冰刃:安全程序軟件-中文百科頻道

簡介

添加功能

1、進程欄裡的模塊搜索(Find Modules)

2、注冊表欄裡的搜索功能(Find、Find Next)

3、文件欄裡的搜索功能，分别是ADS的枚舉（包括或不包括子目錄）、普通文件查找（Find Files)

4、BHO欄的删除、SSDT欄的恢複(Restore)

5、Advanced Scan：第三步的Scan Module提供給一些高級用戶使用，一般用戶不要随便restore，特别不要restore第一項顯示為"-----"的條目，因為它們或是操作系統自己修改項、或是IceSword修改項，restore後會使系統崩潰或是IceSword不能正常工作。最早的IceSword也會自行restore一些内核執行體、文件系統的惡意inline hook，不過并未提示用戶，覺得像SVV那樣讓高級用戶自行分析可能會有幫助。另外裡面的一些項會有重複（IAT hook與Inline modified hook），偷懶不檢查了，重複restore并沒有太大關系。還有掃描時不要做其它事，請耐心等待。

6、隐藏簽名項（View->Hide Signed Items）。在菜單中選中後對進程、模塊列舉、驅動、服務四欄有作用。要注意選中後刷新那四欄會很慢，要耐心等。運行過程中系統相關函數會主動連接外界以獲取一些信息（比如去crl.microsoft. com獲取證書吊銷列表），一般來說，可以用防火牆禁之。

7、其他就是内部核心功能的加強了，零零碎碎有挺多，就不細說了。使用時請觀察下View->Init State，有不是“OK”的說明初始化未完成，請report一下。

IceSword是一斬斷黑手的利刃（所以取這土名，有點搞呃，呵呵）。它适用于Windows 2000/XP/2003/Vista操作系統，用于查探系統中的幕後黑手（木馬後門）并作出處理，當然使用它需要用戶有一些操作系統的知識。

在對軟件做講解之前，首先說明第一注意事項：此程序運行時不要激活内核調試器（如softice），否則系統可能即刻崩潰。另外使用前請保存好您的數據，以防萬一未知的Bug帶來損失。

IceSword隻為使用32位的x86兼容CPU的系統設計，另外運行IceSword需要管理員權限。

如果您使用過老版本，請一定注意，使用新版本前要重新啟動系統，不要交替使用二者。

IceSword内部功能是十分強大的。可能您也用過很多類似功能的軟件，比如一些進程工具、端口工具，但是系統級後門功能越來越強，一般都可輕而易舉地隐藏進程、端口、注冊表、文件信息，一般的工具根本無法發現這些“幕後黑手”。IceSword使用大量新穎的内核技術，使得這些後門躲無所躲。

如何退出IceSword：直接關閉，若你要防止進程被結束時，需要以命令行形式輸入：IceSword.exe/c，此時需要Ctrl+Alt+D才能關閉（使用三鍵前先按一下任意鍵）。

更新說明

1.20：（1）恢複了插件功能，并提供一個文件注冊表的小插件，詳見FileReg.chm；（2）對核心部分作了些許改動，界面部分僅文件菜單有一點變化。

1.20(SubVer 111E3）：添加對32位版本Vista(NtBuildNumber:6000）的支持。

1.22：（1）增加普通文件、ADS、注冊表、模塊的搜索功能；（2）隐藏簽名項；（3）添加模塊的HOOK掃描；（4）核心功能的加強。

進程

欲察看當前進程，請點擊“進程”按鈕，在右部列出的進程中，隐藏的進程會以紅色醒目地标記出，以方便查找隐藏自身的系統級後門。1.16中進程欄隻納入基本功能，欲使用一些擴展的隐藏進程功能，請使用系統檢查。

右鍵菜單：

1、刷新列表：請再次點擊“進程”按鈕，或點擊右鍵，選擇“刷新列表”。

2、結束進程：點擊左鍵選中一項，或按住Ctrl鍵選擇多項，然後使用右鍵菜單的“結束進程”将它們結束掉。

3、線程信息：在右鍵菜單中選擇“線程信息”。

注意其中的“強制終止”是危險的操作，對一個線程隻應操作一次，否則系統可能崩潰。為了盡量通用，裡面注釋掉了大量代碼，因而是不完全的。不過可以應付一些用戶的要求了：終止系統線程與在核心态死循環的線程，雖然可能仍然能看到它們的存在，那隻是一些殘留。

4、模塊信息：在右鍵菜單中選擇“模塊信息”。

“卸除”對于系統DLL是無效的，你可以使用“強制解除”，不過強制解除系統DLL必然會使進程挂掉。強制解除後在使用PEB來查詢模塊的工具中仍可看到被解除的DLL，而實際上DLL已經被卸掉了。這是因為我懶得做善後處理了——修改PEB的内容。

5、内存讀寫：在右鍵菜單中選擇“内存讀寫”。

操作時首先填入讀的起始地址和長度，點擊“讀内存”，如果該進程内的指定地址有效，則讀取并顯示，您可以在編輯框中修改後點擊“寫内存”寫入選中的進程。注意此刻的提示框會建議您選“否”即不破除COW機制，在您不十分明白COW之前，請選擇“否”，否則可能寫入錯誤的地址給系統帶來錯誤以至崩潰。

