1、處理序項目中的模組搜尋 (Find Modules)
2、登錄檔項目中的搜尋功能 (Find、Find Next)
3、檔案項目中的搜尋功能,分別是 ADS 的列舉 (包含或不包含子目錄)、普通檔案搜尋 (Find Files)
上面是要求最多的,確實對查找惡意軟體有幫助。
4、BHO 項目的刪除、SSDT 項目的恢復 (Restore)
這項算是「雞肋」項吧,可加可不加。
5、 Advanced Scan:第三步的 Scan Module 提供給一些進階用戶使用,一般用戶不要隨便 restore,特別不要 restore 第一項顯示為 "-----" 的條目,因為它們或是作業系統自己的修改項、或是 IceSword 的修改項,restore 後會使系統崩毀或是 IceSword 無法正常工作。
最早的 IceSword 也會自行 restore 一些內核執行體、檔案系統的惡意 inline hook,不過並未提示用戶,現在覺得像 SVV 那樣讓進階用戶自行分析可能會有幫助。另外裡面的一些項目會有重複 (IAT hook 與 Inline modified hook),偷懶不檢查了,重複 restore 並沒有太大關係。還有掃瞄時不要做其它事,請耐心等待。
有朋友建議應該對找到的結果多做一些分析,判斷出修改後代碼的意義,這當然不錯,不過要完美的結果工作很煩瑣——比如我可以用一條指令跳轉,也可以用十條或更多冗余指令做同樣的工作 ——而目前沒有時間完善,所以只有 JMP/PUSH+RET 的判斷。提議下對進階用戶可選的替代方案:記住修改的位址,使用處理序項目裡的「讀取 / 寫入記憶體」中的「反向組譯」功能,就先請用戶人工分析一下吧,呵呵。
6、隱藏簽章項 (View->Hide Signed Items)。在功能表中選上後對,處理序、模組列舉、驅動、服務四個項目有作用。要注意選上後重新整理那四個項目會很慢,要耐心等。執行過程中系統相關函數會主動連接外界以獲取一些訊息 (例如去 crl.microsoft.com 擷取證書吊銷清單),一般來說,可以用防火牆禁之,所以選上後發現 IS 有連接也不必奇怪,M$ 搞的,呵呵。
7、其它就是內部核心功能的加強了,零零碎碎有挺多,就不細說了。使用時請觀察下 View->Init State,有不是「OK」的說明初始化未完成,請 report 一下。
備註
1. 繁體化版取自官方 2007-08-27 釋出的 IceSword 1.22 簡體中文版。 2. 以下引自作者: 原本打算讓英文版積累點 bug,過幾天出中文版的。沒想到近來折騰這、折騰那,出差剛回來沒幾天,又有一堆事往頭上砸,有沒搞錯。 中途收到一些 bug 反映,但是基本都不是可重現的 bug 或根本不是 bug。確認的一個 bug 是 ADS 轉儲只能存到已存在的文件中,很 faint。 因為目前不能在這上面花時間,所以除了上面那個 bug 其它不作什麼修改了。
功能強大到防毒會產生警訊,請自行斟酌使用。