在对软件做讲解之前,首先说明第一注意事项:此程序运行时不要激活内核调试器(如softice),否则系统可能即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损失。
IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限。
如果您使用过老版本,请一定注意,使用新版本前要重新启动系统,不要交替使用二者。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。
如何退出IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword.exe /c,此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。
如果最小化到托盘时托盘图标又消失了:此时可以使用Ctrl+Alt+S将IceSword主界面唤出。
上图是系统工具,对初学者来说,有些功能不是常用,而且用时有一定的危险,这里就不做详细介绍了;
我重点介绍——IceSword Helper ;
IsHelp可作为主程序的有益补充,它可为用户提供一些有用的甚至必不可缺的功能:
1、进程模块:一些功能内部实现不如主程序强大,但却有一些更加方便的功能。
a.隐藏进程搜索;
b.线程分析;
c.进程内存Dump;
d.进程模块搜索.
2、文件搜索:
a.支持扩展的正则表达式;
b.支持隐藏文件的搜索,避免在主程序里手工查找.
3、内存扫描:目前功能还未加入,不过对一些未专门修改的黑客之门,搜查较为准确.
4、注册表服务键:枚举注册表服务键,标记被可疑隐藏的服务键,配合主程序“服务”栏使用.
双击IsHelp图标打开主程序;
一、进程模块
上面是程序的截图.
1、查找隐藏进程:可列出系统中被可疑隐藏的进程;
2、线程分析:对该进程中的线程做一些简单分析(以后逐步扩充),辅助识别远线程或木马dll建立的线程;
3、进程内存处理:还基本没什么功能,仅Dump指定内存至文件,以后添加功能。
