冰刃IceSword以其它软件不能比拟的强大功能，是准确查探和彻底斩断“幕后黑手-木马后门”的利刃，是杀毒高手们力捧的一个工具。但不少网友只闻其名，却不知如何使用。本文提供冰刃IceSword 1.22中文版下载，并通过图文详细介绍这款软件的使用方法——& A" w6 o  `, O  a) n" F: \

& P/ i) K7 e/ D( S: `& h1 x8 c/ L# }4 _) Q: r
8 T$ x$ S! u5 E2 q  |6 G4 `
在对使用进行讲解之前首先说明注意事项 ：
; t( I) [# K$ P5 H1。此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。
9 J. |% @' B# M. {$ T& [4 m/ D2。IceSword目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。, f- Z# s9 I" ~# R2 |
3。如果您使用过老版本，请一定注意，使用新版本前要重新启动系统，不要交替使用二者。
, K( P0 j, d" u' c# ], m8 u& g# \
1 Z& s/ c2 d' w6 K+ ]2 h图文详细介绍这款软件的使用方法：
2 K' a& }# X- l( F/ I( ^" H+ k# D
目前一些流氓软件采取的恶劣手段无所不用其极，主要是：线程注入、进程隐藏、文件隐藏、驱动保护等等。普通用户想把文件予以删除或者找出进程，是非常困难的。有的是看到了，删不掉，杀不掉，干着急，实在不行，还需要重做系统去删除文件。比如采取驱动保护的流氓软件如CNNIC、雅虎助手之类，.sys驱动加载的时候，过滤了文件和注册表，直接返回一个true,Windows提示文件删了，但一看，它还在那里。象一些文件删除工具如unclocker都无效。IceSword是目前所知唯一可以直接删除这类已经加载的驱动和采取注册表保护的工具。象清除CNNIC这类流氓软件，不需要重启也可以完成了。
( H+ o  @% _, e8 m
/ d# N. g" Q: V( i5 I查看进程* C) Y& N) T5 b, [3 y

" Q- W$ h/ G- F" _' u/ L2 R包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息，结束线程等。3 H7 Y8 ~, n: l7 j9 ~! k( {* ~5 v

+ ?! z: U4 w4 ~9 Z) q
' e, D- n( K( U6 A( n, }) P; z  d! w; N3 P# F: P, r& `) R5 o
线程创建和线程终止监视" c; k: K$ B5 e4 t
# F3 [) z, E0 k; T5 d3 ]
“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个就被记录下来，你可以查到是哪个进程做的事，因而可以发现木马或病毒进程并结束之。再如：一个木马或病毒采用多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用到“设置”菜单项：在设置对话框中选中“禁止进线程创建”，此时系统不能创建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了。  ]" j6 Y( A8 D& f

6 Y3 o1 E/ u( J' g2 }0 m* o! O0 _" O; X" S( f8 e" V; |: i( c
7 l. R+ b. W5 b( o4 \* E, a2 j  E

( q- l. v1 V4 z
! S, e- i5 i1 P- f9 T- Z
' M3 s( t2 H1 J, E. u
0 Y9 a" s' L) w9 k8 v% W! B文件操作
0 G- I2 t- b6 C$ k
& q+ A8 ?9 f! @1 C  r) ]% DIceSword的文件操作有点类似于资源管理器，虽然操作起来没有那么方便，但是它的独到功能在于具备反隐藏、反保护的功能。比如system32\config\SAM等文件是不能拷贝也不能打开的，但IceSword是可以直接拷贝的。类似于已经加载的驱动，如CNNIC的cdnport.sys这个文件，目前只有IceSword可以直接删除，其它无论什么方式，都无法破除驱动自身保护，即使unlocker，CopyLock、KillBox都是无效的。利用Windows系统还没有完全加载的删除机制，通过在HKLM\SYSTEM\CurrentControlSet\Control\SessionManager下增加PendingFileRenameOperations，这个是所有删除顽固文件工具的最后一招，但它也被驱动保护变得无效了。以前的处理方式是需要重启到另外一个系统下删除。
4 Z# s" p  y2 y7 U' `! k( D7 ~/ U6 K5 T6 i" T0 \
8 U# U. d4 d* U$ B& w
+ V: J1 ]9 `1 ?0 u) w' \
注册表Regedit. E5 I, e# ]: N0 X  c/ O% A) P9 ]
* a& m( ], G$ K/ U
说起Regedit的不足就太多了，比如它的名称长度限制，建一个全路径名、长大于255字节的子项看看（编程或用其他工具，比如regedt32），此项和位于它后面的子键在regedit中显示不出来，再如有意用程序建立的有特殊字符的子键regedit根本打不开。; E7 [3 q! d; f! F1 m, Z4 o) W% R
IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的，它不受目前任何注册表隐藏手法的蒙蔽，真正可靠的让你看到注册表实际内容。 $ ^2 Z1 \' ^: v( t* V
如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport这个键值，就是通过它来加载cndport.sys这个驱动文件的。通过Regedit你删除会直接出错，根本无法删除。而用IceSword就可以轻易干掉。: e0 b4 M! v6 }+ W6 O
/ v& t" {& E+ Y) v' @  j# t
' P  h1 ~, e6 x& N% r

( u' X; T6 H. s. k% S8 v( I
; w' A. p, h" J. k3 f, g/ ]- c' H5 }5 q' [3 l) N
3 Z' _% D5 P. l' O% m. Z3 F

2 B0 z9 q5 Y# P  u+ J8 ?: @; f
4 s* P& }1 i  W' |4 |( l
/ |* @' Y& J& W( ?2 S2 T( F$ g. J# y9 B0 `* n" F5 k
另外Icesword还有查看端口、查看服务、SPI、BHO、SSDT消息钩子等功能就不做介绍啦，自己发现。　　
4 X2 g5 ~. i: j- J( C* d) yIceSword的自身保护做的非常好，它显示在系统任务栏或软件标题栏的都只是一串随机字串，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同（随机五位/六位字串），这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外还可以改软件名字，进程名也会相应改变，这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行，只能在IceSword的面前乖乖就范了。AV终结者是最好的例子。4 u' m1 T0 A; D, Q  M/ o
- F1 J0 y4 D" E. O

8 U. I" \) v# `# G6 r
0 P" ^$ Z+ v; w# f) R) v/ JMD5：0f6ebc9da1276baf45db9e5f2460284b
  ^7 m( H6 _( R5 p( w- c+ a1 N; d) B, w: a- m" }  y
[ 本帖最后由 酷酷 于 2008-7-17 17:38 编辑 ]

这个的确很强大

看上去好复杂。