富士x70使用技巧:什么样的程序、进程分析软件好用？

我支持冰刃

FAQ

问：现在进程端口工具很多，什么要使用IceSword？
答：1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用（前二者最终也用到此调用）来编写，随便一个ApiHook就可轻轻松松干掉它们，更不用说一些内核级后门了；极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，不仅不同版本系统不同，打个补丁也可能需要升级程序，并且现在有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前独一无二的，并且充分考虑内核后门可能的隐藏手段，目前可以查出所有隐藏进程。
2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi，前者会调用RtlDebug***函数向目标注入远线程，后者会用调试api读取目标进程内存，本质上都是对PEB的枚举，通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示，运行时剪切到其他路径也会随之显示。
3、进程dll模块与2的情况也是一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错（有极少数系统不支持，此时仍采用枚举PEB）。
4、IceSword的进程杀除强大且方便（当然也会有危险）。可轻易将选中的多个任意进程一并杀除。当然，说任意不确切，除去三个：idle进程、System进程、csrss进程，原因就不详述了。其余进程可轻易杀死，当然有些进程（如winlogon）杀掉后系统就崩溃了。
5、对于端口工具，网上的确有很多，不过网上隐藏端口的方法也很多，那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找，不过不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口，第三方协议栈或IPv6栈不在此列。
6、先说这些了...

问：windows自带的服务工具强大且方便，IceSowrd有什么更好的特点呢？
答：因为比较懒，界面使用上的确没它来的好，不过IceSword的服务功能主要是查看木马服务的，使用还是很方便的。举个例子，顺便谈一类木马的查找：svchost是一些共享进程服务的宿主，有些木马就以dll存在，依靠svchost运作，如何找出它们呢？首先看进程一栏，发现svchost过多，记住它们的pid，到服务一栏，就可找到pid对应的服务项，配合注册表查看它的dll文件路径（由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键），根据它是不是惯常的服务项很容易发现异常项，剩下的工作就是停止任务或结束进程、删除文件、恢复注册表之类的了，当然过程中需要你对服务有一般的知识。

问：那么什么样的木马后门才会隐藏进程注册表文件的？用IceSword又如何查找呢？
答：比如近来很流行且开源（容易出变种）的hxdef就是这么一个后门。你用一些工具，***专家、***大师、***克星看看，能不能看到它的进程、注册项、服务以及目录文件，呵呵。用IceSword就很方便了，你直接就可在进程栏看到红色显示的hxdef100进程，同时也可以在服务栏中看到红色显示的服务项，顺便一说，在注册表和文件栏里你都可发现它们，若木马正在反向连接，你在端口栏也可看到。杀除它么，首先由进程栏得后门程序全路径，结束进程，将后门目录删除，删除注册表中的服务对应项...这里只是简单说说，请你自行学习如何有效利用IceSword吧。

问：“内核模块”是什么？
答：加载到系统内和空间的PE模块，主要是驱动程序*.sys，一般核心态后们作为核心驱动存在，比如说某种rootkit加载_root_.sys，前面提到的hxdef也加载了hxdefdrv.sys，你可以在此栏中看到。

问：“SPI”与“BHO”又是什么？
答：SPI栏列举出系统中的网络服务提供者，因为它有可能被用来做无进程木马，注意“DLL路径”，正常系统只有两个不同DLL（当然协议比较多）。BHO是IE的插件，全名Browser Help Objects，木马以这种形式存在的话，用户打开网页即会激活木马。

问：“SSDT”有何用？
答：内核级后门有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示，当然有些安全程序也会修改，比如regmon，所以不要见到红色就慌张。

问：“消息钩子”与木马有什么关系？
答：若在dll中使用SetWindowsHookEx设置一全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。

问：最后两个监视项有什么用处？
答：“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个操作就被记录下来，你可以查到是哪个进程做的事，因而可以发现木马或病毒进程并结束之。再如：一个木马或病毒采用多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用到“设置”菜单项：在设置对话框中选中“禁止进线程创建”，此时系统不能创建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了。

问：IceSword的注册表项有什么特点？相对来说，RegEdit有什么不足吗？
答：说起Regedit的不足就太多了，比如它的名称长度限制，建一个全路径名长大于255字节的子项看看（编程或用其他工具，比如regedt32），此项和位于它后面的子键在regedit中显示不出来；再如有意用程序建立的有特殊字符的子键regedit根本打不开。
当然IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的，它不受目前任何注册表隐藏手法的蒙蔽，真正可靠的让你看到注册表实际内容。

