冰刃IceSword

冰刃(IceSword)这款工具是早期非常有用的木马查杀工具，当然现在对很多木马依然有效，它可以快速识别你系统中的木马及后门，基本上不太需要安全知识，冰刃使用了大量新颖的内核技术, 隐藏进程、端口、注册表、文件信息,，可以扫描使得这些后门躲无所躲. 当然使用它需要用户有一些操作系统的知识。在对软件做讲解之前, 首先说明第一注意事项: 此程序运行时不要激活内核调试器(如softice), 否则系统可能即刻崩溃. 另外使用前请保存好您的数据,



 

冰刃IceSword软件功能

1、进程栏里的模块搜索(Find Modules)
2、注册表栏里的搜索功能(Find、Find Next)
3、文件栏里的搜索功能，分别是ADS的枚举（包括或不包括子目录）、普通文件查找（Find Files)
上面是要求最多的，确实对查找恶意软件有帮助
4、BHO栏的删除、SSDT栏的恢复(Restore)
5、Advanced Scan：第三步的Scan Module提供给一些高级用户使用，一般用户不要随便restore，特别不要restore第一项显示为"-----"的条目，因为它们或是操作系统自己修改项、或是IceSword修改项，restore后会使系统崩溃或是IceSword不能正常工作。最早的IceSword也会自行restore一些内核执行体、文件系统的恶意inline hook，不过并未提示用户，觉得像SVV那样让高级用户自行分析可能会有帮助。另外里面的一些项会有重复（IAT hook与Inline modified hook），偷懒不检查了，重复restore并没有太大关系。还有扫描时不要做其它事，请耐心等待。
有朋友建议应该对找到的结果多做一些分析，判断出修改后代码的意义，这当然不错，不过要完美的结果工作很烦琐——比如我可以用一条指令跳转，也可以用十条或更多冗余指令做同样的工作——没有时间完善，所以只有JMP/PUSH+RET的判断。提议下对高级用户可选的替代方案：记住修改的地址，使用进程栏里的“内存读写”中的“反汇编”功能，就先请用户人工分析一下吧，呵呵。
6、隐藏签名项（View->Hide Signed Items）。在菜单中选中后对进程、模块列举、驱动、服务四栏有作用。要注意选中后刷新那四栏会很慢，要耐心等。运行过程中系统相关函数会主动连接外界以获取一些信息（比如去crl.microsoft. com获取证书吊销列表），一般来说，可以用防火墙禁之，所以选中后发现IS有连接也不必奇怪，M$搞的，呵呵。
7、其他就是内部核心功能的加强了，零零碎碎有挺多，就不细说了。使用时请观察下View->Init State，有不是“OK”的说明初始化未完成，请report一下。
IceSword是一斩断黑手的利刃（所以取这土名，有点搞呃，呵呵）。它适用于Windows 2000/XP/2003/Vista操作系统，用于查探系统中的幕后黑手（木马后门）并作出处理，当然使用它需要用户有一些操作系统的知识。
在对软件做讲解之前，首先说明第一注意事项 ：此程序运行时不要激活内核调试器（如softice），否则系统可能即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。
IceSword只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。
如果您使用过老版本，请一定注意，使用新版本前要重新启动系统，不要交替使用二者。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。
如何退出IceSword：直接关闭，若你要防止进程被结束时，需要以命令行形式输入：IceSword.exe/c，此时需要Ctrl+Alt+D才能关闭（使用三键前先按一下任意键）。
如果最小化到托盘时托盘图标又消失了：此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标，将就用吧。
此外，您无须为此软件付费，该软件是免费的。

 

冰刃IceSword使用方法

　　第一步：使用冰刃IceSword，点“文件”，“设置”，选中“禁止进线程创建、禁止协议功能”。

　　第二步：打开“进程”找到不正常的进程项目，鼠标右键点击选中“模块信息”打开察看加载的.dll模块情况！

　　第三步：找到病毒模块.dll文件，点“卸载”或“强制解除”！（一般情况主流杀软提供了病毒模块的名字）

　　第四步：点“进程”找到病毒文件进程，点鼠标右键点“结束进程”此时病毒进程就彻底结束了。（但是如果是系统关键进程不要操作这一步，不然系统会重启）

　　第五步：再点“文件”，“设置”，取消“禁止进线程创建、禁止协议功能”不然其他程序无法运行！

　　第六步：点左下角“文件”，逐步按病毒路径查找到病毒文件点鼠标右键点“删除”。

　　第七步：在删除病毒文件后，在原处建立一个同名带扩展名的文件夹，因为电脑的任何操作系统都不允许同名的文件和文件夹存在，这样可以防止重启后病毒文件的自我修复，为保万无一失和防止以后的复发，通常都做一个文件夹放在那里。（可以忽略！）

　　第八步：现在处理注册表，在开始——运行中输入regedit按CTRL+F查找被删除的病毒文件的名字把查到的值删掉再按F3查；直到把所有的值都删完！

冰刃IceSword注意事项

1、程序运行时不要激活内核调试器（如softice）, 否则系统可能即刻崩溃。
2、使用前请保存好数据, 以防万一未知的Bug带来损失。
3、IceSword目前只为使用32位的x86兼容CPU的系统设计。
4、运行IceSword需要管理员权限。
5、注：可以支持Win7系统，但是不支持Win10