Tutorial et Guide IceSword

---

IceSword est un programme gratuit qui permet de lister : les processus, BHO, programmes au démarrage, clefs du registre et fichiers de l'ordinateur et bien plus encore.
IceSword a la particularité de pouvoir lister les fichiers "cachés" dit rootkités à travers une interface particuliairement simple.

IceSword permet de garder un oeil sur toutes les entrailles de votre système.

Vous pouvez télécharger IceSword à partir de clien : http://www.majorgeeks.com/Icesword_d5199.html

L'interface est assez simple avec :

• Dans la partie gauche, un menu composé de trois parties : functions, registery (registre), files (fichiers). Ce menu peut être décomposé en icônes.
• Dans la partie les informations relatives au menu sélectionné à gauche.
• Dans la partie haute un menu file, dump.

A noter que chaque partie dont vous avez accès peut être exporter au format texte à partir du menu : Dump / Current List

Functions

Process

L'icône process permet de lister les processus en cours d'excution sur l'ordinateur tout comme le gestionnaire de périphérique.
Si vous regardez attentivement la fenêtre de IceSword à gauche et le gestionnaire de tâches à droite, le gestionnaîre de tâches ne vous montre pas le processus : oqrsbdefvx.exe alors que IceSword (pour les petits curieux oqrsbdefvx.exe est une infection Magic.Control / egdaccess)
oqrsbdefvx.exe est en fait rootkité mais IceSword est capable de le lister, voila un de ces avantages.

En effectuant un clic droit sur un des processus vous pouvez :

• Terminer le processu (Terminate Process)
• Obtenir des informations sur le Thread (Thread Information)
• Obtenir des informations sur le module (Module Information) - Cette fonction est très interressante en cas d'infection, car vous pouvez lister les DLL utilisés par le processus mais surtout les décharger, donc décharger une dll infectieuses.
• Les lectures et écriture en mémoire avec leurs adresses (Read/Write Memory)

Ports

L'icône Ports permet de lister les connexions effectuées ainsi que les ports ouverts (LISTENING)
La liste s'approche de celles obtenues par un netstat -ano mais le gros avantages avec IceSword est que vous avez directement le processus responsables du port ouverts ou de la connexion ce qui n'est pas le cas avec netstat où vous n'avez que le PID.

Kernel Module

IceSword est capable de lister les logiciels chargés en mémoire noyau. En majorité ce sont les drivers utilisées par Windows ou pour vos périphériques qui ont besoin d'accer au matériel.
Les rootkit qui agissent sur le noyau doivent charger leurs propres drivers sur le noyau afin de pouvoir intéragir avec celui-ci, les drivers du rootkit peuvent alors être visualisable à partir de la liste Kernel Module.

Startup

Startup permet de lister les programmes au démarrage tout comme le permet Msconfig
Dans la capture ci-dessous, on peut voir les programmes au démarrages listés par IceSword et ceux listés par Msconfig (en bas).

En regardant de plus près, on voit mailskinner sur msconfig & IceSword.
Plus d'autres programmes désactivés sur msconfig qui n'apparaîssent pas sur IceSword (normal).
Par contre, on retrouve sur IceSword ce oqrsbdefvx qui était aussi présent dans les processus. On peut donc constater que oqrsbdefvx se charge au démarrage de l'ordinateur et que Msconfig n'est pas capable de l'afficher, ceci est dû au fait que la valeur est rootkité.

BHO

Les BHO sont les plugins (en gros des petits programmes) qui se greffent sur Internet Explorer, des BHO peuvent aussi être infectieux pour détourner votre page de démarrage ou récolter les sites que vous consultez.
Il convient donc de veiller aux BHO installés.

IceSword est capable de lister les BHO installés.

System Check

System Check permet d'effectuer un contrôle d'intégrité du système, IceSword peut alors lister les processus cachés, drivers non confiant etc..
Attention à bien interpréter les résultats, en effet, certains antivirus peuvent utiliser des teschniques de rootkit, IceSword peut donc vous alerter.