分享 - IceSword 1.22

[yoyo007]

■ 軟體說明：

∥軟體名稱：IceSword
∥版本資訊：1.22
∥檔案大小：983 KB
∥軟體分類：軟體本地化
∥軟體性質：免費軟體
∥系統環境：Windows 2000/XP/2003/Vista
∥存放空間：HTTP
∥作者站台：http://pjf.blogcn.com/index.shtml
∥新版連結：http://forum.slime.com.tw/thread215043.html
∥中 文 化：YoYo



■ 軟體簡介：

之前在 July 4.02 中有提到這個工具，趁著這兩天忙裡偷閒弄了一下；這是拿 2007-07-09 IceSword 1.22 English Version 做的，由於本地化過程中 N 次過度翻譯導致部份功能失效，N 次除錯甚感費時耗力，索性全部重來投機取巧用 [所見即得] 的方式來處理，就看的到的都翻了，其餘讓它從指縫間流過，省略了字串表和部分對話方塊，以及 ASCII 中的一些字串，兩權相害取其輕，雖然這樣的翻譯不是很完全，但起碼不至於影響功能的使用，如您見到遺漏的和錯譯了的字串，請多包涵並請不吝指正，謝謝。

以下引自 [IceSword] 目錄內的說明檔介紹，如果您想試驗，可以用 HideToolz；另外，[Cooperator] 我沒上傳，有需要請至作者站台：http://pjf.blogcn.com/index.shtml 下載。

目錄內的 IceSword 說明檔我處理過了，建議您使用前，先閱覽一下。

引用:

冰刃 IceSword 1.22 簡介

IceSword 是一斬斷黑手的利刃 (所以取這土名，有點搞e，呵呵)。

它適用於 Windows 2000/XP/2003/Vista 作業系統，用於查探系統中的幕後黑手 (木馬後門) 並作出處理，當然使用它需要用戶有一些作業系統的知識。

在對軟體做講解之前，首先說明 第一注意事項：

此程式執行時不要啟動內核除錯器 (如 softice)，否則系統可能立即崩毀。另外使用前請先儲存好您的資料，以防萬一未知的 Bug 帶來損失。

IceSword 目前只為使用 32 位的 x86 相容 CPU 的系統設計，另外執行 IceSword 需要管理員權限。

如果您使用過老版本，請一定注意，使用新版本前要重新啟動系統，不要交替使用二者。

IceSword 內部功能是十分強大的。可能您也用過很多類似功能的軟體，比如一些處理序工具、連接埠工具，但是現在的系統級後門功能越來越強，一般都可輕而易舉地隱藏處理序、連接埠、登錄檔、檔案資訊，一般的工具根本無法發現這些「幕後黑手」。

IceSword使用大量新穎的內核技術，使得這些後門躲無所躲。

如何結束 IceSword：直接關閉，若您要防止處理序被結束時，需要以指令行形式輸入：IceSword.exe /c，此時需要 Ctrl+Alt+D 才能關閉 (使用三鍵前先按一下任意鍵)。

如果最小化到系統區時，系統區圖示又消失了：此時可以使用 Ctrl+Alt+S 將 IceSword 主介面喚出。因為偷懶沒有重繪圖示，將就用吧。

引用:

IceSword 1.22 English Version

加入的小功能有：

1、處理序項目中的模組搜尋 (Find Modules)
2、登錄檔項目中的搜尋功能 (Find、Find Next)
3、檔案項目中的搜尋功能，分別是 ADS 的列舉 (包含或不包含子目錄)、普通檔案搜尋 (Find Files)

上面是要求最多的，確實對查找惡意軟體有幫助。

4、BHO 項目的刪除、SSDT 項目的恢復 (Restore)

這項算是「雞肋」項吧，可加可不加。

5、Advanced Scan：第三步的 Scan Module 提供給一些進階用戶使用，一般用戶不要隨便 restore，特別不要 restore 第一項顯示為 "-----" 的條目，因為它們或是作業系統自己的修改項、或是 IceSword 的修改項，restore 後會使系統崩毀或是 IceSword 無法正常工作。

最早的 IceSword 也會自行 restore 一些內核執行體、檔案系統的惡意 inline hook，不過並未提示用戶，現在覺得像 SVV 那樣讓進階用戶自行分析可能會有幫助。另外裡面的一些項目會有重複 (IAT hook 與 Inline modified hook)，偷懶不檢查了，重複 restore 並沒有太大關係。還有掃瞄時不要做其它事，請耐心等待。

有朋友建議應該對找到的結果多做一些分析，判斷出修改後代碼的意義，這當然不錯，不過要完美的結果工作很煩瑣——比如我可以用一條指令跳轉，也可以用十條或更多冗余指令做同樣的工作——而目前沒有時間完善，所以只有 JMP/PUSH+RET 的判斷。提議下對進階用戶可選的替代方案：記住修改的位址，使用處理序項目裡的「讀取 / 寫入記憶體」中的「反向組譯」功能，就先請用戶人工分析一下吧，呵呵。

6、隱藏簽章項 (View->Hide Signed Items)。在功能表中選上後對，處理序、模組列舉、驅動、服務四個項目有作用。要注意選上後重新整理那四個項目會很慢，要耐心等。執行過程中系統相關函數會主動連接外界以獲取一些訊息 (例如去 crl.microsoft.com 擷取證書吊銷清單)，一般來說，可以用防火牆禁之，所以選上後發現 IS 有連接也不必奇怪，M$ 搞的，呵呵。

7、其它就是內部核心功能的加強了，零零碎碎有挺多，就不細說了。使用時請觀察下 View->Init State，有不是「OK」的說明初始化未完成，請 report 一下。

檔案下載：http://0rz.tw/ea2UD

MD5：

語法:

64799DB33B409C19F7AFDFCD2BDCC760

解壓碼：

語法:

CENTURYS 網際論壇 中文化開發團隊

[mini]

這個的確不好處理

Thx share ~