1.请问冰刃有无英文版,要可靠正版的因为我的电脑无法使用中文软件

有，但是不知道是否正版，官方的，应该可靠 冰刃（icesword） V1.22 英文版 IceSword 冰刃 英文版 1.22 冰刃（icesword） V1.22 英文版 冰刃Icesword的作者PJF今天放出了Icesword 1.22中文版， 原本打算让英文版积累点bug，过几天出中文版的.没想到近来折腾这、折腾那，出差刚回来没几天，又有一堆事往头上砸，有没搞错. 中途收到一些bug反映，但是基本都不是可重现的bug或根本不是bug.确认的一个bug是ADS转储只能存到已存在的文件中，很faint. 因为目前不能在这上面花时间，所以除了上面那个bug其它不作什么修改了，发布如下： MD5: 0f6ebc9da1276baf45db9e5f2460284b。

2.Re： 怎么用冰刃啊

冰刃icesword，也称为冰刀或者冰刃，有些地址简称IS，是USTC的PJF出品的一款系统诊断、清除利器。

清除流氓软件工具无数，为什么称之为第一利器呢，有如下的理由： 1）你是不是经常有文件删不掉？如CNNIC或者3721的文件？ 2）是不是经常有注册表不让你修改？如CNNIC的注册表是它自动保护起来的 3）是不是经常有进程杀不掉，提示“无法完成”？ 4）是不是浏览器有N多的插件？ 5）是不是有一些程序运行的时候隐藏了进程和端口？ 6） 是不是有一些流氓软件的文件在资源管理器下看都看不到？ 1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用（前二者最终也用到此调用）来编写，随便一个ApiHook就可轻轻松松干掉它们，更不用说一些内核级后门了；极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，不仅不同版本系统不同，打个补丁也可能需要升级程序，并且现在有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前独一无二的，并且充分考虑内核后门可能的隐藏手段，目前可以查出所有隐藏进程。

2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi，前者会调用RtlDebug***函数向目标注入远线程，后者会用调试api读取目标进程内存，本质上都是对PEB的枚举，通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示，运行时剪切到其他路径也会随之显示。

3、进程dll模块与2的情况也是一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错（有极少数系统不支持，此时仍采用枚举PEB）。 4、IceSword的进程杀除强大且方便（当然也会有危险）。

可轻易将选中的多个任意进程一并杀除。当然，说任意不确切，除去三个：idle进程、System进程、csrss进程，原因就不详述了。

其余进程可轻易杀死，当然有些进程（如winlogon）杀掉后系统就崩溃了。 5、对于端口工具，网上的确有很多，不过网上隐藏端口的方法也很多，那些方法对IceSword可是完全行不通的。

其实本想带个防火墙动态查找，不过不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口，第三方协议栈或IPv6栈不在此列。

目前一些流氓软件采取的手段无所不用其极：线程注入，进程隐藏，文件隐藏，驱动保护，普通用户想把文件给删了或者找出进程来，是非常困难的。有的是看到了，删不掉，杀不掉，干着急，实在不行，还需要从另外的作系统去删除文件。

比如采取驱动保护的流氓软件如CNNIC，雅虎助手之类，.sys驱动加载的时候，它过滤了文件和注册表作，直接返回一个true,Windows提示文件删了，但一看，它还在那里。象一些文件删除工具如unclocker都无效。

IceSword是目前所知唯一可以直接删除这类已经加载的驱动和采取注册表保护的工具。象清除CNNIC这类流氓软件，不需要重启也可以完成了。

IS采取了很多新颖的、内核级的方法和手段，关于它的技术细节不在本文讨论之列，下面主要从使用者角度讲一下它的主要功能： ■查看进程 包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。

还可以查看进程的线程、模块信息，结束线程等。 ■查看端口 类似于cport、ActivePort这类工具，显示当前本地打开的端品以及相应的应用程序地址、名字。

包括使用了各种手段隐藏端口的工具，在它下面，都一览无余。 ■内核模块加载到系统内和空间的PE模块，一般都是驱动程序*.sys，可以看到各种已经加载的驱动。

包括一些隐藏的驱动文件，如IS自身的IsDrv118.sys，这个在资源管理器里是看不见的。 ■启动组 Windows启动组里面的相关方式，这个比较容易理解了。

不过可惜的是没有提示删除功能，只能查看。 ■服务 用于查看系统中的被隐藏的或未隐藏的服务，隐藏的服务以红色显示。

提供对服务的作如启动，停止，禁用等。 ■SPI和BHO 这两个是目前流氓软件越来越看中的地方。

SPI是服务提供接口，即所有Windows的网络作都是通过这个接口发出和接收数据包的。很多流氓软件把这个.dll替换掉，这样就可以监视所有用户访问网络的包，可以针对性投放一些广告。

