icesword中文名叫冰刃，是一款功能強(qiáng)大的電腦殺毒軟件，這款軟件采用了全新的內(nèi)核技術(shù)，能夠輕而易舉的對(duì)隱藏進(jìn)程、端口、文件信息等方面進(jìn)行防御維護(hù)。有了該軟件，用戶再也不用為電腦安全問(wèn)題所擔(dān)憂了。

【基本介紹】

冰刃IceSword是一款功能強(qiáng)大的病毒查殺工具，采用了內(nèi)核技術(shù)，能夠?qū)Φ讓酉到y(tǒng)進(jìn)行控制，提供了進(jìn)程、內(nèi)存、線程、塊、句柄、窗口管理、網(wǎng)絡(luò)連接查看等諸多功能，可以有效的幫助用戶進(jìn)行手工殺毒、輔助調(diào)試、內(nèi)核研究等等。

【官方介紹】

冰刃IceSword斬?cái)嗪谑值睦?，其?nèi)部功能是十分強(qiáng)大，用于查探系統(tǒng)中的幕后黑手木馬后門，并作出處理。但是現(xiàn)在的系統(tǒng)級(jí)后門功能越來(lái)越強(qiáng)，一般都可輕而易舉地隱藏進(jìn)程、端口、注冊(cè)表、文件信息，一般的工具根本無(wú)法發(fā)現(xiàn)這些“幕后黑手”。IceSword 使用了大量新穎的內(nèi)核技術(shù)，使得這些后門躲無(wú)所躲。

【icesword特色介紹】

1.利用先進(jìn)內(nèi)核技術(shù)可以查看所有隱藏文件
2.能夠?qū)崿F(xiàn)對(duì)系統(tǒng)進(jìn)程模塊和文件搜索的流程控制
3.能夠底消滅掉平常難以刪除的頑固文件

【icesword功能介紹】

1、進(jìn)程模塊
①隱藏進(jìn)程搜索
可列出系統(tǒng)中被可疑隱藏的進(jìn)程。
②線程分析
對(duì)該進(jìn)程中的線程做一些簡(jiǎn)單分析（以后逐步擴(kuò)充），輔助識(shí)別遠(yuǎn)線程或木馬dll建立的線程。
③進(jìn)程內(nèi)存Dump
僅Dump指定內(nèi)存至文件，以后添加功能。
④進(jìn)程模塊搜索
查找指定模塊。

2、文件搜索
選擇好目錄后，輸入正則表達(dá)式即可搜索出指定的文件。特別說(shuō)明的是“%”這個(gè)特殊表達(dá)式，IsHelp用它表示搜索隱藏的文件（包括用戶無(wú)權(quán)限列舉的文件）。

3、內(nèi)存掃描
基本是空架子，因?yàn)檫€未設(shè)計(jì)完畢特征碼庫(kù)，現(xiàn)在在內(nèi)置某些版本黑客之門的特征碼（用戶要求），當(dāng)“專查”用。當(dāng)然，隱藏的東西也會(huì)掃描到，比如黑客守衛(wèi)者、隱藏版的灰鴿子。

4、注冊(cè)表服務(wù)鍵
對(duì)主程序服務(wù)欄的補(bǔ)充，再最早的主程序設(shè)計(jì)中，因?yàn)榭紤]已經(jīng)有了反隱藏的注冊(cè)表一欄以及導(dǎo)出了部分相應(yīng)函數(shù)給協(xié)件程序，所以服務(wù)一欄就不必再?gòu)淖?cè)表去反隱（個(gè)人的觀點(diǎn)是如果修改了服務(wù)管理器的DataBase，使得木馬失去了服務(wù)應(yīng)有的特征，那么它似乎算不上服務(wù)了，算是一種特殊的自啟動(dòng)方式）。

【icesword使用方法】

icesword怎么啟用？

冰刃這個(gè)軟件，第一次運(yùn)行必須在管理員帳戶下進(jìn)行，當(dāng)一臺(tái)計(jì)算機(jī)多個(gè)用戶，如果管理員用戶運(yùn)行了冰刃，最好重新啟動(dòng)后再交給低權(quán)限用戶使用計(jì)算機(jī)，否則低權(quán)限用戶就可以啟動(dòng)冰刃這個(gè)軟件。


