冰刃IceSword v1.45 绿色汉化版(支持win7、win10) 免费版

冰剑绿版是一款安全系数非常高的电脑木马查杀工具。我们可以通过IceSword对电脑系统进行全面扫描，然后你就可以快速找到隐藏在电脑中的木马文件和程序。而这个软件可以有效的删除这些木马，从而保证你系统的安全。

软件介绍

冰刃冰剑斩断黑手之剑，内部功能非常强大。用于检测和处理系统中木马的幕后后门。但是系统级后门的功能越来越强，一般很容易隐藏进程、端口、注册表、文件的信息，而常用的工具根本找不到这些“幕后”。IceSword采用了很多新颖的内核技术，使得这些后门无处不在。

冰剑绿色版软件功能

1.进程栏中的模块搜索(查找模块)

2.注册表列中的搜索功能(查找，查找下一个)

3.文件列中的搜索功能包括列举广告(包括或不包括子目录)和查找文件。

4.删除BHO列，恢复SSDT列。

5.高级扫描:第三步中的扫描模块是为一些高级用户提供的。一般用户不要随便恢复，尤其是显示为“-”的第一项，因为要么是操作系统自己修改，要么是IceSword修改，恢复后会导致系统崩溃或者IceSword无法正常工作。最早的IceSword会自己恢复一些内核可执行文件和文件系统的恶意内联钩子，但是并没有提示用户，我觉得像SVV这样的高级用户自己做分析可能会有帮助。其中的其他项目将被复制(IAT钩和内嵌修改钩)。如果你很懒，不检查，重复恢复也没多大关系。扫描时不要做其他事情，请耐心等待。

有朋友建议对找到的结果做更多的分析，判断修改后代码的含义，这当然是好的，但是为了一个完美的结果而工作很繁琐——比如我可以用一条指令跳转或者用十条甚至更多冗余指令做同样的工作——没有时间去完善它，所以只有JMP/PUSH+RET判断。给高级用户建议一个替代方案:记住修改的地址，使用进程栏“内存读写”中的“反汇编”功能，让用户先手动分析，呵呵。

6.隐藏签名项目(查看->隐藏签名项目)。在菜单中被选中后，对进程、模块枚举、驱动、服务四列有作用。请注意，选择后刷新这四列会很慢。耐心点。在运行过程中，系统相关的函数会主动与外界连接，获取一些信息(比如去crl.microsoft. com获取证书撤销列表)。一般来说是可以被防火墙封杀的，所以发现is被选中后被连接也就不足为奇了，M & # 36制造，呵呵。

7.其他的是加强内部核心功能。零零碎碎的还挺多，就不细说了。使用时请观察视图->初始化状态。如果有“OK”的解释，请举报。

冰剑绿色版的软件特点

1.过程模块

①隐藏进程搜索

可以列出系统中被怀疑隐藏的进程。

②线程分析

对这个过程中的线程做一些简单的分析(以后逐步扩展)，帮助识别远程线程或者木马dll建立的线程。

③处理内存转储

只有Dump指定了文件的内存，该函数将在以后添加。

④流程模块搜索

找到模块。

2.文件搜索

选择目录后，输入正则表达式来搜索指定的文件。尤其是，“%”是一个特殊的表达式，IsHelp使用它来搜索隐藏文件(包括用户没有权限列出的文件)。

3.存储扫描

基本上就是一个空架子，因为签名数据库还没设计好。现在内置了一些版本的黑客之门的签名(应用户要求)，用于“专项侦查”。当然，隐藏的东西也会被扫描，比如黑客守护者，隐藏的灰鸽子。

4.注册表服务密钥

作为主程序服务栏的补充，在最早的主程序设计中，因为已经有了反隐藏的注册表栏，并且将一些相应的功能导出到了附属程序中，所以服务栏不需要从注册表中反隐藏(我个人的看法是，如果修改了服务管理器的数据库，木马失去了服务应有的特性，看起来就不是服务了，是一种特殊的自启动方式)。

冰剑绿色版的用法

冰刃的软件第一次必须在管理员账号下运行。当一台电脑有多个用户时，如果管理员用户运行Ice Blade，最好重启后再交给低权限用户使用电脑，否则低权限用户可以启动Ice Blade的软件。

刀片菜单分为视图、注册表和文件(图1)。

该视图被分成许多小部分。这里我只介绍常用的函数，包括流程(图2)。

内核信息(图3)

启动组(图4)

服务(图5)

