(1)进程窗口中单击右键,选择“内存读写”,弹出如下对话框:
输入起始地址和长度就可以读写内存,以及对这段内存进行反汇编。
(2)用IceSword的监视进线程创建和监视进程终止功能,能够监视木马行为。例如杀毒软件进程被结束,可以看是哪个进程结束的。又比如某木马采用多线程相互守护技术,假如你结束了一个线程,一会儿它又起来了,可以用IceSword看是哪个线程起了它。截图如下:
(3)IceSword “文件”>“重启并监视”功能可以立即重启系统,并监视重启时的所有进线程创建,从而轻易发现远线程注入。
