我支持冰刃

FAQ

问：现在进程端口工具很多，什么要使用IceSword？

答：1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用（前二者最终也用到此调用）来编写，随便一个ApiHook就可轻轻松松干掉它们，更不用说一些内核级后门了；极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，不仅不同版本系统不同，打个补丁也可能需要升级程序，并且现在有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前独一无二的，并且充分考虑内核后门可能的隐藏手段，目前可以查出所有隐藏进程。

2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi，前者会调用RtlDebug***函数向目标注入远线程，后者会用调试api读取目标进程内存，本质上都是对PEB的枚举，通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示，运行时剪切到其他路径也会随之显示。

3、进程dll模块与2的情况也是一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错（有极少数系统不支持，此时仍采用枚举PEB）。

4、IceSword的进程杀除强大且方便（当然也会有危险）。可轻易将选中的多个任意进程一并杀除。当然，说任意不确切，除去三个：idle进程、System进程、csrss进程，原因就不详述了。其余进程可轻易杀死，当然有些进程（如winlogon）杀掉后系统就崩溃了。

5、对于端口工具，网上的确有很多，不过网上隐藏端口的方法也很多，那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找，不过不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口，第三方协议栈或IPv6栈不在此列。

6、先说这些了...

问：windows自带的服务工具强大且方便，IceSowrd有什么更好的特点呢？

答：因为比较懒，界面使用上的确没它来的好，不过IceSword的服务功能主要是查看木马服务的，使用还是很方便的。举个例子，顺便谈一类木马的查找：svchost是一些共享进程服务的宿主，有些木马就以dll存在，依靠svchost运作，如何找出它们呢？首先看进程一栏，发现svchost过多，记住它们的pid，到服务一栏，就可找到pid对应的服务项，配合注册表查看它的dll文件路径（由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键），根据它是不是惯常的服务项很容易发现异常项，剩下的工作就是停止任务或结束进程、删除文件、恢复注册表之类的了，当然过程中需要你对服务有一般的知识。

问：那么什么样的木马后门才会隐藏进程注册表文件的？用IceSword又如何查找呢？

答：比如近来很流行且开源（容易出变种）的hxdef就是这么一个后门。你用一些工具，***专家、***大师、***克星看看，能不能看到它的进程、注册项、服务以及目录文件，呵呵。用IceSword就很方便了，你直接就可在进程栏看到红色显示的hxdef100进程，同时也可以在服务栏中看到红色显示的服务项，顺便一说，在注册表和文件栏里你都可发现它们，若木马正在反向连接，你在端口栏也可看到。杀除它么，首先由进程栏得后门程序全路径，结束进程，将后门目录删除，删除注册表中的服务对应项...这里只是简单说说，请你自行学习如何有效利用IceSword吧。

问：“内核模块”是什么？

答：加载到系统内和空间的PE模块，主要是驱动程序*.sys，一般核心态后们作为核心驱动存在，比如说某种rootkit加载_root_.sys，前面提到的hxdef也加载了hxdefdrv.sys，你可以在此栏中看到。

问：“SPI”与“BHO”又是什么？

答：SPI栏列举出系统中的网络服务提供者，因为它有可能被用来做无进程木马，注意“DLL路径”，正常系统只有两个不同DLL（当然协议比较多）。BHO是IE的插件，全名Browser Help Objects，木马以这种形式存在的话，用户打开网页即会激活木马。

问：“SSDT”有何用？

答：内核级后门有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示，当然有些安全程序也会修改，比如regmon，所以不要见到红色就慌张。

问：“消息钩子”与木马有什么关系？

答：若在dll中使用SetWindowsHookEx设置一全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。

问：最后两个监视项有什么用处？

答：“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个操作就被记录下来，你可以查到是哪个进程做的事，因而可以发现木马或病毒进程并结束之。再如：一个木马或病毒采用多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用到“设置”菜单项：在设置对话框中选中“禁止进线程创建”，此时系统不能创建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了。

问：IceSword的注册表项有什么特点？相对来说，RegEdit有什么不足吗？

答：说起Regedit的不足就太多了，比如它的名称长度限制，建一个全路径名长大于255字节的子项看看（编程或用其他工具，比如regedt32），此项和位于它后面的子键在regedit中显示不出来；再如有意用程序建立的有特殊字符的子键regedit根本打不开。