在注册表内部(图6)是一个注册表编辑器，它易于使用，并且具有管理员查看、修改和删除注册表项的权限。

文件(图7)是浏览计算机所有文件的地方。它可以看到任何隐藏的文件，处理无法删除的文件，或者通过强制删除等特殊方法删除。下面将详细描述具体的方法。

世界上有一些使用方法，但不具体。下面我将带你一步一步的用冰刃实现一些固定的操作。我介绍的方法都是从简单到难，有些你可能不懂。没关系，慢慢学，一起进步。

冰剑绿色版常见问题

问:进程端口工具有很多，为什么要用IceSword？

答:1。所谓的流程工具，大部分都是用Windows的Toolhlp32或者psapi或者ZwQuerySystemInformation系统调用编写的(前两者最终也是用这个调用)。任何ApiHook都可以轻松干掉它们，更不用说一些内核级的后门了；很少有工具使用内核线程调度结构来查询进程。这种方案需要硬编码。不仅不同版本的系统不一样，打补丁时可能还需要升级程序，也有人提出了防止这种搜索的方法。IceSword的进程搜索内核方案独一无二，充分考虑内核后门可能的隐藏手段，可以发现所有隐藏的进程。

2.大多数工具通过Toolhlp32和psapi找到进程路径名。前者会调用RtlDebug***函数将远程线程注入目标，后者会使用调试api读取目标进程内存，本质上是PEB的枚举。通过修改PEB，这些工具很容易找到北方。IceSword的核心状态方案会精确显示整个路径，运行时切到其他路径时也会显示。

3.对于进程dll模块和2也是如此。其他使用PEB的工具会很容易被骗，但是IceSword不会出错(不支持的系统很少，这个时候还在用枚举PEB)。

4.冰剑的过程杀强大便捷(当然也危险)。你可以很容易地杀死几个任意选择在一起的进程。当然，如果你说是任意的，不准确的，除了三个:空闲进程，系统进程，csrss进程，原因就不细说了。其他进程很容易被杀死。当然，有些进程(如winlogon)被杀死，然后系统崩溃。

5.网上有很多端口工具，但是也有很多隐藏端口的方法，而那些方法对于冰剑来说是完全行不通的。其实我是想带个防火墙来动态搜索的，但又不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口，除了第三方协议栈或者IPv6协议栈。

问:windows附带了强大而方便的服务工具。IceSowrd有哪些比较好的功能？

回答:因为懒，界面没那么好，但是IceSword的服务功能主要是查木马服务，用起来很方便。比如，顺便说一下一类木马的搜索:svchost是一些共享进程服务的宿主，有些木马是以dll的形式存在的，依靠svchost来运行。我们怎样才能找到他们？先看进程一栏，发现svchost太多了。记住他们的身份证。当你去服务栏时，你可以找到与pid相对应的服务项目。在注册表中检查其dll文件路径(从服务项目第一列中列出的名称到注册表中具有相应名称的子项)。根据是否是平时服务项目，很容易发现异常项目。剩下的工作就是停止任务或者结束进程，删除文件，恢复注册表等等。当然在过程中是必须的。

问:那么什么样的木马后门会隐藏进程注册表文件呢？用冰剑怎么找？

答:比如现在流行的开源(容易变异)的hxdef就是这样一个后门。可以用冰剑轻松清除。在进程栏中可以直接看到红色显示的hxdef100进程，在服务栏中也可以看到红色显示的服务项目。顺便说一下，你可以在注册表和文件栏中找到它们。如果木马是反向连接，你也可以在端口栏看到它们。要查杀它，先从进程栏获取后门程序的完整路径，结束进程，删除后门目录，删除注册表中的服务对应项...这里只是简单说说，请自学如何有效使用冰剑。

问:什么是“内核模块”？

答:载入系统和空间的PE模块主要是驱动*.sys，一般在核心状态下作为核心驱动存在。比如某种rootkit加载_root_.sys，前面提到的hxdef也加载hxdefdrv.sys，你可以在本专栏看到。

问:什么是“SPI”和“BHO”？

回答:SPI一栏列出了系统中的网络服务提供商，因为它可能被用作无类木马。注意“DLL路径”。一个正常系统只有两个不同的dll(当然协议更多)。BHO是IE的插件，全称是浏览器帮助对象。如果木马以这种形式存在，用户打开网页就会激活木马。

问:“SSDT”有什么用？

答:内核级后门可能会修改这个服务表，拦截你系统的服务函数调用，尤其是一些老的rootkit，比如上面提到的ntrootkit，它可以通过这个钩子隐藏注册表和文件。修改后的值显示为红色，当然有些安全程序也会被修改，比如regmon，所以看到红色不要慌。

