冰刃Icesword 1.22测试版发布

nings发布于 2007-07-06 18:51:33|463 次阅读 字体：大 小 打印预览

 
感谢RootkitEr、0GiNr的投递
新闻来源:http://pjf.blogcn.com
冰刃Icesword的作者PJF今天放出了最新版的Icesword 1.22测试版,据称主要增强了部分功能.增强了一些小功能，如ADS检测，进程/驱动签名检查，BHO删除、SSDT恢复、INLINE HOOK检测，模块/注册表/文件搜索等.更新的功能虽然多“鸡肋”（作者原语），但ICESWORD一个版本增加如此之多的小功能尚属首次，各位可以下载下来测试测试.




抱歉一拖再拖，因为前两个月落下老板的工作要补。这几天根据“呼声”最高的要求添加了一点代码，另外加强了一些内核功能。


MD5: 4c90de8c7e956cd56f13413b390f0dec


注意：这只是英文测试版本，一般用户就先不要下载。请热心的朋友发现bug及时反馈，谢谢。


添加的小功能有：

1、进程栏里的模块搜索(Find Modules)

2、注册表栏里的搜索功能(Find、Find Next)

3、文件栏里的搜索功能，分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files)

上面是要求最多的，确实对查找恶意软件有帮助


4、BHO栏的删除、SSDT栏的恢复(Restore)

这项本来是“鸡肋”项，可加可不加。比如BHO删除用户可以手工作。
SSDT 恢复就更没用了：几年前最先发布的版本就给出了SSDT项当前值与原始值，所谓恢复就是用原始值的4字节写回去，当时未提供是考虑一方面SSDT hook这种早已“滥用”的表层技术对IS的操作没有影响，另一方面使用它的却往往是正常的杀毒软件而非恶意软件（恶意软件早没这么菜了，太容易被发 现），所以觉得提供给普通用户只会让他们破坏自己的杀软。不过有朋友老提，就加几句代码吧。


5、Advanced Scan：第三步的Scan Module提供给一些高级用户使用，一般用户不要随便restore，特别不要restore第一项显示为"-----"的条目，因为它们不是操作系统 自己修改的就是IceSword工作需要的，restore后会使系统崩溃或是IceSword不能正常工作。
其实最早的IceSword也会自 行restore一些内核执行体、文件系统的恶意inline hook，不过并未提示用户，现在觉得像SVV那样让高级用户自行分析可能会有帮助。另外里面的一些项会有重复（IAT hook与Inline modified hook），偷懒不检查了，重复restore并没有太大关系。还有扫描时不要做其它事，耐心等待。
如果你安装了卡巴之类的杀软，可能结果察看就比较麻烦：修改太多了......


6、隐藏签名项(View->Hide Signed Items)。在菜单中选中后对进程、模块列举、驱动、服务四栏有作用。要注意选中后刷新那四栏会很慢，要耐心等。运行过程中系统相关函数会主动连接外界 以获取一些信息（比如去crl.microsoft.com获取证书吊销列表），一般来说，可以用防火墙禁之，所以选中后发现IS有连接也不必奇怪，M$ 搞的，呵呵。


7、其他就是内部核心功能的加强了，零零碎碎有挺多，就不细说了。使用时请观察下View->Init State，有不是“OK”的说明初始化未完成，请report一下

http://mail.ustc.edu.cn/~jfpan/download/IceSword122enbeta1.zip

Scan Mem:  Failed

Inline HOOK检测比较搞笑，把自已Inline HOOK  NtOpenProcess和NtTerminateProcess给检测出来了！

inline hook check~
hehe~

发现这个版本开始支持WIN2000了，可惜还是不支持NT4

改年支持9x,或者在纯DOS下运行更顶.

这年头还有多少人用NT4?调查一下.......
NT5都快没人了..MS也早停止了对NT5的更新

好东西，支持！

牛人牛作.

... ...

PJF大牛又冒泡了,呵呵

怎么连接失效了？

引用第11楼adm2002于2007-07-29 17:14发表的  :
怎么连接失效了？

科大ftp服务器有时候权限会有诡异的现象如果排除pjf把文件删除或者更改访问权限
可以去google一下，很多地方可以下载的

引用第4楼GNiDiA于2007-07-16 11:21发表的  :
发现这个版本开始支持WIN2000了，可惜还是不支持NT4

我这里win2000 pro 没装sp的版本，不能运行1.22。