冰刃(IceSword)這款工具是早期非常有用的木馬查殺工具，當(dāng)然現(xiàn)在對很多木馬依然有效，它可以快速識別你系統(tǒng)中的木馬及后門，基本上不太需要安全知識，冰刃使用了大量新穎的內(nèi)核技術(shù), 隱藏進(jìn)程、端口、注冊表、文件信息,，可以掃描使得這些后門躲無所躲. 當(dāng)然使用它需要用戶有一些操作系統(tǒng)的知識。在對軟件做講解之前, 首先說明第一注意事項: 此程序運行時不要激活內(nèi)核調(diào)試器(如softice), 否則系統(tǒng)可能即刻崩潰. 另外使用前請保存好您的數(shù)據(jù),



 

冰刃IceSword軟件功能

1、進(jìn)程欄里的模塊搜索(Find Modules)
2、注冊表欄里的搜索功能(Find、Find Next)
3、文件欄里的搜索功能，分別是ADS的枚舉（包括或不包括子目錄）、普通文件查找（Find Files)
上面是要求最多的，確實對查找惡意軟件有幫助
4、BHO欄的刪除、SSDT欄的恢復(fù)(Restore)
5、Advanced Scan：第三步的Scan Module提供給一些高級用戶使用，一般用戶不要隨便restore，特別不要restore第一項顯示為"-----"的條目，因為它們或是操作系統(tǒng)自己修改項、或是IceSword修改項，restore后會使系統(tǒng)崩潰或是IceSword不能正常工作。最早的IceSword也會自行restore一些內(nèi)核執(zhí)行體、文件系統(tǒng)的惡意inline hook，不過并未提示用戶，覺得像SVV那樣讓高級用戶自行分析可能會有幫助。另外里面的一些項會有重復(fù)（IAT hook與Inline modified hook），偷懶不檢查了，重復(fù)restore并沒有太大關(guān)系。還有掃描時不要做其它事，請耐心等待。
有朋友建議應(yīng)該對找到的結(jié)果多做一些分析，判斷出修改后代碼的意義，這當(dāng)然不錯，不過要完美的結(jié)果工作很煩瑣——比如我可以用一條指令跳轉(zhuǎn)，也可以用十條或更多冗余指令做同樣的工作——沒有時間完善，所以只有JMP/PUSH+RET的判斷。提議下對高級用戶可選的替代方案：記住修改的地址，使用進(jìn)程欄里的“內(nèi)存讀寫”中的“反匯編”功能，就先請用戶人工分析一下吧，呵呵。
6、隱藏簽名項（View->Hide Signed Items）。在菜單中選中后對進(jìn)程、模塊列舉、驅(qū)動、服務(wù)四欄有作用。要注意選中后刷新那四欄會很慢，要耐心等。運行過程中系統(tǒng)相關(guān)函數(shù)會主動連接外界以獲取一些信息（比如去crl.microsoft. com獲取證書吊銷列表），一般來說，可以用防火墻禁之，所以選中后發(fā)現(xiàn)IS有連接也不必奇怪，M$搞的，呵呵。
7、其他就是內(nèi)部核心功能的加強了，零零碎碎有挺多，就不細(xì)說了。使用時請觀察下View->Init State，有不是“OK”的說明初始化未完成，請report一下。
IceSword是一斬斷黑手的利刃（所以取這土名，有點搞呃，呵呵）。它適用于Windows 2000/XP/2003/Vista操作系統(tǒng)，用于查探系統(tǒng)中的幕后黑手（木馬后門）并作出處理，當(dāng)然使用它需要用戶有一些操作系統(tǒng)的知識。
在對軟件做講解之前，首先說明第一注意事項 ：此程序運行時不要激活內(nèi)核調(diào)試器（如softice），否則系統(tǒng)可能即刻崩潰。另外使用前請保存好您的數(shù)據(jù)，以防萬一未知的Bug帶來損失。
IceSword只為使用32位的x86兼容CPU的系統(tǒng)設(shè)計，另外運行IceSword需要管理員權(quán)限。
如果您使用過老版本，請一定注意，使用新版本前要重新啟動系統(tǒng)，不要交替使用二者。
IceSword內(nèi)部功能是十分強大的。可能您也用過很多類似功能的軟件，比如一些進(jìn)程工具、端口工具，但是系統(tǒng)級后門功能越來越強，一般都可輕而易舉地隱藏進(jìn)程、端口、注冊表、文件信息，一般的工具根本無法發(fā)現(xiàn)這些“幕后黑手”。IceSword使用大量新穎的內(nèi)核技術(shù)，使得這些后門躲無所躲。
如何退出IceSword：直接關(guān)閉，若你要防止進(jìn)程被結(jié)束時，需要以命令行形式輸入：IceSword.exe/c，此時需要Ctrl+Alt+D才能關(guān)閉（使用三鍵前先按一下任意鍵）。
如果最小化到托盤時托盤圖標(biāo)又消失了：此時可以使用Ctrl+Alt+S將IceSword主界面喚出。因為偷懶沒有重繪圖標(biāo)，將就用吧。
此外，您無須為此軟件付費，該軟件是免費的。

 

冰刃IceSword使用方法

　　第一步：使用冰刃IceSword，點“文件”，“設(shè)置”，選中“禁止進(jìn)線程創(chuàng)建、禁止協(xié)議功能”。

　　第二步：打開“進(jìn)程”找到不正常的進(jìn)程項目，鼠標(biāo)右鍵點擊選中“模塊信息”打開察看加載的.dll模塊情況！

　　第三步：找到病毒模塊.dll文件，點“卸載”或“強制解除”！（一般情況主流殺軟提供了病毒模塊的名字）

　　第四步：點“進(jìn)程”找到病毒文件進(jìn)程，點鼠標(biāo)右鍵點“結(jié)束進(jìn)程”此時病毒進(jìn)程就徹底結(jié)束了。（但是如果是系統(tǒng)關(guān)鍵進(jìn)程不要操作這一步，不然系統(tǒng)會重啟）

　　第五步：再點“文件”，“設(shè)置”，取消“禁止進(jìn)線程創(chuàng)建、禁止協(xié)議功能”不然其他程序無法運行！

　　第六步：點左下角“文件”，逐步按病毒路徑查找到病毒文件點鼠標(biāo)右鍵點“刪除”。

　　第七步：在刪除病毒文件后，在原處建立一個同名帶擴(kuò)展名的文件夾，因為電腦的任何操作系統(tǒng)都不允許同名的文件和文件夾存在，這樣可以防止重啟后病毒文件的自我修復(fù)，為保萬無一失和防止以后的復(fù)發(fā)，通常都做一個文件夾放在那里。（可以忽略！）

　　第八步：現(xiàn)在處理注冊表，在開始——運行中輸入regedit按CTRL+F查找被刪除的病毒文件的名字把查到的值刪掉再按F3查；直到把所有的值都刪完！

冰刃IceSword注意事項

1、程序運行時不要激活內(nèi)核調(diào)試器（如softice）, 否則系統(tǒng)可能即刻崩潰。
2、使用前請保存好數(shù)據(jù), 以防萬一未知的Bug帶來損失。
3、IceSword目前只為使用32位的x86兼容CPU的系統(tǒng)設(shè)計。
4、運行IceSword需要管理員權(quán)限。
5、注：可以支持Win7系統(tǒng)，但是不支持Win10