冰刃大菜單分為查看、注冊(cè)表、文件（圖一）


查看里面又分為很多小部分，我這里只介紹常用的功能，包括進(jìn)程（圖二）


內(nèi)核信息（圖三）


啟動(dòng)組（圖四）


服務(wù)（圖五）


注冊(cè)表（圖六）里面就是一個(gè)注冊(cè)表編輯器，方便使用，而且擁有管理員權(quán)限，可以查看、修改、刪除注冊(cè)表項(xiàng)目。


文件（圖七）是一個(gè)瀏覽計(jì)算機(jī)所有文件的地方，它可以看到任何隱藏的文件，對(duì)付無(wú)法刪除的文件，也可以使用強(qiáng)制刪除等特殊方法刪除，具體方法下面會(huì)有具體介紹。
上有一些使用方法，但是不具體，下面我就帶您一步一步地來(lái)用冰刃實(shí)現(xiàn)一些固定的操作。我介紹的方法是從簡(jiǎn)單到難，可能有些您還看不懂，不要緊，慢慢學(xué)習(xí)，共同進(jìn)步。

首先，我們看進(jìn)程這里可以做的事情

一、顯示隱藏進(jìn)程
打開(kāi)冰刃的進(jìn)程選項(xiàng)后，里面紅色字顯示的就是隱藏的進(jìn)程，這樣顯示可以方便查找隱藏的后門、木馬等。

二、結(jié)束進(jìn)程
點(diǎn)擊選中要結(jié)束的進(jìn)程，按Ctrl鍵可以選擇多個(gè)項(xiàng)目，然后再點(diǎn)開(kāi)右鍵菜單中的“結(jié)束進(jìn)程”，就把選中的項(xiàng)目結(jié)束掉了。

三、終止插入的DLL文件
現(xiàn)在很多木馬程序都插入桌面文件explorer.exe下面很多DLL文件，來(lái)執(zhí)行木馬所需要的操作，那么對(duì)于這些插入的DLL文件怎么辦呢，用冰刃就可以解決好這個(gè)問(wèn)題。
打開(kāi)冰刃后，選中DLL所插入的進(jìn)程，然后點(diǎn)右鍵菜單中的“模塊信息”，會(huì)看到所嵌入進(jìn)程的所有DLL文件（圖八），找到病毒進(jìn)程，點(diǎn)擊卸載即可結(jié)束掉這個(gè)DLL，如果病毒、木馬或者黑客程序比較厲害，可能無(wú)法卸載，那么強(qiáng)制卸載就起了作用，一般的DLL包括系統(tǒng)DLL都可以強(qiáng)制卸載掉，所以慎用這個(gè)功能。


其他功能
進(jìn)程里面還有某些其他功能，比如強(qiáng)制結(jié)束線程，包括右鍵菜單中還有線程信息、內(nèi)存讀寫(xiě)等，這些對(duì)我們的殺毒工作用處不大，所以不進(jìn)行具體介紹了。

其次，我們看內(nèi)核的使用方法

內(nèi)核程序是通過(guò)C:\windows\system32\ntkrnlpa.exe等程序啟動(dòng)，基本上是C:\windows\system32\drivers\下的sys文件，當(dāng)然也有少部分C:\windows\system32\目錄下的sys文件，僅有很少的幾個(gè)dll文件，我計(jì)算機(jī)有3個(gè)。冰刃中的內(nèi)核模塊只能察看簡(jiǎn)單的內(nèi)核信息，靠知識(shí)去分析正常和不正常的內(nèi)核。

第三，我們看啟動(dòng)組

這里和內(nèi)核程序一樣，只能查看，無(wú)法作任何處理。這個(gè)啟動(dòng)組里面只顯示幾個(gè)地方的啟動(dòng)項(xiàng)目，非常不全面，我了解得是以下項(xiàng)目：
注冊(cè)表中，僅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run兩個(gè)項(xiàng)目，文件夾包括C:\Documents and Settings\您所使用的用戶名稱\「開(kāi)始」菜單\程序\啟動(dòng)和C:\Documents and Settings\All Users\「開(kāi)始」菜單\程序\啟動(dòng)
等我的下一個(gè)文章的更新后，就知道這個(gè)啟動(dòng)組是多么的不全面了。

第四，我們看服務(wù)

一、顯示隱藏服務(wù)
服務(wù)中可以顯示隱藏服務(wù)，用紅色表示，和進(jìn)程一樣

二、修改服務(wù)的當(dāng)前狀態(tài)（啟動(dòng)、停止等）
打開(kāi)服務(wù)，選中要進(jìn)行操作的服務(wù)，按Ctrl鍵可以選擇多個(gè)項(xiàng)目，在右鍵菜單里面選擇要作的操作，比如停止、啟動(dòng)、暫停、恢復(fù)。這里面要注意一個(gè)問(wèn)題，就是系統(tǒng)的關(guān)鍵服務(wù)是不能停止的，否則系統(tǒng)會(huì)自動(dòng)重新啟動(dòng)計(jì)算機(jī)。這個(gè)僅修改當(dāng)前狀態(tài)，而重新啟動(dòng)計(jì)算機(jī)后，如果服務(wù)的啟動(dòng)類型是自動(dòng)，還會(huì)啟動(dòng)該服務(wù)。

