Board logo

標題: [系統安全] IceSword 1.22 - 0827 (一把斬斷幕後黑手的利刃) [打印本頁]
作者: yoyo007     時間: 2007-8-30 12:40 AM    標題: [系統安全] IceSword 1.22 - 0827 (一把斬斷幕後黑手的利刃)

[軟體名稱] IceSword 1.22 - 0827 (一把斬斷幕後黑手的利刃)
[軟體語言] 繁體中文
[檔案大小] 1.00 MB (1,050,279 位元組)
[系統環境] Windows 2000/XP/2003/Vista
[作者站台] http://pjf.blogcn.com/index.shtml
[前版連結] http://www.centurys.net/viewthread.php?tid=197844
[存放空間] HTTP
[軟體簡介] 免安裝

  Quote:


此版為繁體化版,取自官方 2007-08-27 釋出的 IceSword 1.22 簡體中文版,與上一版中文化版差異如下 (引自作者):

  Quote:
    原本打算讓英文版積累點 bug,過幾天出中文版的。沒想到近來折騰這、折騰那,出差剛回來沒幾天,又有一堆事往頭上砸,有沒搞錯。

    中途收到一些 bug 反映,但是基本都不是可重現的 bug 或根本不是 bug。確認的一個 bug 是 ADS 轉儲只能存到已存在的文件中,很 faint。

    因為目前不能在這上面花時間,所以除了上面那個 bug 其它不作什麼修改了。

以下引自 [IceSword] 目錄內的說明檔介紹,如果您想試驗,可以用 HideToolz;另外,[Cooperator] 我沒上傳,有需要請至作者站台:http://pjf.blogcn.com/index.shtml 下載。

目錄內的 IceSword 說明檔我處理過了,建議您使用前,先閱覽一下。

  Quote:
冰刃 IceSword 1.22 簡介

    IceSword 是一斬斷黑手的利刃 (所以取這土名,有點搞e,呵呵)。

它適用於 Windows 2000/XP/2003/Vista 作業系統,用於查探系統中的幕後黑手 (木馬後門) 並作出處理,當然使用它需要用戶有一些作業系統的知識。

    在對軟體做講解之前,首先說明 第一注意事項:

此程式執行時不要啟動內核除錯器 (如 softice),否則系統可能立即崩毀。另外使用前請先儲存好您的資料,以防萬一未知的 Bug 帶來損失。

    IceSword 目前只為使用 32 位的 x86 相容 CPU 的系統設計,另外執行 IceSword 需要管理員權限。

    如果您使用過老版本,請一定注意,使用新版本前要重新啟動系統,不要交替使用二者。

    IceSword 內部功能是十分強大的。可能您也用過很多類似功能的軟體,比如一些處理序工具、連接埠工具,但是現在的系統級後門功能越來越強,一般都可輕而易舉地隱藏處理序、連接埠、登錄檔、檔案資訊,一般的工具根本無法發現這些「幕後黑手」。

    IceSword使用大量新穎的內核技術,使得這些後門躲無所躲。

    如何結束 IceSword:直接關閉,若您要防止處理序被結束時,需要以指令行形式輸入:IceSword.exe /c,此時需要 Ctrl+Alt+D 才能關閉 (使用三鍵前先按一下任意鍵)。

    如果最小化到系統區時,系統區圖示又消失了:此時可以使用 Ctrl+Alt+S 將 IceSword 主介面喚出。因為偷懶沒有重繪圖示,將就用吧。



  Quote:
IceSword 1.22 English Version

加入的小功能有:

1、處理序項目中的模組搜尋 (Find Modules)
2、登錄檔項目中的搜尋功能 (Find、Find Next)
3、檔案項目中的搜尋功能,分別是 ADS 的列舉 (包含或不包含子目錄)、普通檔案搜尋 (Find Files)

上面是要求最多的,確實對查找惡意軟體有幫助。

4、BHO 項目的刪除、SSDT 項目的恢復 (Restore)

