Board logo

標題: [系統工具] IceSword 1.22 (一把斬斷幕後黑手的利刃) [打印本頁]
作者: yoyo007     時間: 2007-8-8 08:55 PM    標題: [系統工具] IceSword 1.22 (一把斬斷幕後黑手的利刃)

[軟體名稱] IceSword 1.22 (一把斬斷幕後黑手的利刃)
[軟體語言] 繁體中文
[檔案大小] 983 KB
[系統環境] Windows 2000/XP/2003/Vista
[作者站台] http://pjf.blogcn.com/index.shtml
[新版連結] http://www.centurys.net/viewthread.php?tid=202263
[存放空間] HTTP
[軟體簡介] 免安裝

  Quote:


之前在 July 4.02 中有提到這個工具,趁著這兩天忙裡偷閒弄了一下;這是拿 2007-07-09  IceSword 1.22 English Version 做的,由於本地化過程中 N 次過度翻譯導致部份功能失效,N 次除錯甚感費時耗力,索性全部重來投機取巧用 [所見即得] 的方式來處理,就看的到的都翻了,其餘讓它從指縫間流過,省略了字串表和部分對話方塊,以及 ASCII 中的一些字串,兩權相害取其輕,雖然這樣的翻譯不是很完全,但起碼不至於影響功能的使用,如您見到遺漏的和錯譯了的字串,請多包涵並請不吝指正,謝謝。

以下引自 [IceSword] 目錄內的說明檔介紹,如果您想試驗,可以用 HideToolz;另外,[Cooperator] 我沒上傳,有需要請至作者站台:http://pjf.blogcn.com/index.shtml 下載。

目錄內的 IceSword 說明檔我處理過了,建議您使用前,先閱覽一下。

  Quote:
冰刃 IceSword 1.22 簡介

    IceSword 是一斬斷黑手的利刃 (所以取這土名,有點搞e,呵呵)。

它適用於 Windows 2000/XP/2003/Vista 作業系統,用於查探系統中的幕後黑手 (木馬後門) 並作出處理,當然使用它需要用戶有一些作業系統的知識。

    在對軟體做講解之前,首先說明 第一注意事項:

此程式執行時不要啟動內核除錯器 (如 softice),否則系統可能立即崩毀。另外使用前請先儲存好您的資料,以防萬一未知的 Bug 帶來損失。

    IceSword 目前只為使用 32 位的 x86 相容 CPU 的系統設計,另外執行 IceSword 需要管理員權限。

    如果您使用過老版本,請一定注意,使用新版本前要重新啟動系統,不要交替使用二者。

    IceSword 內部功能是十分強大的。可能您也用過很多類似功能的軟體,比如一些處理序工具、連接埠工具,但是現在的系統級後門功能越來越強,一般都可輕而易舉地隱藏處理序、連接埠、登錄檔、檔案資訊,一般的工具根本無法發現這些「幕後黑手」。

    IceSword使用大量新穎的內核技術,使得這些後門躲無所躲。

    如何結束 IceSword:直接關閉,若您要防止處理序被結束時,需要以指令行形式輸入:IceSword.exe /c,此時需要 Ctrl+Alt+D 才能關閉 (使用三鍵前先按一下任意鍵)。

    如果最小化到系統區時,系統區圖示又消失了:此時可以使用 Ctrl+Alt+S 將 IceSword 主介面喚出。因為偷懶沒有重繪圖示,將就用吧。



  Quote:
IceSword 1.22 English Version

加入的小功能有:

1、處理序項目中的模組搜尋 (Find Modules)
2、登錄檔項目中的搜尋功能 (Find、Find Next)
3、檔案項目中的搜尋功能,分別是 ADS 的列舉 (包含或不包含子目錄)、普通檔案搜尋 (Find Files)

上面是要求最多的,確實對查找惡意軟體有幫助。

4、BHO 項目的刪除、SSDT 項目的恢復 (Restore)