问:“消息钩子”和木马有什么关系？

答:如果使用SetWindowsHookEx在dll中设置了全局钩子，系统会使用user32将其加载到进程中，因此也可以作为无进程木马的进程注入手段。

问:最后两个监测项目有什么用？

答:“监控线程创建”记录IceSword运行过程中线程创建的调用在循环缓冲区中，“监控进程终止”记录一个进程被其他进程终止的情况。说明性功能:当木马或病毒进程运行时，检查是否有诺顿的进程之类的杀毒程序，有则查杀。如果IceSword在运行，这个操作会被记录下来，你可以找出是哪个进程做的，这样你就可以找到木马或者病毒进程并结束它。再比如:一个木马或病毒采用多线程防护技术。你发现一个不正常的过程，它结束了，然后又起来。你可以用IceSword找出是哪个线程再次创建了这个进程，并把它们全部杀死。你可以中途使用“设置”菜单项:在设置对话框中选择“不创建线程”。此时，系统无法创建进程或线程。您可以安全地杀死可疑线程，然后取消禁止。

问:IceSword的注册表项有什么特点？相对来说，RegEdit有什么不足吗？

答:Regedit的缺点太多了，比如它的名字长度限制。构建一个完整路径名大于255字节的子项，看一看(编程或者使用其他工具，比如regedt32)。此项及其后面的子项无法在regedit中显示；另一个例子是，程序故意创建的带有特殊字符的注册表子项根本无法打开。

当然，在IceSword中加入注册表编辑并不是为了解决上述问题，因为已经有很多好的工具可以替代Regedit。IceSword中的“registry”键就是为了寻找木马后门隐藏的注册表键而编写的。它不被任何注册表隐藏方法所蒙蔽，并且真实可靠地允许您看到注册表的实际内容。

问:那么文件项的特征是什么？

答:同样，它具有防隐藏和防保护的功能。当然也有一些副作用。文件保护工具(除了删除文件和加密文件)在它面前是无效的。如果你的机器是与人共享的，那么你不想让别人看到的文件就应该加密。之前的文件保护(防读或隐藏)没用。对安全性也有副作用。本来system32\config\SAM这样的文件是无法复制或者打开的，但是IceSword可以直接复制。但是只有管理员可以运行冰剑。最后一个技巧:通过复制重写文件。如果您想更改非共享打开的文件或正在运行的程序文件(如木马)的内容(例如，您想将垃圾数据写入木马文件，使其重启后无法运行)，那么请选择一个文件(包含您要修改的内容)，选择“复制”菜单，在目标文件栏中添加您要修改的文件(木马)的路径名，然后将前者的内容写入后者(确认后)

最后提醒一句:每次开启IceSword，它只在第一次运行时确认管理员的权限。因此，管理员运行程序后，如果要将机器交付给低权限用户，应先重启机器，否则可能会被低权限用户使用。

问:GDT/IDT的转储文件中有什么？

答:GDT.log包含系统全局描述符表的内容，而IDT.log包含中断描述符表的内容。如果后门程序对其进行修改，建立调用门或中断门，很容易被发现。

问:转储列表是什么意思？

答:当前列表中显示的部分内容会存储在指定的文件中，比如将系统中的所有进程转储，放到网上求助诊断。但是，没有太大意义。在IceSword写出来之前，假设用户有一定的安全知识，可能不需要这样的功能。

问:文件菜单中的“重启并监控”有什么用，如何使用？

回答:IceSword的设计是尽量不在系统上留下安装痕迹，但是不方便监控启动时自己启动的程序。比如一个程序运行后，注入到explorer等进程的远程线程中，然后自己结束，这样就不方便检查进程了，因为只有线程存在。这时可以使用“重启并监控”来监控系统启动时所有进入线程的创建情况，可以很容易的发现远程线程的注入。

问:“创建进程规则”和“创建线程规则”是什么意思？

答:它们用于在创建线程时设置规则。需要注意的是:通用规则是指是否允许或禁止满足本规则所有条款的线程创建事件；一个规则中术语之间的关系是“与”，即规则只有同时满足时才匹配；“规则号”从零开始，假设当前有N个规则。添加规则时，输入零规则号表示插入到队列头，输入n规则号表示插入到队列尾；如果前面的规则已经匹配，后面的所有规则都将被忽略，系统将直接允许或禁止该创建操作。

问:外挂有什么用？

答:不需要升级程序，方便扩展功能。未来可能会开放部分界面供用户定制。1.06正式版因为用户反馈不是很有用，暂时取消了。

问:附件有什么用？

答:插件的替代品。时间有限，就不多测试了。如果觉得不安全，可以在“设置”菜单中禁用。请参见特定的头文件和示例程序。IsHelp是一个提供辅助功能的小玩具配件。需要注意的是，widget的运行需要IceSword的支持(IceSword通过进程间通信提供服务)。