兵刃使用说明.doc

冰刃IceSword 1.22 简介 ??? IceSword是一斩断黑手的利刃(所以取这土名，有点搞e，呵呵)。它适用于Windows 2000/XP/2003/Vista操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。??? 在对软件做讲解之前，首先说明第一注意事项 ：此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。??? IceSword目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。??? 如果您使用过老版本，请一定注意，使用新版本前要重新启动系统，不要交替使用二者。??? IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。??? 如何退出IceSword：直接关闭，若你要防止进程被结束时，需要以命令行形式输入：IceSword.exe /c，此时需要Ctrl+Alt+D才能关闭（使用三键前先按一下任意键）。??? 如果最小化到托盘时托盘图标又消失了：此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标，将就用吧^_^。??? 您无须为此软件付费，但如果您使用时发现了什么Bug，请mail to me：jfpan20000@ ，十分感谢。 ? 更新说明： ??? 1.20：(1)恢复了插件功能，并提供一个文件注册表的小插件，详见FileReg.chm；(2)对核心部分作了些许改动，界面部分仅文件菜单有一点变化。????1.20(SubVer 111E3)：添加对32位版本Vista(NtBuildNumber:6000)的支持。????1.22：(1)增加普通文件、ADS、注册表、模块的搜索功能；(2)隐藏签名项；(3)添加模块的HOOK扫描；(4)核心功能的加强。 进程 ??? 欲察看当前进程，请点击“进程”按钮，在右部列出的进程中，隐藏的进程会以红色醒目地标记出，以方便查找隐藏自身的系统级后门。1.16中进程栏只纳入基本功能，欲使用一些扩展的隐藏进程功能，请使用系统检查。 ??? 右键菜单：??? 1、刷新列表：请再次点击“进程”按钮，或点击右键，选择“刷新列表”。??? 2、结束进程：点击左键选中一项，或按住Ctrl键选择多项，然后使用右键菜单的“结束进程”将它们结束掉。??? 3、线程信息：在右键菜单中选择“线程信息”，出现如下对话框：??? 注意其中的“强制终止”是危险的操作 ，对一个线程只应操作一次，否则系统可能崩溃。为了尽量通用，里面注释掉了大量代码，因而是不完全的。不过可以应付一些用户的要求了：终止系统线程与在核心态死循环的线程，虽然可能仍然能看到它们的存在，那只是一些残留。??? 4、模块信息：在右键菜单中选择“模块信息”，出现如下对话框：??? “卸除”对于系统DLL是无效的，你可以使用“强制解除”，不过强制解除系统DLL必然会使进程挂掉。强制解除后在使用PEB来查询模块的工具中仍可看到被解除的DLL，而实际上DLL已经被卸掉了。这是因为我懒得做善后处理了——修改PEB的内容。??? 5、内存读写：在右键菜单中选择“内存读写”，出现如下对话框：??? 操作时首先填入读的起始地址和长度，点击“读内存”，如果该进程内的指定地址有效，则读取并显示，您可以在编辑框中修改后点击“写内存”写入选中的进程。注意此刻的提示框会建议您选“否”即不破除COW机制，在您不十分明白COW之前，请选择“否”，否则可能写入错误的地址给系统带来错误以至崩溃。??? 读出内容后，可以点击“反汇编”查看反汇编值，某些木马修改函数入口来hook函数，可由反汇编值分析判断。??? 端口 ??? 此栏的功能是进程端口关联。它的前四项与netstat -an类似，后两项是打开该端口的进程。??? 在“进程ID”一栏中，出现0值是指该端口已关闭，处于“TIME_WAIT”状态，由于2000上使用技术XP/2003有所不同，所以前者与后二者上的显示可能些微差别。IceSword破除系统级后门的端口隐藏，只要进程使用windows系统功能打开了端口，就逃不出查找。不过注意因为偷懒，未将隐藏的端口像进程那样红色显示，所以您需要自己对照。 内核模块：即当前系统加载的核心模块比如驱动程序。启动组：是两个RUN子键的内容，懒得写操作了，请自行更改注册