冰刃IceSword v1.22 绿色中文版（支持Win7、Win10） 免费版

Bing IceSword是一款非常强大的查杀电脑木马的工具。能有效监控电脑中的各类木马，全方位发掘隐藏进程、端口、注册表、文件信息等，轻松查杀木马。兼容WindowsXP、2000、2003、Win7等常用操作系统。，通过简单的操作即可完成。

官方介绍

冰刃的内部功能非常强大。你可能用过很多功能类似的软件，比如一些流程工具，端口工具，但是系统级的后门功能越来越强。一般很容易隐藏进程、端口、注册表、文件的信息，普通工具根本无法发现这些“幕后黑手”。IceSword采用了很多新颖的内核技术，使得这些后门无处不在。

如何退出冰剑:直接关闭。如果你想阻止这个进程完成，你需要在命令行输入:IceSword.exe/c。这时候你需要Ctrl+Alt+D来关闭它(使用三个键之前按任意键)。

如果最小化到托盘时托盘图标消失:此时可以用Ctrl+Alt+S调出冰剑主界面。因为懒没有重画图标，我就用了。

冰刀功能介绍

1.进程栏中的模块搜索(查找模块)

2.注册表列中的搜索功能(查找，查找下一个)

3.文件列中的搜索功能包括列举广告(包括或不包括子目录)和查找文件。

以上是要求最高的，对发现恶意软件真的很有帮助。

4.删除BHO列，恢复SSDT列。

5.高级扫描:第三步中的扫描模块是为一些高级用户提供的。一般用户不要随便恢复，尤其是显示为“-”的第一项，因为要么是操作系统自己修改，要么是IceSword修改，恢复后会导致系统崩溃或者IceSword无法正常工作。最早的IceSword会自己恢复一些内核可执行文件和文件系统的恶意内联钩子，但是并没有提示用户，我觉得像SVV这样的高级用户自己做分析可能会有帮助。其中的其他项目将被复制(IAT钩和内嵌修改钩)。如果你很懒，不检查，重复恢复也没多大关系。扫描时不要做其他事情，请耐心等待。

有朋友建议对找到的结果做更多的分析，判断修改后代码的含义，这当然是好的，但是为了一个完美的结果而工作很繁琐——比如我可以用一条指令跳转或者用十条甚至更多冗余指令做同样的工作——没有时间去完善它，所以只有JMP/PUSH+RET判断。给高级用户建议一个替代方案:记住修改的地址，使用进程栏“内存读写”中的“反汇编”功能，让用户先手动分析，呵呵。

6.隐藏签名项目(查看->隐藏签名项目)。在菜单中被选中后，对进程、模块枚举、驱动、服务四列有作用。请注意，选择后刷新这四列会很慢。耐心点。在运行过程中，系统相关的函数会主动与外界连接，获取一些信息(比如去crl.microsoft. com获取证书撤销列表)。一般来说是可以被防火墙封杀的，所以发现is被选中后被连接也就不足为奇了，M & # 36制造，呵呵。

7.其他的是加强内部核心功能。零零碎碎的还挺多，就不细说了。使用时请观察视图->初始化状态。如果有“OK”的解释，请举报。

冰刀菜单描述

设置:本栏所有含义与其名称一致。详见常见问题。

转储:“GDT/IDT”将当前目录下GDT和IDT的内容保存到GDT.txt和IDT.txt中

“List”将当前列表中的部分列内容(仅针对前五项，即进程、端口、内核模块、启动组和服务)保存在用户指定的日志文件中。例如，要将进程路径名保存到日志文件中，单击“进程”按钮，然后选择“列表”菜单，指定文件，然后确认。

托盘切换:尽量减少冰剑到托盘或反之亦然。

使用注意事项

1.程序运行时不要激活内核调试器(如softice)，否则系统可能会立即崩溃。

2.使用前请保存好数据，以防未知bug带来损失。

3.IceSword目前仅设计用于使用32位x86兼容CPU的系统。

4.运行IceSword需要管理员权限。

使用教程

首先在这个页面下载冰刃软件，解压后运行iceword冰刃。

检查流程打开iceword冰刃，找到功能，找到如图所示的【流程】。如何在右侧显示红色表示异常。

查看端口单击功能-端口，找到可以查看系统的开放端口。

从启动功能菜单中，找到启动项目。您可以在右侧查看注册表路径和启动文件路径。

服务项目点击功能项目的服务栏，可以直接查看服务器的本地服务。此外，扩展了当前启动的服务的进程ID。

注册表管理

单击注册表项，将显示regedit中的内容。

单击“文件”菜单中的“设置”来添加和删除服务进程列表。您也可以直接禁用进程创建，并锁定它。

创建线程规则，如左左截图所示。您可以添加新的线程规则。

常见问题

问:进程端口工具有很多，为什么要用IceSword？

答:

