冰刃IceSword v1.22 绿色版

冰刃IceSword是一斩断黑手的利刃,用于查探系统中的幕后黑手(木马后门)并作出处理,适用于Windows 2000/XP/2003/Vista操作系统，当然使用它需要用户有一些操作系统的知识。使用大量新颖的内核技术，使得这些后门躲无所躲，同时软件也是免费提供给大家使用的。

软件简介：

可能您也用过很多类似功能的软件，比如一些端口工具、进程工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、文件、注册表信息，一般的工具根本无法发现这些“幕后黑手”。软件让这些后门无所遁形。

冰刃新功能

1、进程栏里的模块搜索(Find Modules)

2、注册表栏里的搜索功能(Find、Find Next)

3、文件栏里的搜索功能，分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files) 上面是要求最多的，确实对查找恶意软件有帮助

4、BHO栏的删除、SSDT栏的恢复(Restore)

5、隐藏签名项(View->Hide Signed Items)

冰刃使用方法

一、进程查看

欲察看当前进程，请点击“进程”按钮，在右部列出的进程中，隐藏的进程会以红色醒目地标记出，以方便查找隐藏自身的系统级后门。1.16中进程栏只纳入基本功能，欲使用一些扩展的隐藏进程功能，请使用系统检查。

右键菜单：

1、刷新列表：请再次点击“进程”按钮，或点击右键，选择“刷新列表”。

2、结束进程：点击左键选中一项，或按住Ctrl键选择多项，然后使用右键菜单的“结束进程”将它们结束掉。

3、线程信息：在右键菜单中选择“线程信息”。

注意其中的“强制终止”是危险的操作 ，对一个线程只应操作一次，否则系统可能崩溃。为了尽量通用，里面注释掉了大量代码，因而是不完全的。不过可以应付一些用户的要求了：终止系统线程与在核心态死循环的线程，虽然可能仍然能看到它们的存在，那只是一些残留。

4、模块信息：在右键菜单中选择“模块信息”。

“卸除”对于系统DLL是无效的，你可以使用“强制解除”，不过强制解除系统DLL必然会使进程挂掉。强制解除后在使用PEB来查询模块的工具中仍可看到被解除的DLL，而实际上DLL已经被卸掉了。这是因为我懒得做善后处理了——修改PEB的内容。

5、内存读写：在右键菜单中选择“内存读写”。

操作时首先填入读的起始地址和长度，点击“读内存”，如果该进程内的指定地址有效，则读取并显示，您可以在编辑框中修改后点击“写内存”写入选中的进程。注意此刻的提示框会建议您选“否”即不破除COW机制，在您不十分明白COW之前，请选择“否”，否则可能写入错误的地址给系统带来错误以至崩溃。

读出内容后，可以点击“反汇编”查看反汇编值，某些木马修改函数入口来hook函数，可由反汇编值分析判断。

二、端口

此栏的功能是进程端口关联。它的前四项与netstat -an类似，后两项是打开该端口的进程。

在“进程ID”一栏中，出现0值是指该端口已关闭，处于“TIME_WAIT”状态，由于2000上使用技术XP/2003有所不同，所以前者与后二者上的显示可能些微差别。IceSword破除系统级后门的端口隐藏，只要进程使用windows系统功能打开了端口，就逃不出查找。不过注意因为偷懒，未将隐藏的端口像进程那样红色显示，所以您需要自己对照。

三、注册表

与Regedit用法类似，注意它有权限打开与修改任何子键，使用时要小心，不要误修改(比如SAM子键)。

子键的删除、子键下项的创建都是在左边子键上点击右键，在菜单中选择即可，而右边各项上点击则出现“删除所选”的菜单，删除选中的一项或多项。在右边双击一项则出现修改对话框。

使用说明

注意事项：此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃。

另外使用前请保存好您的数据，以防万一未知的Bug带来损失。

冰刃IceSword软件目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。

如果您使用过老版本，请一定注意，使用新版本前要重新启动系统，不要交替使用二者。

冰刃IceSword软件内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些”幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。

如何退出冰刃IceSword

直接关闭，若你要防止进程被结束时，需要以命令行形式输入：IceSword.exe /c，此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。

如果最小化到托盘时托盘图标又消失了：此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标，将就用吧^_^。

常见问题解答

1、进程端口工具很多，为什么要使用IceSword?