這項算是「雞肋」項吧,可加可不加。

5、Advanced Scan:第三步的 Scan Module 提供給一些進階用戶使用,一般用戶不要隨便 restore,特別不要 restore 第一項顯示為 "-----" 的條目,因為它們或是作業系統自己的修改項、或是 IceSword 的修改項,restore 後會使系統崩毀或是 IceSword 無法正常工作。

最早的 IceSword 也會自行 restore 一些內核執行體、檔案系統的惡意 inline hook,不過並未提示用戶,現在覺得像 SVV 那樣讓進階用戶自行分析可能會有幫助。另外裡面的一些項目會有重複 (IAT hook 與 Inline modified hook),偷懶不檢查了,重複 restore 並沒有太大關係。還有掃瞄時不要做其它事,請耐心等待。

有朋友建議應該對找到的結果多做一些分析,判斷出修改後代碼的意義,這當然不錯,不過要完美的結果工作很煩瑣——比如我可以用一條指令跳轉,也可以用十條或更多冗余指令做同樣的工作——而目前沒有時間完善,所以只有 JMP/PUSH+RET 的判斷。提議下對進階用戶可選的替代方案:記住修改的位址,使用處理序項目裡的「讀取 / 寫入記憶體」中的「反向組譯」功能,就先請用戶人工分析一下吧,呵呵。

6、隱藏簽章項 (View->Hide Signed Items)。在功能表中選上後對,處理序、模組列舉、驅動、服務四個項目有作用。要注意選上後重新整理那四個項目會很慢,要耐心等。執行過程中系統相關函數會主動連接外界以獲取一些訊息 (例如去 crl.microsoft.com 擷取證書吊銷清單),一般來說,可以用防火牆禁之,所以選上後發現 IS 有連接也不必奇怪,M$ 搞的,呵呵。

7、其它就是內部核心功能的加強了,零零碎碎有挺多,就不細說了。使用時請觀察下 View->Init State,有不是「OK」的說明初始化未完成,請 report 一下。



  Quote:
IceSword 運用乙例:

http://www.centurys.net/viewthread.php?tid=203528

檔案下載:


MD5:64799DB33B409C19F7AFDFCD2BDCC760


請按 [Copy to clipboard] 複製解壓碼:


CODE:  [Copy to clipboard]

PS. 請注意:

如軟體需特殊文件,而您只下不回的話,那不好意思,即使您 PM 向我詢問,我也會學您當個潛水者,不予回應,請別怪我,這本是禮尚往來,大家互相,所以,敬請各位大大保持論壇的良好風氣,養成有下有回的網路禮儀,謝謝您的配合 !!

[ Last edited by yoyo007 on 2007-9-9 at 11:38 PM ]
作者: tsjking     時間: 2007-8-8 10:44 PM
也是一個執行序管理工具,本想測試看看有什不同的地方
結果一執行出現了訊息;[這個操作己經被取消了,因為這個
電腦受到限制,請和系統管理員連絡]下了官網的檔案也是
一樣的情形,明天在找一台電腦測一下好了,謝謝yoyo大的
中文化及分享
作者: yoyo007     時間: 2007-8-8 10:52 PM


  Quote:
Originally posted by tsjking at 2007-8-8 22:44:
也是一個執行序管理工具,本想測試看看有什不同的地方
結果一執行出現了訊息;[這個操作己經被取消了,因為這個
電腦受到限制,請和系統管理員連絡]下了官網的檔案也是
一樣的情形,明天在找一台電腦測一下好了,謝謝 ...

需要管理員權限,使用前建議先閱讀下 [說明檔],會有幫助的。

  Quote:
問:那麼檔案項又有什麼特點呢?

