冰刃icesword官网版是一款强悍的木马杀毒软件。该软件目前只适合用在32位的x86兼容CPU的系统中，64位的电脑用户敬请期待哦。另外，软件是免费的，您可以放心使用它清除电脑里的木马。

冰刃icesword官网版主要特性

冰刃IceSword适用于Windows 2000/XP/2003 操作系统，其内部功能是十分强大， 用于查探系统中的幕后黑手-木马后门，并作出处理。

可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强， 一般都可轻而易举地隐藏进程、端口、注册表、文件信息， 一般的工具根本无法发现这些 “幕后黑手“ 。IceSword 使用了大量新颖的内核技术， 使得这些后门躲无所躲。

IceSword只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。如果您使用过老版本，请一定注意，使用新版本前要重新启动系统，不要交替使用二者。

IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手“。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。

如何退出IceSword：直接关闭，若你要防止进程被结束时，需要以命令行形式输入：IceSword.exe/c，此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。

如果最小化到托盘时托盘图标又消失了：此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标，将就用吧。

您无须为此软件付费。该软件是免费的。

冰刃icesword官网版最新功能

1、进程栏里的模块搜索(Find Modules)

2、注册表栏里的搜索功能(Find、Find Next)

3、文件栏里的搜索功能，分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files)上面是要求最多的，确实对查找恶意软件有帮助

4、BHO栏的删除、SSDT栏的恢复(Restore)

5、Advanced Scan：第三步的Scan Module提供给一些高级用户使用，一般用户不要随便restore，特别不要restore第一项显示为“-----“的条目，因为它们或是操作系统自己修改项、或是IceSword修改项，restore后会使系统崩溃或是IceSword不能正常工作。最早的IceSword也会自行restore一些内核执行体、文件系统的恶意inline hook，不过并未提示用户，觉得像SVV那样让高级用户自行分析可能会有帮助。另外里面的一些项会有重复(IAT hook与Inline modified hook)，偷懒不检查了，重复restore并没有太大关系。还有扫描时不要做其它事，请耐心等待。

有朋友建议应该对找到的结果多做一些分析，判断出修改后代码的意义，这当然不错，不过要完美的结果工作很烦琐--比如我可以用一条指令跳转，也可以用十条或更多冗余指令做同样的工作--没有时间完善，所以只有JMP/PUSH+RET的判断。提议下对高级用户可选的替代方案：记住修改的地址，使用进程栏里的“内存读写“中的“反汇编“功能，就先请用户人工分析一下吧，呵呵。

6、隐藏签名项(View->Hide Signed Items)。在菜单中选中后对进程、模块列举、驱动、服务四栏有作用。要注意选中后刷新那四栏会很慢，要耐心等。运行过程中系统相关函数会主动连接外界以获取一些信息(比如去crl.microsoft. com获取证书吊销列表)，一般来说，可以用防火墙禁之，所以选中后发现IS有连接也不必奇怪，M$搞的，呵呵。

7、其他就是内部核心功能的加强了，零零碎碎有挺多，就不细说了。使用时请观察下View->Init State，有不是“OK“的说明初始化未完成，请report一下。

更新日志

1.20：(1)恢复了插件功能，并提供一个文件注册表的小插件，详见FileReg.chm;(2)对核心部分作了些许改动，界面部分仅文件菜单有一点变化。

1.20(SubVer 111E3)：添加对32位版本Vista(NtBuildNumber：6000)的支持。

1.22：(1)增加普通文件、ADS、注册表、模块的搜索功能;(2)隐藏签名项;(3)添加模块的HOOK扫描;(4)核心功能的加强。

冰刃icesword官网版主要优势

1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)来编写，随便一个ApiHook就可轻轻松松干掉它们，更不用说一些内核级后门了;极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，不仅不同版本系统不同，打个补丁也可能需要升级程序，并且有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是独一无二的，并且充分考虑内核后门可能的隐藏手段，可以查出所有隐藏进程。

2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi，前者会调用RtlDebug***函数向目标注入远线程，后者会用调试api读取目标进程内存，本质上都是对PEB的枚举，通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示，运行时剪切到其他路径也会随之显示。

3、进程dll模块与2的情况也是一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错(有极少数系统不支持，此时仍采用枚举PEB)。

4、IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然，说任意不确切，除去三个：idle进程、System进程、csrss进程，原因就不详述了。其余进程可轻易杀死，当然有些进程(如winlogon)杀掉后系统就崩溃了。

5、对于端口工具，网上的确有很多，不过网上隐藏端口的方法也很多，那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找，不过不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口，第三方协议栈或IPv6栈不在此列。

常见问题

1、问：插件有何用处？
答：可以方便地扩充功能而不升级程序，以后可能开放一些接口给用户自己定制。1.06正式版暂时取消了，因为用户反馈并不是很有用。

2、问：协件有何用处？
答：插件的取代品。时间有限，没有怎么测试，若觉得不安全，可以在“设置“菜单禁用之。具体见头文件和示例程序。IsHelp是个小玩具型的协件，提供辅助功能。需要注意的是，协件的运行需要IceSword的支持(IceSword通过进程间通信提供服务)。