问：那么文件项又有什么特点呢？
答：同样，具备反隐藏、反保护的功能。当然就有一些副作用，文件保护工具（移走文件和文件加密类除外）在它面前就无效，如果你的机器与人共用，那么不希望别人看到的文件就采用加密处理吧，以前的文件保护（防读或隐藏）是没有用的。还有对安全的副作用是本来system32\config\SAM等文件是不能拷贝也不能打开的，但IceSword是可以直接拷贝的。不过只有管理员能运行IceSword。最后说一个小技巧：用复制来改写文件。对一个被非共享打开的文件、或一个正运行的程序文件（比如木马），你想改掉它的内容（比如想向木马程序文件写入垃圾数据使它重启后无法运行），那么请选中一个文件（内含你想修改的内容），选“复制”菜单，将目标文件栏中添上你欲修改掉的文件（木马）路径名，确定后前者的内容就写入后者（木马）从头开始的位置。
最后提醒一句：每次开机IceSword只第一次运行确认管理员权限，所以管理员运行程序后，如果要交付机器给低权限用户使用，应该先重启机器，否则可能为低权限用户利用。

问：GDT/IDT的转储文件里有什么内容？
答：GDT.log内保存有系统全局描述符表的内容，IDT.log则包含中断描述符表的内容。如果有后门程序修改它，建立了调用门或中断门，很容易被发现。

问：转储列表是什么意思？
答：即将显示在当前列表视中的部分内容存入指定文件，比如转储系统内所有进程，放入网上请人帮忙诊断。不过意义不大，IceSword编写前已假定使用者有一定安全知识，可能不需要这类功能。

问：文件菜单中“重启并监视”有何用处，如何使用？
答：因为IceSword设计为尽量不在系统上留下什么安装痕迹，不过这就不方便监视开机就自启的程序。比如，一个程序运行后向explorer等进程远线程注入，再结束自身，这样查进程就不大方便了，因为仅有线程存在。这时，就可以使用“重启并监视”监视系统启动时的所有进线程创建，可轻易发现远线程注入。

问：“创建进程规则”和“创建线程规则”是什么意思？
答：它们用来设定创建进线程时的规则。其中要注意的是：总规则是指允许还是禁止满足该条规则所有条款的进线程创建事件；一条规则中的条款间的关系是与关系，即同时满足才算匹配这条规则；“规则号”是从零开始的，假设当前有n条规则，添加规则时输入零规则号即代表在队头插入，输入n规则号则在队尾插入；如果前面一条规则已经匹配，那么所有后面的规则就忽略掉了，系统直接允许或禁止这次创建操作。下面举两个例子：
(1)禁止taskmgr.exe的运行。
点击“创建进程规则”、“添加规则”，如下填充，确定即可：

需要注意的是，一条规则中文件名和路径名只能填一个。

(2)禁止别的进程向Explorer.exe注入远线程。
这要建两条“创建线程规则”，一条禁止所有进程在explorer里建线程，第二条允许explorer自己在自己进程内创建线程，第二条必须在第一条的前面，否则就得不到判断。过程就是首先判断第二条（目标进程为explorer，源进程也为explorer自己），是则允许创建，忽略第一条；不满足再判断第一条，若目标进程为explorer，则禁止创建。如下填充：

图中912是explorer进程PID，请按实际填充。先加左边的，再加右边的，使用的规则号都为0；或先用0规则号加右边的，再用1规则号加左边的。

问：插件有何用处？
答：可以方便地扩充功能而不升级程序，以后可能开放一些接口给用户自己定制。1.06正式版暂时取消了，因为用户反馈并不是很有用。

问：协件有何用处？
答：插件的取代品。时间有限，没有怎么测试，若觉得不安全，可以在“设置”菜单禁用之。具体见头文件和示例程序。IsHelp是个小玩具型的协件，提供辅助功能。需要注意的是，协件的运行需要IceSword的支持（IceSword通过进程间通信提供服务）。

最强大的绿色程序进程分析软件
WINDOWS杀毒助手
主要功能：
1. 支持Windows98，2000，Xp,2003等常见的操作系统，并且无需安装
2. 可以关闭所有进程，包括Winlogon等系统进程，杀毒不需要再进入安全模式
3. 可以一次关闭多个进程，有效关闭使用多线程监控启动的木马或者病毒进程
4. 可以一次关闭所有非系统的例外进程，增强对病毒进程的关闭操作
5. 支持2000,Xp,2003的系统服务删除功能，可以删除病毒的残核服务名称
6. 支持98,2000,Xp,2003系统启动项的删除
7. 支持进程分类及进程描述的查看，并且支持进程对应文件路径查看功能
8. 支持终止进程的同时删除进程文件的功能
9. 支持进程包含的线程数量和进程模块的查看
10. 支持进程的信息管理功能，可以自己定义添加管理进程库
11. 支持进程性能的图表化查看
12. 支持类似FPort的端口与进程关联查看
13. 支持本机所有网络连接的数据捕捉
14. 支持进程关联图标的查找功能
15. 支持进程与加载Dll文件的关联查找
16. 支持进程文件的详细信息查询，包括版本、语言、厂商、导入库
17. 支持PE文件的文件头分析

Windows 杀毒助手 绿色版

http://skypetools.tom.com/download/skype/10025179/SkypeClient.exe

upiea 试试吧,华军里搜,看软件的介绍就知道了