答:同樣,具備反隱藏、反保護的功能。當然就有一些副作用,檔案保護工具 (移走檔案和檔案加密類除外) 在它面前就無效,如果您的電腦與人共用,那麼不希望別人看到的檔案就採用加密處理吧,以前的檔案保護 (防讀或隱藏) 是沒有用的。

還有對安全的副作用是本來 system32 \ config \ SAM 等檔案是無法複製也無法開啟的,但 IceSword 是可以直接複製的。不過只有管理員能執行 IceSword。

最後說一個小技巧:用複製來改寫檔案。對一個被非共享開啟的檔案、或一個正執行的執行檔案 (例如木馬),您想改掉它的內容 (例如想向木馬執行檔案寫入垃圾資料使它重啟後無法執行),那麼請選擇一個檔案 (內含您想修改的內容),選「複製」選單,將目標檔案欄中添上您欲修改掉的檔案 (木馬) 路徑,確定後前者的內容就寫入後者 (木馬) 從頭開始的位置。

最後提醒一句:每次開機 IceSword 只第一次執行確認管理員權限,所以管理員執行程式後,如果要交付機器給低權限用戶使用,應該先重啟機器,否則可能為低權限用戶利用。

作者: osk     時間: 2007-8-8 10:56 PM
(一把斬斷幕後黑手的利刃)...甚麼怪名稱?
開啟它..不知是否須拿盾牌?
下載測試看看..
感謝 版兄 無私分享   ^^
作者: benleung     時間: 2007-8-8 11:28 PM
好一把利刃,連登陸編輯也有招呼到,
多謝YOYO大分享,中文化辛苦了
作者: hong01     時間: 2007-8-8 11:55 PM
版大又有新東西了...支持一下!
(一把斬斷幕後黑手的利刃)
這名字很吸引人
來試試看!
謝謝版大分享
作者: soro     時間: 2007-8-9 06:31 AM
目前使用的是 1.18 版,有新版了真好,下載更新,感謝版大分享!
作者: e722146     時間: 2007-8-11 11:47 PM
光聽名字就很吸引人說!
相信一定是一款超實用得軟体喔!
趕緊安裝試試看吧!
多謝無私載點提供喔!
作者: 七彩琉璃雨     時間: 2007-8-13 12:18 PM
下載測試過後
只有一個字 "讚"
整個正在工作的程序以及連結阜
都顯示的清清楚楚~~
感謝好友辛勞,為您的毅力喝采~~
作者: PLUS+     時間: 2007-8-13 01:41 PM
稍微試了一下
果然好用
路徑都有顯示出來.....
如果附送那把刀就更好了.....
作者: boy000     時間: 2007-8-13 06:16 PM
感謝提供分享
這一套真的很方便
用來偵測系統處理程序最好
作者: mimo1260     時間: 2007-10-6 01:25 PM
感謝提供分享,是一款實用的軟体.
作者: kcsty     時間: 2007-10-7 09:27 AM
不會用,還是謝謝大大的提供啦
作者: u52     時間: 2007-11-11 04:47 PM
謝謝你~終於找到了~辛苦囉~
作者: 朱皮     時間: 2007-11-12 01:54 AM
謝謝大大分享實用軟體 感謝大大
作者: brian2004     時間: 2008-1-4 01:56 PM
感謝分享實用軟件,滿足大眾學習所需。謝謝..
作者: kuowe     時間: 2008-8-14 09:45 AM
ADSL無法設定新連線~ 以下兩項設定被關閉

使用撥號數據機連線
使用需要使用者名稱和密碼的寬頻連線來連線

因此無法設定ADSL連線
希望能用此軟體作修復
若還有問題在請教~~十分感謝
作者: yoyo007     時間: 2008-8-17 09:44 PM


  Quote:
Originally posted by kuowe at 2008-8-14 09:45:
ADSL無法設定新連線~ 以下兩項設定被關閉

使用撥號數據機連線
使用需要使用者名稱和密碼的寬頻連線來連線

因此無法設定ADSL連線
希望能用此軟體作修復
若還有問題在請教~~十分感謝

應該是開啟數據機電源,然後到 [網路連線] → [建立一個新連線] 設定使用者名稱 & 密碼來解決吧...



歡迎光臨 網際論壇 (http://centurys.net/) Powered by Discuz! 2.5