冰刃改机用途(冰刃1和冰刃2)

冰刃是什么东西？拜托了各位 谢谢

冰刃是辅助查毒的好工具，但是要想把冰刃玩转不是件容易的事，打开软件看看的他的功能你就知道了 像内核模块 消息钩子 ssdt等东西要能清楚是什么才能使用 不然很容易把系统弄坏

如何使用冰刃软件

冰刃使用教程（顽固文件杀灭工具-冰刃Icesword）

p.s. 具体可参见下面的参考资料，带图，附中文版下载

这是一斩断黑手的利刃，它适用于Windows 2000/XP/2003 操作系统，其内部功能是十分强大，用于查探系统中的幕后黑手-木马后门，并作出处理。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword 使用了大量新颖的内核技术，使得这些后门躲无所躲。使用前请详细阅读说明。第一次使用请保存好数据，需要您自己承担可能的风险，特别是多处理器机器的朋友，谢谢.

增加使用教程，帮助更多需要帮助的人

lceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的使用中，IceSword表现很令笔者满意，绝对是一把强悍的瑞士军刀——小巧、强大。 1.IceSword的“防” 打开软件，看出什么没？有经验的用户就会发现，这把冰刃可谓独特，它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而并是通常所见的软件程序名(见图1)。这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外，你可以试着将软件的文件名改一下，比如改为 killvir.exe，那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。

点击在新窗口中浏览图片

图1

2.IceSword的“攻” 推荐以后用火狐上网，火狐可以保障你上网的安全，可以放心浏览，可以屏蔽病毒和木马

火狐浏览器在线更新可防止最近最流行的木马及病毒变种.

如果IceSword只有很好的保护自身功能，并没有清除木马的能力，也不值得笔者介绍了。如果大家还记得本刊2005年第5期《如何查杀隐形木马》一文，那一定会觉得IceSword表现相当完美了。但这只所谓的隐身灰鸽子，在IceSword面前只算是小儿科的玩意。因为这只鸽子只能隐身于系统的正常模式，在系统安全模式却是再普通不过的木马。而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。今天，笔者通过一次经历来说明IceSword几招必杀技。前段时间，笔者某位朋友的个人服务器(Windows2003)，出现异常，网络流量超高，朋友使用常规方法只可以清除简单的木马，并没有解决问题，怀疑是中了更强的木马，于是找来笔者帮忙。笔者在询问了一些情况后，直接登录到系统安全模式检查，谁知也没有什么特别发现。于是笔者尝试拿出IceSword这把“瑞士军刀”…… 第一步:打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚(见图2)，但使用系统自带的“任务管理器”是看不到些进程的。注意， IceSword默认是使用红色显示系统内隐藏程序，但IceSword若在内核模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分析及处理。

点击在新窗口中浏览图片

图2

别以为只是系统自带的任务管理器功能弱，未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比，同样也没办法发现“幕后黑手”的踪影(见图3)。

点击在新窗口中浏览图片

图3

第二步:点击窗口左侧的“服务”按钮，来查看系统服务。这时就可以看到如图4所示的情况了，这个木马的服务也是隐藏的，SSDT里用红色表示隐藏服务,很多病毒，木马将其自身加载其中.通过隐藏服务进行运行.不过:windowsSystem32driversklif.sys 就是卡巴斯基内核驱动,一般会显示为红色,不过是正常的.

点击在新窗口中浏览图片

图4

第三步:既然看了服务，也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM CurrentControlSet Services]的情况。反正IceSword也提供 查看/编辑注册表功能，正好和系统的“注册表编辑器”也来个对比，点击窗口左侧的“注册表”标签，然后打开依次展开 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]项(见图5)。真是不比不知道，一比吓一跳。看来，系统内置工具还是选择“沉默”，还记得《如何查杀隐形木马》一文吧，虽说鸽子在正常模式下，它的主服务也能隐藏，但它在系统的“注册表编辑器”内完全是显示的，更不要说目前是安全模式。仔细看看，既然已经从IceSword得到可靠情报，得知“幕后黑手”位于系统目录E:Windowssystem32wins下.

点击在新窗口中浏览图片

图5

第四步:剩下的事容易多了，在IceSword中点击“查看”标签下的“进程”按钮，右击刚刚发现的隐藏进程，选择“结束进程”。然后用IceSword删除那三个木马文件，最后，还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后，再使用杀毒软件重新杀一遍系统，确认没有其他的木马。