這項算是「雞肋」項吧,可加可不加。

5、Advanced Scan:第三步的 Scan Module 提供給一些進階用戶使用,一般用戶不要隨便 restore,特別不要 restore 第一項顯示為 "-----" 的條目,因為它們或是作業系統自己的修改項、或是 IceSword 的修改項,restore 後會使系統崩毀或是 IceSword 無法正常工作。

最早的 IceSword 也會自行 restore 一些內核執行體、檔案系統的惡意 inline hook,不過並未提示用戶,現在覺得像 SVV 那樣讓進階用戶自行分析可能會有幫助。另外裡面的一些項目會有重複 (IAT hook 與 Inline modified hook),偷懶不檢查了,重複 restore 並沒有太大關係。還有掃瞄時不要做其它事,請耐心等待。

有朋友建議應該對找到的結果多做一些分析,判斷出修改後代碼的意義,這當然不錯,不過要完美的結果工作很煩瑣——比如我可以用一條指令跳轉,也可以用十條或更多冗余指令做同樣的工作——而目前沒有時間完善,所以只有 JMP/PUSH+RET 的判斷。提議下對進階用戶可選的替代方案:記住修改的位址,使用處理序項目裡的「讀取 / 寫入記憶體」中的「反向組譯」功能,就先請用戶人工分析一下吧,呵呵。

6、隱藏簽章項 (View->Hide Signed Items)。在功能表中選上後對,處理序、模組列舉、驅動、服務四個項目有作用。要注意選上後重新整理那四個項目會很慢,要耐心等。執行過程中系統相關函數會主動連接外界以獲取一些訊息 (例如去 crl.microsoft.com 擷取證書吊銷清單),一般來說,可以用防火牆禁之,所以選上後發現 IS 有連接也不必奇怪,M$ 搞的,呵呵。

7、其它就是內部核心功能的加強了,零零碎碎有挺多,就不細說了。使用時請觀察下 View->Init State,有不是「OK」的說明初始化未完成,請 report 一下。



  Quote:
IceSword 運用乙例:

http://www.centurys.net/viewthread.php?tid=203528

檔案下載:


MD5:

CODE:  [Copy to clipboard]
7CC2115E4F418D33EDB854F6C9CB3FFE


請按 [Copy to clipboard] 複製解壓碼:

CODE:  [Copy to clipboard]

PS. 請注意:

如軟體需特殊文件,而您只下不回的話,那不好意思,即使您 PM 向我詢問,我也會學您當個潛水者,不予回應,請別怪我,這本是禮尚往來,大家互相,所以,敬請各位大大保持論壇的良好風氣,養成有下有回的網路禮儀,謝謝您的配合 !!

[ Last edited by yoyo007 on 2007-9-9 at 11:39 PM ]
作者: osk     時間: 2007-8-30 01:08 AM
這個程式好像是不錯用..但又有些怕怕..
先下載收藏..
感謝 版兄 分享...
作者: a2213572     時間: 2007-8-30 02:44 AM
上次試用一下.馬上見血!
強制關機求饒!
感謝大大分享.繼續收藏.
作者: xp20060726     時間: 2007-8-30 06:26 AM    標題: 感謝您們的分享!

這一款軟體很特別的,
執行前請先看清楚"說明檔"內的說明,
經確認看懂後,再執行程式.
它是尋找"惡性軟體或附著於軟體中的..."的一款利刃,
揪出駭客或病毒會有幫助的!!

感謝您的分享!!!

[ Last edited by xp20060726 on 2007-8-30 at 06:28 AM ]
作者: e722146     時間: 2007-8-30 11:21 PM
一款很實用的軟体喔!
多謝大大愛心提供喔!
趕緊來試用看看!
作者: soro     時間: 2007-8-31 08:50 AM
IceSword 1.22 (一把斬斷幕後黑手的利刃)上次我有下載,為了防止 bug 的發生,再次

下載更新,感謝版大的用心!
作者: E597861     時間: 2007-10-5 04:42 PM
感覺像素粉危險的軟體.不過先下載囉.
感謝大大
作者: louisjeff62     時間: 2007-10-7 02:47 PM
沒看過這樣的軟體
不過感謝大大詳細的解說
讓小弟又學到了
作者: sme     時間: 2007-10-8 10:54 PM
既是利刃,當然是小心謹慎為用,有時一不小心反傷自己,
多謝版大上述特別說明~~
作者: tenhon     時間: 2007-10-9 07:42 AM
這種程式有點超出我功力範圍所能控制,其實不太敢用,抓下來『看看』就好...

