Icesword

Icesword
對岸號稱斬殺木馬的利器，在國外也是很有名的一款軟體。主要功用為結束進程、查找後門、Rookit、強制刪除登錄機碼。建議使用英文版。

下載頁面

使用木馬樣本測試，該木馬會在C:/womdows/system/ 生成services.exe。
註： xp系統在%SystemRoot%\System32有支正常檔案為services.exe。


1.. 使用icesword可以查看正在執行的程序。

windows自帶的工作管理員沒有顯示程序



切換到process頁面，icesword偵測到執行中隱藏的木馬程式，以紅色標示。右鍵點選此程式，選擇Terminate process可以中止此木馬程式。



2.使用icesword 觀察隱藏中毒檔案

即使打開windows 隱藏檔案屬性，在C:/womdows/system/，仍然沒有辦法看到service.exe這支木馬。


使用icesword 切換到File，在C:/womdows/system/，找到service.exe這支隱藏木馬，右鍵點選delete即可刪除。


3. 強制刪除登錄機碼。切換到registry，找尋欲刪除的機碼，右鍵點選delete。



4. Sometime,我們會碰到防毒軟體警報 *dll 文件無法清除，可以使用process explorer來找出掛鉤的程序，當然如果不是系統進程，直接結束再刪掉dll 就好了，可是process explorer 往往會告訴我們寄宿的程序為svchost.exe, explorer.exe,winlogon.exe這些系統程序，此時我們可以使用icesword來卸載 dll文件。在process頁中找到系統進程，點選右鍵"Moudle Information"，查看訊息。注意有時候卸載*dll會造成系統當機，此時就必須請出system safety monitor來禁止*dll文件的載入

選擇欲卸載的*dl，點選unload卸載或是unload(force)來強制卸載。l






5. 可以i監看一些隱藏服務。隱藏服務icesword會以紅色標示。