求冰刃工作原理

第一部分：冰刃杀毒流程。在基础篇里面，我向大家介绍了有关所有冰刃的基础使用方法，那么怎么用冰刃来杀毒呢？这个写一下大概的流程。第一步：禁止运行进程。打开所有需要的软件和文件夹后，可以通过菜单里面禁止进线程建立，具体方法看基础篇，里面有详细介绍。第二步：结束病毒进程。结束所有与病毒有关的进程，还要结束某些与系统进程无关的进程，可能包括一些额外的应用程序，包括桌面文件等等。这个为了保持病毒不会因为某些进程而重新被调用。第三步：处理启动项目，处理服务、注册表等启动项目，分别在冰刃查看——服务、注册表、文件中处理。具体方法可以看基础篇。第四步：删除病毒文件。删除所有可能的病毒进程，当然如果要备份，可以利用冰刃的复制功能，把病毒副本复制出来。如果复制病毒样本，需要一些技术，因为很多病毒如果处理不当，在重新启动后还会恢复回来。第五步：重新启动计算机，你可以利用冰刃的重启并监视这个功能，我会下面的部分介绍。也可以利用计算机系统的重新启动功能，但是要把禁止进程建立的对勾去掉，并且在运行冰刃的前提下重新启动。这一步的目的为了防止某些潜入式DLL潜入到系统进程中作乱，而且无法删除。比如潜入到Winlogon中的DLL用基础篇里面的方法可能会出现蓝屏。第六步：做进一步检查，检查文件删除情况，注册表删除情况。第七步：检查应用程序。很多病毒会修改应用程序，达到保护自己的目的，比如：盗取QQ的软件，会修改QQ.exe，当运行QQ软件的时候病毒会重新被加载，所以要通过冰刃的线程监控，还有文件进行进一步的监控。第八步：处理可疑文件。在以上所有步骤过程中，一般都会出现一些不认识的或者不知道的程序，对这些程序我们做的就是最后处理，重点在于分析这些程序到底有无用处。到底是什么软件释放的，或者病毒释放的。这个一般要高手才能进行。最后一步：特别处理，重点处理病毒修改的系统设置，比如隐藏文件的设置、HOST文件的修改、主页等IE项目的修改、文件关联的修改等等。这些修改一般都要等杀毒结束后进行。 这个杀毒过程只是最基本的，和我自己给人解决问题时候套用的一个格式有一些关系。看过这个以后，对于我的删除方法会有一定了解 第二部分：删除顽固病毒文件这一部分在基础篇中提到，但是当时我没有测试，小聪给我的结果让我很惊讶，怎么会不能成功，我就想了想做进一步的实验。此实验在虚拟机下进行，如果没有虚拟机请不要模仿。因为我没有释放顽固病毒的样本，只能运用计算机系统中最基础的文件，考虑到非常难删除的病毒文件都是SYS文件，我选择了C:WINDOWSsystem32driversacpi.sys文件进行进一步测试，这个文件是系统基础文件，不要轻易删除。 此文件很像某些病毒，删除它还会重新生成一个新的文件，我们就用它来进行新的测试。第一次测试是在正常模式下，在c:建立一个名称为acpi.sys的文件，并设置了只读、系统、隐藏三个属性，用冰刃强制删除此文件，再以最快速度考入，观察，确实可以达到2分钟的目的，也就是说2分钟后系统会自动把此文件修改会上面的样子，并且大小相同。第二次测试是根据基础篇叙述禁止了进线程创建（方法详见基础篇最后部分的一）的模式下进行，利用冰刃可以删除文件，并且保证在此模式的前提条件下并不被删除，也不会被覆盖，但是当模式改变，就会被快速替换。猜想，测试到此发现，顽固病毒文件冰刃删除不了，但是它真的无能为力，我觉得不会，禁止进线程建立只是禁止了全部的进线程建立，那么我们可不可以用冰刃禁止一部分呢？等待我们的是进一步测试，如果成功，那么冰刃也可以删除顽固文件了。 第三部分 冰刃的运行原理 在这一部分，我主要讲的是为什么冰刃可以检查隐藏进程、可以那么强大。我们现在知道，有很多免费软件都可以进行进程、端口、注册表的检查，但是为什么冰刃的功能会比其他软件好呢？下面就看看以下回答吧。第一，绝大多数所谓的进程工具都是利用Windows的Toolhlp32或者psapi再或者ZwQuerySystemInformation系统调用来编写的，随便一个ApiHook就可以轻松的干掉它们了，更不用说那些内核级别的后门了。此外还有极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，这不仅因不同版本的系统而各异，而且打个补丁也可能需要升级程序，并且现在还有人提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前比较特殊的，并且充分考虑到内核后面可能的隐藏手段，可以查到目前大部分隐藏进程。第二，绝大多数工具查找进程路径名也通过Toolhlp32和psapi，前者会调用RtlDebug函数向目标注入远线程，后者会调用api读取目标进程内存，其本质上都是对PEB的枚举，因此，通过修改PEB就可以轻易让这些工具失灵。而IceSword的核心态方案采用全路径展示，运行时剪切到的其他路径也会显示出来。第三，进程dll模块与前一种情况一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错，如果系统不支持，这时候会采用枚举PEB。第四，IceSword的进程杀除功能强大且方便，可轻易将选中的多个进程一并杀除，其中包括系统进程（除idle进程、System进程、csrss进程），此时系统可能会出现蓝屏、重启等状况。注：以上内容参考《计算机病毒分析与防范大全》278页根据以上叙述，我们可以看出，一般病毒不会轻易结束掉冰刃的进程，但是某些病毒为了保护自己，根据进程名称结束了冰刃，这时只要修改冰刃主程序（IceSword.exe）的名称就可以了。根据某期《黑客防线》的介绍，好像有一种方法可以对付冰刃，彻底结束冰刃。以上只是简单说明了以下冰刃的原理，它的显示进程的算法与其他软件不同，所以可以很好的结束大部分进程。这个也是为什么第一次运行冰刃需要管理员帐户的原因之一。冰刃在启动的时候会加载很复杂的东西，其中包括一些dll文件和系统驱动文件，这些也必须需要管理员账户，并且开启某个特定的服务才能启动。所以冰刃第一次在普通用户组或者安全模式下是无法启动的，显示如图二的提示框。第四部分 冰刃对DLL文件的处理没有找到类似病毒，我在测试病毒的时候如果有雷同就可以对这一部分进行更新。第五部分 菜单高级应用在基础篇中，我讲了如何应用菜单的设置，禁止进程或者线程的建立，我们现在看看其他菜单项目的应用。在文件下拉菜单中，有设置、重启并监视、创建进程规则、创建线程规则等几个项目