[转载]
http://202.38.73.222/~pjf/blog/archives/000019.html

ftp://202.38.76.151/pub2/Kernel/Windows/tools/IceSword.rar

IceSword FAQ 进程、端口、服务篇
问：现在进程端口工具很多，什么要使用IceSword？
答：1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或
ZwQuerySystemInformation系统调用（前二者最终也用到此调用）来编写，
随便一个ApiHook就可轻轻松松干掉它们，更不用说一些内核级后门了；极少
数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，不仅不同
版本系统不同，打个补丁也可能需要升级程序，并且现在有人也提出过防止此
种查找的方法。而IceSword的进程查找核心态方案是目前独一无二的，并且
充分考虑内核后门可能的隐藏手段，目前可以查出所有隐藏进程。
  2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi，前者
会调用RtlDebug***函数向目标注入远线程，后者会用调试api读取目标进程内存，
本质上都是对PEB的枚举，前面我的blog提到过轻易修改PEB就让这些工具找不到
北了。而IceSword的核心态方案原原本本地将全路径展示，就算运行时剪切到其
他路径也会随之显示。
  3、进程dll模块与2的情况也是一样，利用PEB的其他工具会被轻易欺
骗，而IceSword不会弄错。
  4、IceSword的进程杀除强大且方便（当然也会有危险）。可轻易将
选中的多个任意进程一并杀除。当然，说任意不确切，除去三个：idle进程、
System进程、csrss进程，原因就不详述了。其余进程可轻易杀死，当然有些进
程（如winlogon）杀掉后系统就崩溃了。
  5、对于端口工具，网上的确有很多，不过网上隐藏端口的方法也很多，
那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找，不过不想
弄得太臃肿。
  6、先说这些了...

问：windows自带的服务工具强大且方便，IceSowrd有什么更好的特点呢？
答：因为比较懒，界面使用上的确没它来的好，不过IceSword的服务功能主要是
查看木马服务的，使用还是很方便的。举个例子，顺便谈一类木马的查找：
有一种利用svchost的木马，怎么利用的呢？svchost是一些共享进程服务的宿主，
有些木马就以dll存在，依靠svchost运作，如何找出它们呢？首先看进程一栏，发
现svchost过多，特别注意一下pid较大的，记住它们的pid，到服务一栏，就可找到
pid对应的服务项，配合注册表查看它的dll文件路径（由服务项的第一栏所列名称到
注册表的services子键下找对应名称的子键），根据它是不是惯常的服务项
很容易发现异常项，剩下的工作就是停止任务或结束进程、删除文件、恢复注册表
之类的了，当然过程中需要你对服务有一般的知识。

问：那么什么样的木马后门才会隐藏进程注册表文件的？用IceSword又如何查找呢？
答：比如近来很流行且开源（容易出变种）的hxdef就是这么一个后门。虽然它带有
一个驱动，不过还只能算一个系统级后门，还称不上内核级。不过就这样的一个后门，
你用一些工具，***专家、***大师、***克星看看，能不能看到它的进程、注册项、
服务以及目录文件，呵呵。用IceSword就很方便了，你直接就可在进程栏看到
红色显示的hxdef100进程，同时也可以在服务栏中看到红色显示的服务项，顺便一
说，在注册表和文件栏里你都可发现它们，若木马正在反向连接，你在端口栏也可
看到，另外，内核模块中也可以看到它的驱动。杀除它么，首先由进程栏得后门程序全路径，结束进程，将后门目录删除，
删除注册表中的服务对应项...这里只是选一个简单例子，请你自行学习如何有效利
用IceSword吧。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)