如何使用IceSword冰刃

有这么一款软件，它专为查探系统中的幕后黑手——木马和后门而设计，内部功能强大，它使用了大量新颖的内核技术，使内核级的后门一样躲无所躲，它就是——IceSword冰刃。

&nb

sp;

IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的使用中，IceSword表现很令笔者满意，绝对是一把强悍的瑞士军刀——小巧、强大。

　1.IceSword的“防”

打开软件，看出什么没？有经验的用户就会发现，这把冰刃可谓独特，它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而并是通常所见的软件程序名(见图1)。这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外，你可以试着将软件的文件名改一下，比如改为killvir.exe，那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。

图1

2.IceSword的“攻”

如果IceSword只有很好的保护自身功能，并没有清除木马的能力，也不值得笔者介绍了。如果大家还记得本刊2005年第5期《如何查杀隐形木马》一文，那一定会觉得IceSword表现相当完美了。但这只所谓的隐身灰鸽子，在IceSword面前只算是小儿科的玩意。因为这只鸽子只能隐身于系统的正常模式，在系统安全模式却是再普通不过的木马。而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。今天，笔者通过一次经历来说明IceSword几招必杀技。

前段时间，笔者某位朋友的个人服务器(Windows 2003)，出现异常，网络流量超高，朋友使用常规方法只可以清除简单的木马，并没有解决问题，怀疑是中了更强的木马，于是找来笔者帮忙。笔者在询问了一些情况后，直接登录到系统安全模式检查，谁知也没有什么特别发现。于是笔者尝试拿出IceSword这把“瑞士军刀”……

第一步:打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚(见图2)，但使用系统自带的“任务管理器”是看不到些进程的。注意，IceSword默认是使用红色显示系统内隐藏程序，但IceSword若在内核模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分析及处理。

图2

别以为只是系统自带的任务管理器功能弱，未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比，同样也没办法发现“幕后黑手”的踪影(见图3)。

图3

第二步:点击窗口左侧的“服务”按钮，来查看系统服务。这时就可以看到如图4所示的情况了，这个木马的服务也是隐藏的，怪不得笔者未能发现行踪。

图4
　第三步:既然看了服务，也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情况。反正IceSword也提供查看/编辑注

册表功能，正好和系统的“注册表编辑器”也来个对比，点击窗口左侧的“注册表”标签，然后打开依次展开[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]项(见图5)。真是不比不知道，一比吓一跳。看来，系统内置工具还是选择“沉默”，还记得《如何查杀隐形木马》一文吧，虽说鸽子在正常模式下，它的主服务也能隐藏，但它在系统的“注册表编辑器”内完全是显示的，更不要说目前是安全模式。仔细看看，既然已经从IceSword得到可靠情报，得知“幕后黑手”位于系统目录E:\Windows\system32\wins下.

图6

　第五步:剩下的事容易多了，在IceSword中点击“查看”标签下的“进程”按钮，右击刚刚发现的隐藏进程，选择“结束进程”。然后用IceSword删除那三个木马文件，最后，还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后，再使用杀毒软件重新杀一遍系统，确认没有其他的木马。

上面的例子充分体现了IceSword的魅力所在。正如作者所言，IceSword大量采用新颖技术，有别于其他普通进程工具，比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程，就这一点，其他同类软件就是做不到的。当然有些进程也不是随便可以结束的，如系统的winlogon.exe进程，一旦杀掉后系统就崩溃了，这些也需要注意。

还等什么，这么好用、强悍的“瑞士军刀”，还不赶快准备一把防身？

下载地址:
http://www.ttian.net/website/2005/0829/391.html

转载于:https://www.cnblogs.com/godjiahui/archive/2007/01/31/635372.html

如何使用IceSword冰刃相关推荐

PowerTool下载（“啥文件都能删，啥病毒都解决” 工具）
PowerTool下载("啥文件都能删,啥病毒都解决" 工具) 64位中文PowerTool下载链接提取码:vpqa 问题:.dll病毒文件在另一程序中打开,删除不掉. 1.搜索 ...
IOS漏洞频出！世界上真的存在没有漏洞的手机吗？
CVE-2016-0844,这串毫不性感的代码是一个漏洞的名字. 通过这个漏洞,黑客可以拿到 Android 手机内核最高权限,在主人不知情的情况下翻看查看聊天记录.银行卡密码.随时静默拍照.向任意号 ...
国内黑客组织及代表性人物
转载一篇http://blog.csdn.net/zhanghandong/article/details/1270087 先介绍零三年之前的组织. 安全焦点 http://www.xfocus.ne ...
流氓软件新技术 8749病毒详细分析报告
来源:华军资讯日期: 2007-7-26 8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为 www.8749.com.在短短几天之间,8749病毒已经出现了数个变 ...
8749病毒详细分析报告 [转]
8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为 www.8749.com .在短短几天之间,8749病毒已经出现了数个变种.以变种出现的速度来看,估计该流氓软件会很 ...
流氓软件新技术，8749病毒详细分析报告
8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为www.8749.com.在短短几天之间,8749病毒已经出现了数个变种.以变种出现的速度来看,估计该流氓软件会很快在 ...
***VIP工具包（共4套）
]<暗组2007除夕贺岁版 For 5.5>工具包! 软件统一解压密码:darkteam [url]http://www.tingshuo.net/AnZu2007ChuXi.rar[/u ...
360潘剑锋：世界上存在没有漏洞的手机吗？
CVE-2016-0844,这串毫不性感的代码是一个漏洞的名字. 通过这个漏洞,黑客可以拿到 Android 手机内核最高权限,在主人不知情的情况下翻看查看聊天记录.银行卡密码.随时静默拍照.向任意号 ...
冰刃——IceSword
冰刃是我很喜欢使用的检查病毒修复系统的工具,因为太出名的缘故,现在已经有不少病毒开始干扰IceSword的运行.如果出现这个情况,推荐采用ProcessExplorer(blog中有文章介绍). 可以 ...
专门针对功能强大的内核级后门设计的手杀工具 --icesword使用方法
IceSword,也称为冰刀或者冰刃,有些地址简称IS,是USTC的PJF(http://www.blogcn.com/user17/pjf/index.html)出品的一款系统诊断.清除利器. 下载 ...

如何使用IceSword冰刃

如何使用IceSword冰刃相关推荐

最新文章

热门文章