如果不清楚的情况下，把这个.dll删掉，会造成网络无法使用，上不了网。LSPFix等工具就是针对这个功能的。

BHO就更不用说了，浏览器的辅助插件，用户启动浏览器的时候，它就可以自动启动，弹出广告窗口什么的。这两项仅提供查看的功能。

■SSDT (System Service Descriptor Table) 系统服务描述表，内核级后门有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示，当然有些安全程序也会修改，比如regmon。

■消息钩子 若在dll中使用SetWindowsHookEx设置一全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。 ■线程创建和线程终止监视。

3.如何使用冰刀软件

按直接操作就是鼠标右键然后就看见了 你去作者主页 里面有详细教材 IceSword IceSword是一斩断黑手的利刃（所以取这土名，有点搞e，呵呵）。

它适用于Windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手（木马后门）并作出处理，当然使用它需要用户有一些操作系统的知识 作者blog /user17/pjf IceSword是一斩断黑手的利刃（所以取这土名，有点搞e，呵呵）。它适用于Windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手（木马后门）并作出处理，当然使用它需要用户有一些操作系统的知识。

在对软件做讲解之前，首先说明第一注意事项：此程序运行时不可激活内核调试器（如softice），否则系统即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。

IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。

IceSwo rd使用大量新颖的内核技术，使得这些后门躲无所躲。 IceSword FAQ 进程、端口、服务篇 问：现在进程端口工具很多，什么要使用IceSword？ 答：1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用（前二者最终也用到此调用）编写，随便一个ApiHook就可轻轻松松干掉它们，更不用说一些内核级 后门了；极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，不仅不同版本系统不同，打个补丁也可能需要升级程序，并且现在有人也提出过防止此种查找的方法。

而IceSword的进程查找核心态方案是目前独一无二，并且充分考虑内核后门可能的隐藏手段，目前可以查出所有隐藏进程。 2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi，前者会调用RtlDebug***函数向目标注入远线程，后者会用调试api读取目标进程内，本质上都是对PEB的枚举，前面我的blog提到过轻易修改PEB就让这些工具找不到 北了。

而IceSword的核心态方案原原本本地将全路径展示，就算运行时剪切到其他路径也会随之显示。 3、进程dll模块与2的情况也是一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错。

4、IceSword的进程杀除强大且方便（当然也会有危险）。可轻易将选中的多个任意进程一并杀除。

当然，说任意不确切，除去三个：idle进程、System进程、csrss进程，原因就不详述了。其余进程可轻易杀死，当然有些进程（如winlogon）杀掉后系统就崩溃了。

5、对于端口工具，网上的确有很多，不过网上隐藏端口的方法也很多，那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找，不过不想弄得太臃肿。

问：windows自带的服务工具强大且方便，IceSowrd有什么更好的特点呢？ 答：因为比较懒，界面使用上的确没它来的好，不过IceSword的服务功能主要是查看木马服务的，使用还是很方便的。举个例子，顺便谈一类木马的查找：有一种利用svchost的木马，怎么利用的呢？svchost是一些共享进程服务的宿主，有些木马就以dll存在，依*svchost运作，如何找出它们呢？首先看进程一栏，发现svchost过多，特别注意一下pid较大的，记住它们的pid，到服务一栏，就可找到pid对应的服务项，配合注册表查看它的dll文件路径（由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键），根据它是不是惯常的服务项，很容易发现异常。

剩下的工作就是停止任务或结束进程、删除文件、恢复注册表 之类的了，当然过程中需要你对服务有一般的知识。 问：那么什么样的木马后门才会隐藏进程注册表文件的？用IceSword又如何查找呢？ 答：比如近来很流行且开源（容易出变种）的hxdef就是这么一个后门。

虽然它带有一个驱动，不过还。

转载请注明出处51数据库 » iceswordpjf