3、问：windows自带的服务工具强大且方便，IceSowrd有什么更好的特点呢？
答：因为比较懒，界面使用上的确没它来的好，不过IceSword的服务功能主要是查看木马服务的，使用还是很方便的。举个例子，顺便谈一类木马的查找：svchost是一些共享进程服务的宿主，有些木马就以dll存在，依靠svchost运作，如何找出它们呢？首先看进程一栏，发现svchost过多，记住它们的pid，到服务一栏，就可找到pid对应的服务项，配合注册表查看它的dll文件路径(由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键)，根据它是不是惯常的服务项很容易发现异常项，剩下的工作就是停止任务或结束进程、删除文件、恢复注册表之类的了，当然过程中需要你对服务有一般的知识。

4、问：那么什么样的木马后门才会隐藏进程注册表文件的？用IceSword又如何查找呢？
答：比如很流行且开源(容易出变种)的hxdef就是这么一个后门。用IceSword可以方便清除，你直接就可在进程栏看到红色显示的hxdef100进程，同时也可以在服务栏中看到红色显示的服务项，顺便一说，在注册表和文件栏里你都可发现它们，若木马正在反向连接，你在端口栏也可看到。杀除它么，首先由进程栏得后门程序全路径，结束进程，将后门目录删除，删除注册表中的服务对应项...这里只是简单说说，请你自行学习如何有效利用IceSword吧。

5、问：“内核模块“是什么？
答：加载到系统内和空间的PE模块，主要是驱动程序*.sys，一般核心态后们作为核心驱动存在，比如说某种rootkit加载_root_.sys，前面提到的hxdef也加载了hxdefdrv.sys，你可以在此栏中看到。

6、问：“SPI“与“BHO“又是什么？
答：SPI栏列举出系统中的网络服务提供者，因为它有可能被用来做无进程木马，注意“DLL路径“，正常系统只有两个不同DLL(当然协议比较多)。BHO是IE的插件，全名Browser Help Objects，木马以这种形式存在的话，用户打开网页即会激活木马。

7、问：“SSDT“有何用？
答：内核级后门有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示，当然有些安全程序也会修改，比如regmon，所以不要见到红色就慌张。

8、问：“消息钩子“与木马有什么关系？
答：若在dll中使用SetWindowsHookEx设置一全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。

9、问：GDT/IDT的转储文件里有什么内容？
答：GDT.log内保存有系统全局描述符表的内容，IDT.log则包含中断描述符表的内容。如果有后门程序修改它，建立了调用门或中断门，很容易被发现。

10、问：转储列表是什么意思？
答：即将显示在当前列表视中的部分内容存入指定文件，比如转储系统内所有进程，放入网上请人帮忙诊断。不过意义不大，IceSword编写前已假定使用者有一定安全知识，可能不需要这类功能。

11、问：文件菜单中“重启并监视“有何用处，如何使用？
答：因为IceSword设计为尽量不在系统上留下什么安装痕迹，不过这就不方便监视开机就自启的程序。比如，一个程序运行后向explorer等进程远线程注入，再结束自身，这样查进程就不大方便了，因为仅有线程存在。这时，就可以使用“重启并监视“监视系统启动时的所有进线程创建，可轻易发现远线程注入。

12、问：“创建进程规则“和“创建线程规则“是什么意思？
答：它们用来设定创建进线程时的规则。其中要注意的是：总规则是指允许还是禁止满足该条规则所有条款的进线程创建事件;一条规则中的条款间的关系是与关系，即同时满足才算匹配这条规则;“规则号“是从零开始的，假设当前有n条规则，添加规则时输入零规则号即代表在队头插入，输入n规则号则在队尾插入;如果前面一条规则已经匹配，那么所有后面的规则就忽略掉了，系统直接允许或禁止这次创建操作。

13、问：最后两个监视项有什么用处？
答：“监视进线程创建“将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止“记录一个进程被其它进程Terminate的情况。举例说明作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个操作就被记录下来，你可以查到是哪个进程做的事，因而可以发现木马或病毒进程并结束之。再如：一个木马或病毒采用多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用到“设置“菜单项：在设置对话框中选中“禁止进线程创建“，此时系统不能创建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了。

14、问：IceSword的注册表项有什么特点？相对来说，RegEdit有什么不足吗？
答：说起Regedit的不足就太多了，比如它的名称长度限制，建一个全路径名长大于255字节的子项看看(编程或用其他工具，比如regedt32)，此项和位于它后面的子键在regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本打不开。
当然IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表“项是为了查找被木马后门隐藏的注册项而写的，它不受任何注册表隐藏手法的蒙蔽，真正可靠的让你看到注册表实际内容。

15、问：那么文件项又有什么特点呢？
答：同样，具备反隐藏、反保护的功能。当然就有一些副作用，文件保护工具(移走文件和文件加密类除外)在它面前就无效，如果你的机器与人共用，那么不希望别人看到的文件就采用加密处理吧，以前的文件保护(防读或隐藏)是没有用的。还有对安全的副作用是本来system32\config\SAM等文件是不能拷贝也不能打开的，但IceSword是可以直接拷贝的。不过只有管理员能运行IceSword。最后说一个小技巧：用复制来改写文件。对一个被非共享打开的文件、或一个正运行的程序文件(比如木马)，你想改掉它的内容(比如想向木马程序文件写入垃圾数据使它重启后无法运行)，那么请选中一个文件(内含你想修改的内容)，选“复制“菜单，将目标文件栏中添上你欲修改掉的文件(木马)路径名，确定后前者的内容就写入后者(木马)从头开始的位置。
最后提醒一句：每次开机IceSword只第一次运行确认管理员权限，所以管理员运行程序后，如果要交付机器给低权限用户使用，应该先重启机器，否则可能为低权限用户利用。