当然IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的，它不受目前任何注册表隐藏手法的蒙蔽，真正可靠的让你看到注册表实际内容。

问：那么文件项又有什么特点呢？

答：同样，具备反隐藏、反保护的功能。当然就有一些副作用，文件保护工具（移走文件和文件加密类除外）在它面前就无效，如果你的机器与人共用，那么不希望别人看到的文件就采用加密处理吧，以前的文件保护（防读或隐藏）是没有用的。还有对安全的副作用是本来system32\config\SAM等文件是不能拷贝也不能打开的，但IceSword是可以直接拷贝的。不过只有管理员能运行IceSword。最后说一个小技巧：用复制来改写文件。对一个被非共享打开的文件、或一个正运行的程序文件（比如木马），你想改掉它的内容（比如想向木马程序文件写入垃圾数据使它重启后无法运行），那么请选中一个文件（内含你想修改的内容），选“复制”菜单，将目标文件栏中添上你欲修改掉的文件（木马）路径名，确定后前者的内容就写入后者（木马）从头开始的位置。

最后提醒一句：每次开机IceSword只第一次运行确认管理员权限，所以管理员运行程序后，如果要交付机器给低权限用户使用，应该先重启机器，否则可能为低权限用户利用。

问：GDT/IDT的转储文件里有什么内容？

答：GDT.log内保存有系统全局描述符表的内容，IDT.log则包含中断描述符表的内容。如果有后门程序修改它，建立了调用门或中断门，很容易被发现。

问：转储列表是什么意思？

答：即将显示在当前列表视中的部分内容存入指定文件，比如转储系统内所有进程，放入网上请人帮忙诊断。不过意义不大，IceSword编写前已假定使用者有一定安全知识，可能不需要这类功能。

问：文件菜单中“重启并监视”有何用处，如何使用？

答：因为IceSword设计为尽量不在系统上留下什么安装痕迹，不过这就不方便监视开机就自启的程序。比如，一个程序运行后向explorer等进程远线程注入，再结束自身，这样查进程就不大方便了，因为仅有线程存在。这时，就可以使用“重启并监视”监视系统启动时的所有进线程创建，可轻易发现远线程注入。

问：“创建进程规则”和“创建线程规则”是什么意思？

答：它们用来设定创建进线程时的规则。其中要注意的是：总规则是指允许还是禁止满足该条规则所有条款的进线程创建事件；一条规则中的条款间的关系是与关系，即同时满足才算匹配这条规则；“规则号”是从零开始的，假设当前有n条规则，添加规则时输入零规则号即代表在队头插入，输入n规则号则在队尾插入；如果前面一条规则已经匹配，那么所有后面的规则就忽略掉了，系统直接允许或禁止这次创建操作。下面举两个例子：

(1)禁止taskmgr.exe的运行。

点击“创建进程规则”、“添加规则”，如下填充，确定即可：

需要注意的是，一条规则中文件名和路径名只能填一个。

(2)禁止别的进程向Explorer.exe注入远线程。

这要建两条“创建线程规则”，一条禁止所有进程在explorer里建线程，第二条允许explorer自己在自己进程内创建线程，第二条必须在第一条的前面，否则就得不到判断。过程就是首先判断第二条（目标进程为explorer，源进程也为explorer自己），是则允许创建，忽略第一条；不满足再判断第一条，若目标进程为explorer，则禁止创建。如下填充：

图中912是explorer进程PID，请按实际填充。先加左边的，再加右边的，使用的规则号都为0；或先用0规则号加右边的，再用1规则号加左边的。

问：插件有何用处？

答：可以方便地扩充功能而不升级程序，以后可能开放一些接口给用户自己定制。1.06正式版暂时取消了，因为用户反馈并不是很有用。

问：协件有何用处？

答：插件的取代品。时间有限，没有怎么测试，若觉得不安全，可以在“设置”菜单禁用之。具体见头文件和示例程序。IsHelp是个小玩具型的协件，提供辅助功能。需要注意的是，协件的运行需要IceSword的支持（IceSword通过进程间通信提供服务）。