1.绝大多数所谓的流程工具都是用Windows的Toolhlp32或者psapi或者ZwQuerySystemInformation系统调用编写的(前两者最后也是用这个调用)。任何ApiHook都可以轻松干掉它们，更不用说一些内核级的后门了；很少有工具使用内核线程调度结构来查询进程。这种方案需要硬编码。不仅不同版本的系统不一样，打补丁时可能还需要升级程序，也有人提出了防止这种搜索的方法。IceSword的进程搜索内核方案独一无二，充分考虑内核后门可能的隐藏手段，可以发现所有隐藏的进程。

2.大多数工具通过Toolhlp32和psapi找到进程路径名。前者会调用RtlDebug***函数将远程线程注入目标，后者会使用调试api读取目标进程内存，本质上是PEB的枚举。通过修改PEB，这些工具很容易找到北方。IceSword的核心状态方案会精确显示整个路径，运行时切到其他路径时也会显示。

3.对于进程dll模块和2也是如此。其他使用PEB的工具会很容易被骗，但是IceSword不会出错(不支持的系统很少，这个时候还在用枚举PEB)。

4.冰剑的过程杀强大便捷(当然也危险)。你可以很容易地杀死几个任意选择在一起的进程。当然，如果你说是任意的，不准确的，除了三个:空闲进程，系统进程，csrss进程，原因就不细说了。其他进程很容易被杀死。当然，有些进程(如winlogon)被杀死，然后系统崩溃。

5.网上有很多端口工具，但是也有很多隐藏端口的方法，而那些方法对于冰剑来说是完全行不通的。其实我是想带个防火墙来动态搜索的，但又不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口，除了第三方协议栈或者IPv6协议栈。

问:windows附带了强大而方便的服务工具。IceSowrd有哪些比较好的功能？

回答:因为懒，界面没那么好，但是IceSword的服务功能主要是查木马服务，用起来很方便。比如，顺便说一下一类木马的搜索:svchost是一些共享进程服务的宿主，有些木马是以dll的形式存在的，依靠svchost来运行。我们怎样才能找到他们？先看进程一栏，发现svchost太多了。记住他们的身份证。当你去服务栏时，你可以找到与pid相对应的服务项目。在注册表中检查其dll文件路径(从服务项目第一列中列出的名称到注册表中具有相应名称的子项)。根据是否是平时服务项目，很容易发现异常项目。剩下的工作就是停止任务或者结束进程，删除文件，恢复注册表等等。当然在过程中是必须的。

问:那么什么样的木马后门会隐藏进程注册表文件呢？用冰剑怎么找？

答:比如现在流行的开源(容易变异)的hxdef就是这样一个后门。可以用冰剑轻松清除。在进程栏中可以直接看到红色显示的hxdef100进程，在服务栏中也可以看到红色显示的服务项目。顺便说一下，你可以在注册表和文件栏中找到它们。如果木马是反向连接，你也可以在端口栏看到它们。要查杀它，先从进程栏获取后门程序的完整路径，结束进程，删除后门目录，删除注册表中的服务对应项...这里只是简单说说，请自学如何有效使用冰剑。

问:什么是“内核模块”？

答:载入系统和空间的PE模块主要是驱动*.sys，一般在核心状态下作为核心驱动存在。比如某种rootkit加载_root_.sys，前面提到的hxdef也加载hxdefdrv.sys，你可以在本专栏看到。

问:什么是“SPI”和“BHO”？

回答:SPI一栏列出了系统中的网络服务提供商，因为它可能被用作无类木马。注意“DLL路径”。一个正常系统只有两个不同的dll(当然协议更多)。BHO是IE的插件，全称是浏览器帮助对象。如果木马以这种形式存在，用户打开网页就会激活木马。