(很少有系统不支持,此时还在用枚举PEB)。
4.冰剑杀人的过程强大便捷(当然也很危险)。你可以很容易地杀死几个随机选择在一起的进程。当然,如果你说是任意的,不准确的,除了三个进程:空闲进程,系统进程,csrss进程,原因就不细说了。其他进程很容易被杀死。当然也有一些进程(比如winlogon)被杀死,然后系统崩溃。
5.网上有很多端口工具,但是也有很多隐藏端口的方法,那些方法对于冰剑来说完全行不通。其实我是想带个防火墙动态搜索的,但又不想太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口,第三方协议栈或者IPv6协议栈除外。
问:windows附带了强大而方便的服务工具。IceSowrd有哪些比较好的功能?
回答:因为懒,界面不太好,但是冰剑的服务功能主要是查木马服务,用起来很方便。顺便举个例子,搜索一类木马:svchost是一些共享进程服务的宿主,有些木马以dll的形式存在,依靠svchost运行。我们怎样才能找到他们?先看进度栏,发现svchost太多了。记住他们的身份证。你去服务栏可以找到pid对应的服务项目。在注册表中检查其dll文件路径(从服务项目第一列中列出的名称到注册表中具有相应名称的子项)。根据是否是正常服务项目,很容易发现异常项目。剩下的工作就是停止任务或者结束进程,删除文件,恢复注册表等等。当然在过程中是必须的。
问:那么什么样的木马后门会隐藏进程注册表文件呢?用冰剑怎么找?
答:比如现在流行的开源(容易变异)hxdef就是这样一个后门。可以很容易地用冰剑除去。在进程栏中可以直接看到红色显示的hxdef100进程,也可以看到服务栏中红色显示的服务项目。顺便说一下,你可以在注册表和文件栏中找到它们。如果木马反接,在端口栏也能看到。要查杀它,先从进程栏获取后门程序的完整路径,结束进程,删除后门目录,删除注册表中的服务对应方...这只是简单说说,请自学如何有效使用冰剑。
问:什么是“内核模块”?
答:载入系统和空间的PE模块主要是驱动*。sys,一般在核心状态下作为核心驱动存在。比如某种rootkit loads _root_。sys,前面提到的hxdef也会加载hxdefdrv.sys,正如你在本专栏中看到的。
问:什么是“SPI”和“BHO”?
回答:SPI一栏列出了系统中的网络服务提供商,因为可能被用作无进程木马。请注意“DLL路径”。一个正常的系统只有两个不同的dll(当然是更多的协议)。BHO是IE的一个插件,全称是浏览器帮助对象。如果木马以这种形式存在,用户打开网页就会激活木马。