讀出内容後，可以點擊“反彙編”查看反彙編值，某些木馬修改函數入口來hook函數，可由反彙編值分析判斷。

端口

此欄的功能是進程端口關聯。它的前四項與netstat -an類似，後兩項是打開該端口的進程。

在“進程ID”一欄中，出現0值是指該端口已關閉，處于“TIME_WAIT”狀态，由于2000上使用技術XP/2003有所不同，所以前者與後二者上的顯示可能些微差别。IceSword破除系統級後門的端口隐藏，隻要進程使用windows系統功能打開了端口，就逃不出查找。不過注意因為偷懶，未将隐藏的端口像進程那樣紅色顯示，所以您需要自己對照。

注冊表

與Regedit用法類似，注意它有權限打開與修改任何子鍵，使用時要小心，不要誤修改（比如SAM子鍵）。

子鍵的删除、子鍵下項的創建都是在左邊子鍵上點擊右鍵，在菜單中選擇即可，而右邊各項上點擊則出現“删除所選”的菜單，删除選中的一項或多項。在右邊雙擊一項則出現修改對話框。

文件

文件操作與資源管理器類似，但隻提供文件删除、複制的功能。其特點還是防止文件隐藏，同時可以修改已打開文件（通過複制功能，将複制的目标文件指定為那個已打開文件即可）。

菜單

設置：此欄中各項意義與其名稱一緻，具體可見FAQ。

轉儲：“GDT/IDT”在當前目錄保存GDT和IDT的内容入GDT.txt、IDT.txt；

“列表”将當前List（僅對前5項，即：進程、端口、内核模塊、啟動組、服務）中的某些列内容保存在用戶指定的log文件中。比如，要保存進程路徑名入log文件，先點擊“進程”按鈕，再選擇“列表”菜單，指定文件後确定即可。

托盤切換：将Icesword最小化到托盤或反之。

其它

内核模塊：即當前系統加載的核心模塊比如驅動程序。

啟動組：是兩個RUN子鍵的内容，懶得寫操作了，請自行更改注冊表。

服務：用于查看系統中的被隐藏的或未隐藏的服務，隐藏的服務以紅色顯示，注意在操作時可能有的服務耗時較長，請稍後手動刷新幾次。

SSDT：即系統服務派發表，其中被修改項會紅色顯示。

消息鈎子：枚舉系統中所注冊的消息鈎子（通過SetWindowsHookEx等），若鈎子函數在exe模塊中則是實際的地址，若在dll模塊中則是相對于dll基址的偏移，具體請自行判斷吧（一般地址值小于0x400000的就是全局鈎子）。

監視進線程創建：顧名思義，進線程的創建紀錄保存在以循環緩沖裡，要IceSword運行期間才進行紀錄，您可以用它發現木馬後門創建了什麼進程和線程，尤其是遠線程。紅色顯示的即是進程創建（目标進程TID為0時為進程創建，緊接其後的紅色項是它的主線程的創建）和遠線程創建（應該注意），須注意的是，此欄隻顯示最新的1024項内容。

監視進程終止：一般隻是監視一個進程結束另一個進程，進程結束自身一般不紀錄。

系統檢查：1.22中有更新

FAQ

問：進程端口工具很多，為什麼要使用IceSword？

答：1、絕大多數所謂的進程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系統調用（前二者最終也用到此調用）來編寫，随便一個ApiHook就可輕輕松松幹掉它們，更不用說一些内核級後門了；極少數工具利用内核線程調度結構來查詢進程，這種方案需要硬編碼，不僅不同版本系統不同，打個補丁也可能需要升級程序，并且有人也提出過防止此種查找的方法。而IceSword的進程查找核心态方案是獨一無二的，并且充分考慮内核後門可能的隐藏手段，可以查出所有隐藏進程。

2、絕大多數工具查找進程路徑名也是通過Toolhlp32、psapi，前者會調用RtlDebug***函數向目标注入遠線程，後者會用調試api讀取目标進程内存，本質上都是對PEB的枚舉，通過修改PEB就輕易讓這些工具找不到北了。而IceSword的核心态方案原原本本地将全路徑展示，運行時剪切到其他路徑也會随之顯示。

3、進程dll模塊與2的情況也是一樣，利用PEB的其他工具會被輕易欺騙，而IceSword不會弄錯（有極少數系統不支持，此時仍采用枚舉PEB）。

4、IceSword的進程殺除強大且方便（當然也會有危險）。可輕易将選中的多個任意進程一并殺除。當然，說任意不确切，除去三個：idle進程、System進程、csrss進程，原因就不詳述了。其餘進程可輕易殺死，當然有些進程（如winlogon）殺掉後系統就崩潰了。

5、對于端口工具，網上的确有很多，不過網上隐藏端口的方法也很多，那些方法對IceSword可是完全行不通的。其實本想帶個防火牆動态查找，不過不想弄得太臃腫。這裡的端口是指windows的IPv4 Tcpip協議棧所屬的端口，第三方協議棧或IPv6棧不在此列。