Tutorial et Guide IceSword

IceSword est un programme gratuit qui permet de lister : les processus, BHO, programmes au démarrage, clefs du registre et fichiers de l’ordinateur et bien plus encore.
IceSword a la particularité de pouvoir lister les fichiers « cachés » dit rootkités à travers une interface particuliairement simple.

IceSword permet de garder un oeil sur toutes les entrailles de votre système.

Vous pouvez télécharger IceSword à partir de clien : http://www.majorgeeks.com/Icesword_d5199.html

L’interface est assez simple avec :

  • Dans la partie gauche, un menu composé de trois parties : functions, registery (registre), files (fichiers). Ce menu peut être décomposé en icônes.
  • Dans la partie les informations relatives au menu sélectionné à gauche.
  • Dans la partie haute un menu file, dump.

A noter que chaque partie dont vous avez accès peut être exporter au format texte à partir du menu : Dump / Current List

Functions

Guide et Tutorial IceSwordProcess

L’icône process permet de lister les processus en cours d’excution sur l’ordinateur tout comme le gestionnaire de périphérique.
Si vous regardez attentivement la fenêtre de IceSword à gauche et le gestionnaire de tâches à droite, le gestionnaîre de tâches ne vous montre pas le processus : oqrsbdefvx.exe alors que IceSword (pour les petits curieux oqrsbdefvx.exe est une infection Magic.Control / egdaccess)
oqrsbdefvx.exe est en fait rootkité mais IceSword est capable de le lister, voila un de ces avantages.

En effectuant un clic droit sur un des processus vous pouvez :

  • Terminer le processu (Terminate Process)
  • Obtenir des informations sur le Thread (Thread Information)
  • Obtenir des informations sur le module (Module Information) – Cette fonction est très interressante en cas d’infection, car vous pouvez lister les DLL utilisés par le processus mais surtout les décharger, donc décharger une dll infectieuses.
  • Les lectures et écriture en mémoire avec leurs adresses (Read/Write Memory)

Tutorial et Guide IceSword

Guide et Tutorial IceSword
Ports

L’icône Ports permet de lister les connexions effectuées ainsi que les ports ouverts (LISTENING)
La liste s’approche de celles obtenues par un netstat -ano mais le gros avantages avec IceSword est que vous avez directement le processus responsables du port ouverts ou de la connexion ce qui n’est pas le cas avec netstat où vous n’avez que le PID.
Tutorial et Guide IceSword

Guide et Tutorial IceSword
Kernel Module

IceSword est capable de lister les logiciels chargés en mémoire noyau. En majorité ce sont les drivers utilisées par Windows ou pour vos périphériques qui ont besoin d’accer au matériel.
Les rootkit qui agissent sur le noyau doivent charger leurs propres drivers sur le noyau afin de pouvoir intéragir avec celui-ci, les drivers du rootkit peuvent alors être visualisable à partir de la liste Kernel Module.
Tutorial et Guide IceSword

Guide et Tutorial IceSword
Startup

Startup permet de lister les programmes au démarrage tout comme le permet Msconfig
Dans la capture ci-dessous, on peut voir les programmes au démarrages listés par IceSword et ceux listés par Msconfig (en bas).

En regardant de plus près, on voit mailskinner sur msconfig & IceSword.
Plus d’autres programmes désactivés sur msconfig qui n’apparaîssent pas sur IceSword (normal).
Par contre, on retrouve sur IceSword ce oqrsbdefvx qui était aussi présent dans les processus. On peut donc constater que oqrsbdefvx se charge au démarrage de l’ordinateur et que Msconfig n’est pas capable de l’afficher, ceci est dû au fait que la valeur est rootkité.Tutorial et Guide IceSword

Guide et Tutorial IceSword
BHO

Les BHO sont les plugins (en gros des petits programmes) qui se greffent sur Internet Explorer, des BHO peuvent aussi être infectieux pour détourner votre page de démarrage ou récolter les sites que vous consultez.
Il convient donc de veiller aux BHO installés.

IceSword est capable de lister les BHO installés.Tutorial et Guide IceSword

Guide et Tutorial IceSword
System Check

System Check permet d’effectuer un contrôle d’intégrité du système, IceSword peut alors lister les processus cachés, drivers non confiant etc..
Attention à bien interpréter les résultats, en effet, certains antivirus peuvent utiliser des teschniques de rootkit, IceSword peut donc vous alerter.
Tutorial et Guide IceSword

Registry

La partie Registry vous donne accès à la base de registre de Windows
Le gros avantage est qu’IceSword permet de lister les clefs rootkitées.

Dans l’exemple ci-dessous, la machine est infectée par le rootkit Pe386.
On peut constater, en bas de la fenêtre, l’existence d’une clef : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicespe386 correspondant à un service Pe386.
Or dans la console des services, aucun service Pe386 n’est affiché. Ce service est caché.

IceSword vous permet d’agir sur la base de registre :

  • En supprimant n’importe quelle clef (clic droit puis delete)
  • Créez une nouvelle clef (clic droit puis Create new)

Tutorial et Guide IceSword

Files

A partir du bouton à gauche files, vous pouvez lister les fichiers présents sur votre ordinateur.
IceSword est capable de lister les fichiers rootkités.
Dans la capture ci-dessous, on constater dans la partie haute la présence de fichiers :
oqrsbdefvw.exe
oqrsbdefvw.dat
oqrsbdefvw_navps.dat
oqrsbdefvw.dat
Ce sont les fichiers de notre infection Magic.Control / egdaccess qui sont masqués sur l’explorateur de fichiers (seconde capture en bas).

En effectuant un clic sur les fichiers listés par IceSword vous pouvez :

  • Supprimer le/les fichiers à partir du bouton delete
  • Copier les fichiers à partir du bouton Copy to

Tutorial et Guide IceSword

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 44 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *