冰刃是什么
冰刃就是IceSword,IceSword是一斩断黑手的宝刀.是中国驰名商标,国家免检产品,中国名牌产品.哈哈.删不掉的病毒文件用它90%欧了.
冰刃IceSword v1.12
使用了大量新颖的内核技术,用于查探系统中的幕后黑手-木马后门,并作出处理
下载地址:
=================================================
1.IceSword的“防”
打开软件,看出什么没?有经验的用户就会发现,这把冰刃可谓独特,它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”,而并是通常所见的软件程序名(见图1)。这就是IceSword独有的随机字串标题栏,用户每次打开这把冰刃,所出现的字串都是随机生成,随机出现,都不相同(随机五位/六位字串),这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外,你可以试着将软件的文件名改一下,比如改为killvir.exe,那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword,是不是会弹出确认窗口?这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮,也不能结束IceSword的运行了,只能在IceSword的面前乖乖就范了。
有这么一款软件,它专为查探系统中的幕后黑手——木马和后门而设计,内部功能强大,它使用了大量新颖的内核技术,使内核级的后门一样躲无所躲,它就是——IceSword冰刃。
IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的使用中,IceSword表现很令笔者满意,绝对是一把强悍的瑞士军刀——小巧、强大。
1.IceSword的“防”
打开软件,看出什么没?有经验的用户就会发现,这把冰刃可谓独特,它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”,而并是通常所见的软件程序名。这就是IceSword独有的随机字串标题栏,用户每次打开这把冰刃,所出现的字串都是随机生成,随机出现,都不相同(随机五位/六位字串),这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外,你可以试着将软件的文件名改一下,比如改为killvir.exe,那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword,是不是会弹出确认窗口?这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮,也不能结束IceSword的运行了,只能在IceSword的面前乖乖就范了。
2.IceSword的“攻”
如果IceSword只有很好的保护自身功能,并没有清除木马的能力,也不值得笔者介绍了。如果大家还记得本刊2005年第5期《如何查杀隐形木马》一文,那一定会觉得IceSword表现相当完美了。但这只所谓的隐身灰鸽子,在IceSword面前只算是小儿科的玩意。因为这只鸽子只能隐身于系统的正常模式,在系统安全模式却是再普通不过的木马。而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。今天,笔者通过一次经历来说明IceSword几招必杀技。
前段时间,笔者某位朋友的个人服务器(Windows 2003),出现异常,网络流量超高,朋友使用常规方法只可以清除简单的木马,并没有解决问题,怀疑是中了更强的木马,于是找来笔者帮忙。笔者在询问了一些情况后,直接登录到系统安全模式检查,谁知也没有什么特别发现。于是笔者尝试拿出IceSword这把“瑞士军刀”……
第一步:打开IceSword,在窗口左侧点击“进程”按钮,查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚,但使用系统自带的“任务管理器”是看不到些进程的。注意,IceSword默认是使用红色显示系统内隐藏程序,但IceSword若在内核模块处显示多处红色项目并不都是病毒,我们还需要作进一步的技术分析及处理。
别以为只是系统自带的任务管理器功能弱,未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比,同样也没办法发现“幕后黑手”的踪影
第二步:点击窗口左侧的“服务”按钮,来查看系统服务。这时就可以看到如图4所示的情况了,这个木马的服务也是隐藏的,怪不得笔者未能发现行踪。
第三步:既然看了服务,也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet\Services]的情况。反正IceSword也提供查看/编辑注册表功能,正好和系统的“注册表编辑器”也来个对比,点击窗口左侧的“注册表”标签,然后打开依次展开[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]项(见图5)。真是不比不知道,一比吓一跳。看来,系统内置工具还是选择“沉默”,还记得《如何查杀隐形木马》一文吧,虽说鸽子在正常模式下,它的主服务也能隐藏,但它在系统的“注册表编辑器”内完全是显示的,更不要说目前是安全模式。仔细看看,既然已经从IceSword得到可靠情报,得知“幕后黑手”位于系统目录E:\Windows\system32\wins下。
第四步:我们还是用系统的“资源管理器”和IceSword对比一下,点击窗口左侧的“文件”标签,结果如图6所示。“资源管理器”选择了“交白卷”。在IceSword的文件浏览器与系统的“资源管理器”明显对比下,IceSword已经发现三只“黑手”,正是因为有这只隐藏的幕后黑手,难怪朋友搞了几次,换了不同的防病毒软件还是没清干净。
第五步:剩下的事容易多了,在IceSword中点击“查看”标签下的“进程”按钮,右击刚刚发现的隐藏进程,选择“结束进程”。然后用IceSword删除那三个木马文件,最后,还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后,再使用杀毒软件重新杀一遍系统,确认没有其他的木马。
上面的例子充分体现了IceSword的魅力所在。正如作者所言,IceSword大量采用新颖技术,有别于其他普通进程工具,比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程,就这一点,其他同类软件就是做不到的。当然有些进程也不是随便可以结束的,如系统的winlogon.exe进程,一旦杀掉后系统就崩溃了,这些也需要注意。
还等什么,这么好用、强悍的“瑞士军刀”,还不赶快准备一把防身?
冰刃简介
IceSword是一个强大的工具,专为Windows 2000/XP/2003/Vista系统设计,旨在检测和处理系统中的恶意软件,特别是后门和木马。它具有多种实用功能,如进程栏的模块搜索,注册表栏的Find和Find Next功能,以及文件搜索功能(包括ADS枚举和普通文件查找)。
其中,BHO栏提供删除功能,SSDT栏支持恢复,但高级用户需谨慎操作,特别是恢复标有“-----”的条目,因为它们可能是系统或IceSword的自修改项,不当操作可能导致系统崩溃或工具失效。扫描模块对高级用户开放,但一般用户应避免直接恢复,建议用户先人工分析。
隐藏签名项功能可以帮助用户隐藏某些列表,但使用时需注意刷新会变慢。运行过程中,软件会连接外部获取信息,可能触发防火墙阻止,这是正常的。此外,软件内部核心功能经过增强,但使用时请确保View->Init State显示为"OK"。
IceSword要求用户在操作前关闭内核调试器,保存数据以防未知错误,并针对32位x86兼容CPU设计,需要管理员权限运行。新旧版本交替使用时,务必重启系统。与其他工具相比,IceSword利用新颖内核技术,能发现隐藏的系统级后门。
退出IceSword时,直接关闭即可,或使用命令行输入防止进程被结束。隐藏的进程通过红色标记显示,便于查找。内存读写功能支持反汇编分析,端口功能可查看进程关联的端口信息。
文件操作包括删除和复制,防止隐藏文件,同时支持修改打开文件。菜单设置提供具体功能描述。 IceSword提供GDT/IDT转储和列表保存功能,以及托盘切换选项。对于系统检查和各种监控功能,都有详细的说明和示例用途。
虽然IceSword与进程端口工具相比,具有独特的优势,如能抵抗ApiHook和内核后门的隐藏,以及更全面的进程和模块查找。而对于服务功能,尽管界面不如Windows自带工具,但更专注于查找木马服务和隐藏项。
总的来说,IceSword是一个功能强大的系统安全工具,提供了多种针对恶意软件的检测和处理手段,但使用时需谨慎操作,结合用户的安全知识进行分析和判断。
扩展资料
冰刃IceSword适用于Windows 2000/XP/2003操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手—木马后门,并作出处理。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些"幕后黑手"。IceSword使用了大量新颖的内核技术,使得这些后门躲无所躲。