三、修改服務(wù)的啟動(dòng)類型（禁用、自動(dòng)、手動(dòng)）
打開(kāi)服務(wù)，選中要進(jìn)行操作的服務(wù)，按Ctrl鍵可以選擇多個(gè)項(xiàng)目，在右鍵菜單里面選擇要作的操作，比如禁用、自動(dòng)、手動(dòng)。這個(gè)修改的是啟動(dòng)類型，所以修改后，不可能修改當(dāng)前狀態(tài)。

第五，我們看注冊(cè)表

冰刃對(duì)注冊(cè)表有非常高的權(quán)限，可以看到某些系統(tǒng)注冊(cè)表編輯器中不可見(jiàn)的項(xiàng)目，所以在進(jìn)行操作的時(shí)候要有十足把握，不要因?yàn)殄e(cuò)刪、錯(cuò)改某些系統(tǒng)關(guān)鍵項(xiàng)目，使計(jì)算機(jī)系統(tǒng)崩潰。

一、查找項(xiàng)
按照?qǐng)D六中“+”“-”符號(hào)的說(shuō)明，點(diǎn)擊“+”可以快速在左邊查找到對(duì)應(yīng)的項(xiàng)目，選中即可在右面查看該項(xiàng)下面的鍵值

二、刪除項(xiàng)
在左面選中要?jiǎng)h除的項(xiàng)，在右鍵菜單中選擇“刪除”，即可。

三、新建項(xiàng)
通過(guò)查找項(xiàng)，找到要新建項(xiàng)的位置，然后在左面窗口右鍵菜單中的新建下選擇“項(xiàng)”，即可彈出新建項(xiàng)的對(duì)話框（圖九），輸入名稱，點(diǎn)確定即可。


四、修改鍵值
通過(guò)查找項(xiàng)，找到要修改的鍵，雙擊此鍵，即可打開(kāi)修改鍵值的對(duì)話框（圖十），輸入要修改的名字或者清空，點(diǎn)確定即可。


五、刪除鍵
通過(guò)查找項(xiàng)，找到要?jiǎng)h除的鍵，按Ctrl鍵可以選擇多個(gè)項(xiàng)目，然后在右面窗口中的右鍵菜單中選擇“刪除所選”即可。

六、新建鍵
通過(guò)查找項(xiàng)，找到要新建鍵的項(xiàng)，選中此項(xiàng)，在左面窗口中的右鍵菜單中的新建下選擇建立哪種類型的鍵，會(huì)彈出建立鍵的對(duì)話框，輸入鍵名稱和鍵值即可。

七、關(guān)于類型
冰刃新建鍵值給了3種類型——字符串值、二進(jìn)制值、雙字，這個(gè)在建立鍵的時(shí)候，按照需要選擇，下面我說(shuō)的是如何看一個(gè)鍵值是什么類型，在冰刃右面顯示具體鍵的地方有類型，它顯示了此鍵是什么類型。REG_SZ是字符串，BEG_BINARY是二進(jìn)制，REG_DWORD是雙字（圖十一），除了這三項(xiàng)，還有其他類型，不經(jīng)常使用，這里不列出了。


八、通過(guò)注冊(cè)表刪除啟動(dòng)項(xiàng)
查找列到固定的啟動(dòng)項(xiàng)，在SRE中都顯示了每一個(gè)注冊(cè)表啟動(dòng)項(xiàng)的具體位置，我也可能會(huì)寫(xiě)一篇關(guān)于啟動(dòng)項(xiàng)目的文章，那時(shí)候就可以查看了。找到位置后，刪除不需要的鍵值即可。

九、通過(guò)注冊(cè)表清理服務(wù)和驅(qū)動(dòng)項(xiàng)目
在冰刃里面沒(méi)有給刪除服務(wù)和驅(qū)動(dòng)項(xiàng)目的地方，對(duì)于服務(wù)，我們可以禁用，對(duì)于驅(qū)動(dòng)，冰刃沒(méi)有給具體方法，我們可以通過(guò)刪除存放服務(wù)和驅(qū)動(dòng)的注冊(cè)表值，來(lái)刪除服務(wù)和驅(qū)動(dòng)。存放服務(wù)的注冊(cè)表項(xiàng)是HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\里面每一個(gè)項(xiàng)都代表一個(gè)服務(wù)，這兩個(gè)項(xiàng)之間有一一對(duì)應(yīng)關(guān)系，刪除時(shí)候請(qǐng)完全刪除服務(wù)或驅(qū)動(dòng)所對(duì)應(yīng)的項(xiàng)即可。

