冰刃(IceSword)中文绿色版

冰刃(IceSword)中文绿色版是一杀死蛀虫的尖刀，它适用于Windows系统，用于查探系统中的幕后黑手木马后门。随着网络的逐渐发展，对网络系统的安全保护也越来越要提上日程了。网络上的木马是无孔不入的，只要你微点击某个链接，你就中毒或者你的系统被进入了木马，木马也是多种多样的，一代比一代强大难搞。而IceSword就是镰刀斩除潜入的后门的木马毒草。它更加适用于Windows。2000/XP/2003操作系统等较为老旧的系统窗口，用于发现隐藏在系统中的木马后门并及时作出处理，同时你需要使用它需要有一些操作系统的知识。第一注意事项: 此程序运行时不要激活内核调试器(如softice), 否则系统可能立刻崩溃. 另外使用这款软件之前请妥善保存好您的重要数据信息, 以防万一未知的Bug、病毒带来不必要的损失。目前该软件只为使用32位的x86兼容CPU的系统设计, 另外运行需要管理员权限，请注意第一次使用保存好数据。它无需激活内核调试器，但是现在的系统越级后门功能越来越强, 一般都可轻松地隐藏到进程、端口、注册表、文件信息,一些次要文件中不被发现，一般的工具根本无法发现这些幕后蛀虫。这款软件使用大量的的新颖的内核技术，使得一些后门无处可藏。如需要的用户欢迎前来下载。

软件功能。

1、进程栏里的模块搜索(Find Modules)
2、注册表栏里的搜索功能(Find、Find Next)
3、文件栏里的搜索功能，分别是ADS的枚举（包括或不包括子目录）、普通文件查找（Find Files)上面是要求最多的，确实对查找恶意软件有帮助
4、BHO栏的删除、SSDT栏的恢复(Restore)
5、Advanced Scan：第三步的Scan Module提供给一些高级用户使用，一般用户不要随便restore，特别不要restore第一项显示为”—–“的条目，因为它们或是操作系统自己修改项、或是IceSword修改项，restore后会使系统崩它就不能正常工作。最早的IceSword也会自行restore一些内核执行体、文件系统的恶意inline hook，不过并未提示用户，觉得像SVV那样让高级用户自行分析可能会有帮助。另外里面的一些项会有重复（IAT hook与Inline modified hook）偷懒不检查了，重复restore并没有太大关系。还有扫描时不要做其它事，请耐心等待。有朋友建议应该对找到的结果多做一些分析，判断出修改后代码的意义，这当然不错，不过要完美的结果工作很烦琐——比如我可以用一条指令跳转，也以用十条或更多冗余指令做同样的工作——没有时间完善，所以只有JMP/PUSH+RET的判断。
6、隐藏签名项（View->Hide Signed Items）。在菜单中选中后对进程、模块列举、驱动、服务四栏有作用。要注意选中后刷新那四栏会很慢，要耐心等。运行过程中系统相关函数会主动连接外界以获取一些信息，一般来说，可以用防火墙禁之，所以选中后发现IS有连接也不必奇怪，

使用方法

1、使用冰刃IceSword，点“文件”，“设置”，选中“禁止进线程创建、禁止协议功能”。

2、打开“进程”找到不正常的进程项目，鼠标右键点击选中“模块信息”打开察看加载
的.dll模块情况！
3、找到病毒模块.dll文件，点“卸载”或“强制解除”（一般情况主流杀软提供了病毒
模块的名字）！
4、点“进程”找到病毒文件进程，点鼠标右键点“结束进程”此时病毒进程就彻底结束
了（但是如果是系统关键进程不要操作这一步，不然系统会重启）。
5、再点“文件”，“设置”，取消“禁止进线程创建、禁止协议功能”不然其他程序无
法运行！
6、点左下角“文件”，逐步按病毒路径查找到病毒文件点鼠标右键点“删除”。

其他

内核模块：即当前系统加载的核心模块比如驱动程序。
启动组：是两个RUN子键的内容，懒得写操作了，请自行更改注册表。
服务：用于查看系统中的被隐藏的或未隐藏的服务，隐藏的服务以红色显示，注意在操
作时可能有的服务耗时较长，请稍后手动刷新几次。
SPI、BHO：不多说了。
SSDT：即系统服务派发表，其中被修改项会红色显示。消息钩子：枚举系统中所注册的消息钩子（通过SetWindowsHookEx等），若钩子函数在exe模块中则是实际的地址，若在dll模块中则是相对于dll基址的偏移，具体请自行判断吧（一般地址值小于0x400000的就是全局钩子）。监视进线程创建：顾名思义，进线程的创建纪录保存在以循环缓冲里，要IceSword运行期间才进行纪录，您可以用它发现木马后门创建了什么进程和线程，尤其是远线程。红色显示的即是进程创建（目标进程TID为0时为进程创建，紧接其后的红色项是它的主线程的创建）和远线程创建（应该注意），须注意的是，此栏只显示最新的1024项内容。监视进程终止：一般只是监视一个进程结束另一个进程，进程结束自身一般不纪录。
系统检查：1.22中有更新
7、在删除病毒文件后，在原处建立一个同名带扩展名的文件夹，因为电脑的任何操作系统都不允许同名的文件和文件夹存在，这样可以防止重启后病毒文件的自我修复，为保万无一失和防止以后的复发，通常都做一个文件夹放在那里（可以忽略）。
8、现在处理注册表，在开始-运行中输入regedit按CTRL+F查找被删除的病毒文件的名字把查到的值删掉再按F3查；直到把所有的值都删完。

注意要点：

1.运行时一定不要将内核调试器（如softice）激活，否则系统会崩溃
2.使用前一定要将数据保存备份好，以防万一
3.目前仅支持使用32位的x86兼容CPU
4.如果使用过旧版本，使用新版本前一定要进行重启操作
5.退出指导：输入命令行：IceSword.exe /c，按下热键Ctrl+Alt+D
6.隐藏唤出指导：按下热键Ctrl+Alt+S

更新说明

1.20：（1）恢复了插件功能，并提供一个文件注册表的小插件，详见FileReg.chm；
（2）对核心部分作了些许改动，界面部分仅文件菜单有一点变化。
1.20(SubVer 111E3）：添加对32位版本Vista(NtBuildNumber:6000）的支持。
1.22：（1）增加普通文件、ADS、注册表、模块的搜索功能；
（2）隐藏签名项；
（3）添加模块的HOOK扫描；
（4）核心功能的加强。