奇怪了...看看的結果是:『這個操作已經被取消,因為這個電腦受到限制,請和系統管理員連絡』
可是我的帳號明明是Administrator的身分呀!卻無法開啟.....

[ Last edited by tenhon on 2007-10-9 at 07:51 AM ]
作者: yoyo007     時間: 2007-10-9 01:11 PM


  Quote:
Originally posted by tenhon at 2007-10-9 07:42:

這種程式有點超出我功力範圍所能控制,其實不太敢用,抓下來『看看』就好...

奇怪了...看看的結果是:『這個操作已經被取消,因為這個電腦受到限制,請和系統管理員連絡』
可是我的帳號明明是Administrator的身分呀!卻無法開啟.....

這個問題 t7 版大也遇到過,雖研究許久,但仍不得其解;我也感到訥悶...
作者: joe24680     時間: 2007-11-13 05:08 PM
這個程式很好用 之前登陸檔一直刪不掉就是用他解決的
作者: jazonleeb     時間: 2007-11-14 04:29 PM
感謝大大的分享,正在試用中。
作者: sealang     時間: 2007-12-30 08:32 PM
照看依我目前的功力該小心使用為上,但公司老總電腦內有隻木馬一直刪不掉,想用它試看看,多謝版大分享!
作者: wellsss     時間: 2008-7-10 06:31 PM
這把就是被推薦傳說中的冰劍寶刀,補上回覆。
以前便下過使用此版本,僅遇到一個BUG,沒啥大問題。
許多亂七八糟的東西都可以殺的乾乾淨淨,不需要進安全模式了。
THKS
作者: ncyee     時間: 2008-7-28 09:43 PM
感謝~ 簡體版我又用不了, 英文版我又怕看不明白, 有了繁體版, 一切ok, 謝謝~
作者: 蒼月舞     時間: 2008-8-7 10:20 AM
阿阿阿..
果然是一把寶劍..
試用了一下.感覺自己電腦知識還不到...
還是先將寶劍收起來免的自己把電腦砸了
多謝yoyo大辛苦繁化
作者: 達人奇兵     時間: 2008-12-20 07:38 PM
剛剛電腦在開機時談出一框C:\PROGRO」1\TENCENC\SSP1us\*****.dll時出錯找不到指定模塊
都搜尋不到檔案想說上網找看看有沒有其他的解決方法想不到有人建議使用IceSword 1.22
真湊巧找到yoyo大大發表的謝謝囉yoyo大大

[ Last edited by 達人奇兵 on 2008-12-20 at 07:39 PM ]
作者: vernen     時間: 2008-12-20 10:12 PM
一把斬斷幕後黑手的利刃!一聽名字已覺不同凡響。不過,看到大家的分享,再衡量自已水皮的電腦知識,如果不到系統崩潰的時候,還是少用為妙。
謝謝版主分享。
作者: logic40     時間: 2009-2-24 07:05 PM
之前有在坊間書店看到有利用此工具的電腦書,功能強大,可用來分析檔案是否為病毒,依小弟目前的功力,該軟體只能遠觀不可褻玩焉,先打包帶走啦,感謝分享!
作者: dcen     時間: 2009-2-26 08:05 AM
評價不錯的防駭程式,守護PC安全就靠它,
感謝 yoyo版大無私分享,謝啦.
作者: chen4u     時間: 2010-1-28 10:53 AM
thanks for your share
作者: mm2     時間: 2010-1-29 03:46 PM
最近PC怪怪的,下載試試看,感謝分享.
作者: homepary     時間: 2010-2-2 12:09 AM
我膽子小
野心大
想要讓電腦被好好保護
又愛亂試軟體
雖然電腦知識不佳
已做還原了
來接招了




歡迎光臨 網際論壇 (http://centurys.net/) Powered by Discuz! 2.5