第六，我們看文件

一、查找冰刃的文件夾
按照?qǐng)D七中“+”“-”符號(hào)的說(shuō)明，點(diǎn)擊“+”可以快速在左邊查找到對(duì)應(yīng)的文件夾，選中即可在右面查看該文件夾下面的文件了

二、刪除文件夾
在冰刃左面選擇“文件”，按照上面的方法，選擇要?jiǎng)h除的文件夾，在右鍵菜單中選擇“刪除”即可，但是這個(gè)文件夾還在冰刃中顯示，你只要把上一級(jí)文件夾的“-”收一下，再展看，就可以看到文件夾已經(jīng)刪除。如果刪除不了，請(qǐng)選擇右鍵菜單中的“強(qiáng)制刪除”。

三、刪除文件
在冰刃左面選擇“文件”，按照上面的方法，選中要?jiǎng)h除的文件所在的文件夾，找到要?jiǎng)h除的文件。找文件也有竅門，如果知道日期，你可以按照日期排列，然后再找對(duì)應(yīng)文件，如果只知道文件名，按照文件名排列后，按所找文件的首字母，可以加快查找速度。
找到文件后，選中文件，然后在右鍵菜單中選擇“刪除”，如果刪除不了，選擇“強(qiáng)制刪除”即可，如果此兩種方法刪除不了文件，那么就看看第四項(xiàng)。

四、處理頑固的病毒文件（暫時(shí)沒(méi)有試驗(yàn)可用性）
文件經(jīng)過(guò)冰刃的“刪除”和“強(qiáng)制刪除”都沒(méi)有辦法刪除，可以試下面的方法，我不知道可行性，因?yàn)闆](méi)有病毒樣本，只能介紹給大家，自己試驗(yàn)了。方法如下：
在一個(gè)目錄建立一個(gè)與病毒同名的文件，包括擴(kuò)展名，復(fù)制到病毒位置。舉個(gè)例子，比如你不能刪除的文件是c:\windows\system32\下的1.sys，那么你可以在c:\建立一個(gè)記事本文件，里面隨便打兩個(gè)字母，保證文件大小不為0KB，修改其名稱為1.sys，然后打開(kāi)冰刃，選中新建立的c:\1.sys， 在右鍵菜單中選擇“復(fù)制”，然后打開(kāi)復(fù)制對(duì)話框，選擇病毒所在目錄——c:\windows\system32\，然后輸入文件名——1.sys，點(diǎn)復(fù)制，就可以了。
此方法沒(méi)有實(shí)踐過(guò)，不知道是否成功。
經(jīng)過(guò)試驗(yàn)，此方法無(wú)效，對(duì)付這種頑固病毒文件看來(lái)還需要更好的利器。

最后，我們了解菜單欄的一些功能

禁止插入新進(jìn)程
點(diǎn)菜單欄中文件下面的“設(shè)置”，打開(kāi)設(shè)置對(duì)話框，在“禁止進(jìn)線程創(chuàng)建”前面打上對(duì)勾即可。這樣計(jì)算機(jī)就無(wú)法建立任何進(jìn)程（圖十二）。到這里，冰刃的基本用法也就介紹得差不多了，教程到此結(jié)束。

【注意事項(xiàng)】

在對(duì)軟件做講解之前, 首先說(shuō)明第一注意事項(xiàng): 此程序運(yùn)行時(shí)不要激活內(nèi)核調(diào)試器(如softice), 否則系統(tǒng)可能即刻崩潰. 另外使用前請(qǐng)保存好您的數(shù)據(jù), 以防萬(wàn)一未知的Bug帶來(lái)?yè)p失. IceSword目前只為使用32位的x86兼容CPU的系統(tǒng)設(shè)計(jì), 另外運(yùn)行IceSword需要管理員權(quán)限. 第一次使用請(qǐng)保存好數(shù)據(jù), 使用IceSword需要您自己承擔(dān)bug帶來(lái)的可能的風(fēng)險(xiǎn)!

【更新日志】

v1.22
(1)增加普通文件、ADS、注冊(cè)表、模塊的搜索功能；
(2)隱藏簽名項(xiàng)；
(3)添加模塊的HOOK掃描；
(4)核心功能的加強(qiáng)。