Neue Version 1.20 von IceSword
Der gute PJF beglückt uns nach einiger Zeit mal wieder mit einer neuen Version seiner Anti-Rootkit Software IceSword. Viel neues gibt es allerdings nicht. Das bisher leere Plugin-Menü kennt jetzt "FileReg" und es wird eine Art SDK ("Cooperator") zum Entwickeln eigener "IceSword Helper" mitgeliefert. Am eigentlichen Programm hat sich außer einigen Bugfixes scheinbar nichts geändert.
FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht (siehe Screenshot). Damit lässt sich zum Beispiel Rustock.B (alias lzx32.sys) finden.
Als besondere Neuerung gibt es für FileReg eine umfangreiche Anleitung auf Englisch. Alle anderen Anleitungen sind immer noch auf Chinesisch.
Mit dem SDK werden Bibliotheken und etwas Sourcecode für die Compiler von Borland und Microsoft mitgeliefert. Da Microsoft seinen C-Compiler inzwischen kostenlos verteilt, sollte damit jeder eigene Programme basteln können, die auf die Funktionen von IceSword zurückgreifen (wie das mitgelieferte IsHelp es tut).
Die Erkennungsleistung wurde offenbar nicht verbessert. Nach wie vor werden die versteckten Treiber von Rustock.A/B und dem RKU Test Rootkit nicht erkannt.
Update: Ich habe die Datei jetzt bei SpeedyShare hochgeladen. Scheinbar funktioniert der offizielle Download manchmal nicht.
Links
- Download von SpeedyShare
- IceSword 1.20 English Version (Eintrag in PJFs Blog)
- Kommentar von cardmagic (DarkSpy Author) zur neuen Version (ganz unten).
- Einführung in IceSword. C-Ko
- Rootkits. C-Ko
3 Kommentare:
Leider scheint der Downloadlink von Icesword 1.20 nicht zu funktionieren
-bitfix- 15.11.06
Man kann auch von der Hauptseite herunterladen.
http://www.blogcn.com/user17/pjf/index.html
Oder jetzt von SpeedyShare.
Ja, die Links sind ein wenig alt und gehen nicht mehr.
Kommentar veröffentlichen (Editor öffnet sich in Popup-Fenster) Smilies