冰刃(IceSword)這款工具是早期非常有用的木馬查殺工具，當然現在對很多木馬依然有效，它可以快速識別你系統中的木馬及后門，基本上不太需要安全知識，冰刃使用了大量新穎的內核技術, 隱藏進程、端口、注冊表、文件信息,，可以掃描使得這些后門躲無所躲. 當然使用它需要用戶有一些操作系統的知識。在對軟件做講解之前, 首先說明第一注意事項: 此程序運行時不要激活內核調試器(如softice), 否則系統可能即刻崩潰. 另外使用前請保存好您的數據,



 

冰刃IceSword軟件功能

1、進程欄里的模塊搜索(Find Modules)
2、注冊表欄里的搜索功能(Find、Find Next)
3、文件欄里的搜索功能，分別是ADS的枚舉（包括或不包括子目錄）、普通文件查找（Find Files)
上面是要求最多的，確實對查找惡意軟件有幫助
4、BHO欄的刪除、SSDT欄的恢復(Restore)
5、Advanced Scan：第三步的Scan Module提供給一些高級用戶使用，一般用戶不要隨便restore，特別不要restore第一項顯示為"-----"的條目，因為它們或是操作系統自己修改項、或是IceSword修改項，restore后會使系統崩潰或是IceSword不能正常工作。最早的IceSword也會自行restore一些內核執行體、文件系統的惡意inline hook，不過并未提示用戶，覺得像SVV那樣讓高級用戶自行分析可能會有幫助。另外里面的一些項會有重復（IAT hook與Inline modified hook），偷懶不檢查了，重復restore并沒有太大關系。還有掃描時不要做其它事，請耐心等待。
有朋友建議應該對找到的結果多做一些分析，判斷出修改后代碼的意義，這當然不錯，不過要完美的結果工作很煩瑣——比如我可以用一條指令跳轉，也可以用十條或更多冗余指令做同樣的工作——沒有時間完善，所以只有JMP/PUSH+RET的判斷。提議下對高級用戶可選的替代方案：記住修改的地址，使用進程欄里的“內存讀寫”中的“反匯編”功能，就先請用戶人工分析一下吧，呵呵。
6、隱藏簽名項（View->Hide Signed Items）。在菜單中選中后對進程、模塊列舉、驅動、服務四欄有作用。要注意選中后刷新那四欄會很慢，要耐心等。運行過程中系統相關函數會主動連接外界以獲取一些信息（比如去crl.microsoft. com獲取證書吊銷列表），一般來說，可以用防火墻禁之，所以選中后發現IS有連接也不必奇怪，M$搞的，呵呵。
7、其他就是內部核心功能的加強了，零零碎碎有挺多，就不細說了。使用時請觀察下View->Init State，有不是“OK”的說明初始化未完成，請report一下。
IceSword是一斬斷黑手的利刃（所以取這土名，有點搞呃，呵呵）。它適用于Windows 2000/XP/2003/Vista操作系統，用于查探系統中的幕后黑手（木馬后門）并作出處理，當然使用它需要用戶有一些操作系統的知識。
在對軟件做講解之前，首先說明第一注意事項 ：此程序運行時不要激活內核調試器（如softice），否則系統可能即刻崩潰。另外使用前請保存好您的數據，以防萬一未知的Bug帶來損失。
IceSword只為使用32位的x86兼容CPU的系統設計，另外運行IceSword需要管理員權限。
如果您使用過老版本，請一定注意，使用新版本前要重新啟動系統，不要交替使用二者。
IceSword內部功能是十分強大的?？赡苣灿眠^很多類似功能的軟件，比如一些進程工具、端口工具，但是系統級后門功能越來越強，一般都可輕而易舉地隱藏進程、端口、注冊表、文件信息，一般的工具根本無法發現這些“幕后黑手”。IceSword使用大量新穎的內核技術，使得這些后門躲無所躲。
如何退出IceSword：直接關閉，若你要防止進程被結束時，需要以命令行形式輸入：IceSword.exe/c，此時需要Ctrl+Alt+D才能關閉（使用三鍵前先按一下任意鍵）。
如果最小化到托盤時托盤圖標又消失了：此時可以使用Ctrl+Alt+S將IceSword主界面喚出。因為偷懶沒有重繪圖標，將就用吧。
此外，您無須為此軟件付費，該軟件是免費的。

 

冰刃IceSword使用方法

　　第一步：使用冰刃IceSword，點“文件”，“設置”，選中“禁止進線程創建、禁止協議功能”。

　　第二步：打開“進程”找到不正常的進程項目，鼠標右鍵點擊選中“模塊信息”打開察看加載的.dll模塊情況！

　　第三步：找到病毒模塊.dll文件，點“卸載”或“強制解除”！（一般情況主流殺軟提供了病毒模塊的名字）

　　第四步：點“進程”找到病毒文件進程，點鼠標右鍵點“結束進程”此時病毒進程就徹底結束了。（但是如果是系統關鍵進程不要操作這一步，不然系統會重啟）

　　第五步：再點“文件”，“設置”，取消“禁止進線程創建、禁止協議功能”不然其他程序無法運行！

　　第六步：點左下角“文件”，逐步按病毒路徑查找到病毒文件點鼠標右鍵點“刪除”。

　　第七步：在刪除病毒文件后，在原處建立一個同名帶擴展名的文件夾，因為電腦的任何操作系統都不允許同名的文件和文件夾存在，這樣可以防止重啟后病毒文件的自我修復，為保萬無一失和防止以后的復發，通常都做一個文件夾放在那里。（可以忽略?。?/p>

　　第八步：現在處理注冊表，在開始——運行中輸入regedit按CTRL+F查找被刪除的病毒文件的名字把查到的值刪掉再按F3查；直到把所有的值都刪完！

冰刃IceSword注意事項

1、程序運行時不要激活內核調試器（如softice）, 否則系統可能即刻崩潰。
2、使用前請保存好數據, 以防萬一未知的Bug帶來損失。
3、IceSword目前只為使用32位的x86兼容CPU的系統設計。
4、運行IceSword需要管理員權限。
5、注：可以支持Win7系統，但是不支持Win10