1.绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)来编写，随便一个ApiHook就可轻轻松松干掉它们，更不用说一些内核级后门了;极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，不仅不同版本系统不同，打个补丁也可能需要升级程序，并且有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是独一无二的，并且充分考虑内核后门可能的隐藏手段，可以查出所有隐藏进程。

2.绝大多数工具查找进程路径名也是通过Toolhlp32、psapi，前者会调用RtlDebug***函数向目标注入远线程，后者会用调试api读取目标进程内存，本质上都是对PEB的枚举，通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示，运行时剪切到其他路径也会随之显示。

3.进程dll模块与2的情况也是一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错(有极少数系统不支持，此时仍采用枚举PEB)。

4.IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然，说任意不确切，除去三个：idle进程、System进程、csrss进程，原因就不详述了。其余进程可轻易杀死，当然有些进程(如winlogon)杀掉后系统就崩溃了。

5.对于端口工具，网上的确有很多，不过网上隐藏端口的方法也很多，那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找，不过不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口，第三方协议栈或IPv6栈不在此列。

2、windows自带的服务工具强大且方便，IceSowrd有什么更好的特点呢?

因为比较懒，界面使用上的确没它来的好，不过IceSword的服务功能主要是查看木马服务的，使用还是很方便的。举个例子，顺便谈一类木马的查找：svchost是一些共享进程服务的宿主，有些木马就以dll存在，依靠svchost运作，如何找出它们呢?首先看进程一栏，发现svchost过多，记住它们的pid，到服务一栏，就可找到pid对应的服务项，配合注册表查看它的dll文件路径(由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键)，根据它是不是惯常的服务项很容易发现异常项，剩下的工作就是停止任务或结束进程、删除文件、恢复注册表之类的了，当然过程中需要你对服务有一般的知识。

3、那么什么样的木马后门才会隐藏进程注册表文件的?用IceSword又如何查找呢?

比如很流行且开源(容易出变种)的hxdef就是这么一个后门。用IceSword可以方便清除，你直接就可在进程栏看到红色显示的hxdef100进程，同时也可以在服务栏中看到红色显示的服务项，顺便一说，在注册表和文件栏里你都可发现它们，若木马正在反向连接，你在端口栏也可看到。杀除它么，首先由进程栏得后门程序全路径，结束进程，将后门目录删除，删除注册表中的服务对应项...这里只是简单说说，请你自行学习如何有效利用IceSword吧。

4、“内核模块”是什么?

加载到系统内和空间的PE模块，主要是驱动程序*.sys，一般核心态后们作为核心驱动存在，比如说某种rootkit加载_root_.sys，前面提到的hxdef也加载了hxdefdrv.sys，你可以在此栏中看到。

5、“SPI”与“BHO”又是什么?

SPI栏列举出系统中的网络服务提供者，因为它有可能被用来做无进程木马，注意“DLL路径”，正常系统只有两个不同DLL(当然协议比较多)。BHO是IE的插件，全名Browser Help Objects，木马以这种形式存在的话，用户打开网页即会激活木马。

6、“SSDT”有何用?

内核级后门有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示，当然有些安全程序也会修改，比如regmon，所以不要见到红色就慌张。

更新日记

1.20：(1)恢复了插件功能，并提供一个文件注册表的小插件，详见FileReg.chm;(2)对核心部分作了些许改动，界面部分仅文件菜单有一点变化。

1.20(SubVer 111E3)：添加对32位版本Vista(NtBuildNumber:6000)的支持。

1.22：(1)增加普通文件、ADS、注册表、模块的搜索功能;(2)隐藏签名项;(3)添加模块的HOOK扫描;(4)核心功能的加强。