有进程分析软件吗？我是指能自动说明进程的用意是什么

Windows 进程管理器 4.00

http://www.onlinedown.net/soft/40914.htm

有对进程分析的杀毒软件吗？

你好：

现在很多的杀毒软件都具有任务管理器进程的管理（因为大部分病毒都是在任务管理器作怪）而且都是后台的，一般不用自己去操心，如果没有安装杀毒软件一般的安全辅助软件如：360安全卫士，金山清理专家……都有监视的！

进程太难分析了有什么软件可以扫描出无用甚至是木马的进程啊

进程就30几个，还难，你把你的进程截个图发上来，帮你分析

想找可以分析系统进程的工具

简单一点的360安全卫士就可以了.在系统进程里.都可以看到.会有具体的提示

具体下载位置:www.360safe.com

哪个高手（老鸟）给我说下系统进程分析~有分

Windows XP 常见的进程列表

最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统

就能正常运行）

smss.exe Session Manager

csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。

(系统服务)

产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)

svchost.exe 包含很多系统服务

svchost.exe

SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)

explorer.exe 资源管理器

internat.exe 托盘区的拼音图标

附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减

少）

mstask.exe 允许程序在指定时间运行。(系统服务)

regsvc.exe 允许远程注册表操作。(系统服务)

winmgmt.exe 提供系统管理信息(系统服务)。

inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)

tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)

允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)

tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务

的一部分。(系统服务)

termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000

Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务)

dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000

Professional 的能力。(系统服务)

支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及

Quote of the Day。(系统服务)

ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服

务)

ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)

wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。

(系统服务)

llssrv.exe License Logging Service(system service)

ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)

RsSub.exe 控制用来远程储存数据的媒体。(系统服务)

locator.exe 管理 RPC 名称服务数据库。(系统服务)

lserver.exe 注册客户端许可证。(系统服务)

dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)

clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统

服务)

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其

它事务保护资源管理器。(系统服务)

faxsvc.exe 帮助您发送和接收传真。(系统服务)

cisvc.exe Indexing Service(system service)

dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)

mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服

务)

netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)

smlogsvc.exe 配置性能日志和警报。(系统服务)

rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制

安装功能。(系统服务)

RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)

RsFsa.exe 管理远程储存的文件的操作。(系统服务)

grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存

储点，以节省磁盘空间。(系统服务)

SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统

服务)

snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系

统服务)

snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递

到运行在这台计算机上 SNMP 管理程序。(系统服务)

UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)

msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

查杀恶意进程的好软件？？

ECQ-PS或process explorer xp都行

前者附属功能多一些，如进程负载，安全等级，系统服务台，注册表，追踪加载驱动等等，后者进程的各项信息多一些，包括映像，性能，服务，线程，TCP/IP,安全性，环境变量，字符串等

高分求帮分析系统进程

进程包括三部份，一是系统自动运行项，二是使用中打开的运行项，三是木马病毒侵入。想减少进程：

一、减少自动运行项，禁用多余的服务组件 。

右键单击“我的电脑”--“管理”--“服务和应用程序”--“服务”，在右窗格将不需要的服务设为禁用或手动。

二、去掉一些启动项。

开始-运行-msconfig---启动 , “ctfmon.exe”是输入技术启动，要保留不能动。再就是反病毒实时监控，最好保留，下余的可一律去掉。

你也可用优化大师帮助你看留什么，去掉什么。打开优化大师-系统优化-开机速度优化-点击某个启动项，在下方有中文提示你是否保留或删除-勾选开机不自动启动的项目-优化-退出重启。

三、随时关闭不使用的应用程序。

四、如果怀疑木马病毒侵入，可装360安全卫士，打开360安全卫士—高级—查看“系统进程状态”中的“安全级别”，除了显示“安全”的，有可能是系统未识别和木马病毒，逐一审查清除。

五、进程管理软件：

http://www.xdowns.com/soft/6/99/2006/Soft_28639.html

转载请注明出处51数据库 » 进程分析软件 什么样的程序、进程分析软件好用