【冰刃软件】冰刃(IceSword)下载 v1.22 最新版
软件介绍
冰刃软件是一款功能强大的系统防护软件,可以让用户对系统中的幕后黑手木马后门进行便捷的查探,从而让用户可以更加有效的进行处理,通过这款软件的内核技术,以供用户对底层系统进行控制,使得用户通过强大的功能帮助用户进行手工杀毒、辅助调试、内核研究等操作,让用户能够对计算机系统进行便捷及有效的防护。
冰刃软件功能
1、进程栏里的模块搜索(Find Modules)
2、注册表栏里的搜索功能(Find、Find Next)
3、文件栏里的搜索功能,分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files) 上面是要求最多的,确实对查找恶意软件有帮助
4、BHO栏的删除、SSDT栏的恢复(Restore) 这项本来是“鸡肋”项,可加可不加。比如BHO删除用户可以手工作。 SSDT 恢复就更没用了:几年前最先发布的版本就给出了SSDT项当前值与原始值,所谓恢复就是用原始值的4字节写回去,当时未分享是考虑一方面SSDT hook这种早已“滥用”的表层技术对IS的操作没有影响,另一方面使用它的却往往是正常的杀毒软件而非恶意软件(恶意软件早没这么菜了,太容易被发 现),所以觉得分享给普通用户只会让他们破坏自己的杀软。不过有朋友老提,就加几句代码吧。
5、Advanced Scan:第三步的Scan Module分享给一些高级用户使用,一般用户不要随便restore,特别不要restore第一项显示为”—–“的条目,因为它们不是操作系统 自己修改的就是IceSword工作需要的,restore后会使系统崩溃或是IceSword不能正常工作。 其实最早的IceSword也会自 行restore一些内核执行体、文件系统的恶意inline hook,不过并未提示用户,现在觉得像SVV那样让高级用户自行分析可能会有帮助。另外里面的一些项会有重复(IAT hook与Inline modified hook),偷懒不检查了,重复restore并没有太大关系。还有扫描时不要做其它事,耐心等待。 如果你安装了卡巴之类的杀软,可能结果察看就比较麻烦:修改太多了……
6、 隐藏签名项(View->Hide Signed Items)。在菜单中选中后对进程、模块列举、驱动、服务四栏有作用。要注意选中后刷新那四栏会很慢,要耐心等。运行过程中系统相关函数会主动连接外界 以获取一些信息(比如去crl.microsoft.com获取证书吊销列表),一般来说,可以用防火墙禁之,所以选中后发现IS有连接也不必奇怪,M$ 搞的,呵呵。
7、其他就是内部核心功能的加强了,零零碎碎有挺多,就不细说了。使用时请观察下View->Init State,有不是“OK”的说明初始化未完成,请report一下。
冰刃软件特色
1、可以随意删除文件与文件夹 好处就是在非安全模式下不能够删除的病毒可以用冰刃来删除。
2、系统检测软件,免费。 手动杀毒的必备工具!
3、用于查探系统中的幕后黑手(木马后门)并作出处理的防护。
4、通过“端口”标签来查看软件所占用的端口情况。“IceSword”不仅给出了本地的IP地址,还分享远程IP。
冰刃软件评测
此程序运行时不要激活内核调试器(如softice),否则系统可能即刻崩溃。
另外使用前请保存好您的数据,以防万一未知的Bug带来损失。
冰刃IceSword软件目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限。
如果您使用过老版本,请一定注意,使用新版本前要重新启动系统,不要交替使用二者。
冰刃IceSword软件内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些”幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。
冰刃软件使用教程
第一步:使用冰刃IceSword,点“文件”,“设置”,选中“禁止进线程创建、禁止协议功能”。
第二步:打开“进程”找到不正常的进程项目,鼠标右键点击选中“模块信息”打开察看加载的.dll模块情况!
第三步:找到病毒模块.dll文件,点“卸载”或“强制解除”!(一般情况主流杀软分享了病毒模块的名字)
第四步:点“进程”找到病毒文件进程,点鼠标右键点“结束进程”此时病毒进程就彻底结束了。(但是如果是系统关键进程不要操作这一步,不然系统会重启)
第五步:再点“文件”,“设置”,取消“禁止进线程创建、禁止协议功能”不然其他程序无法运行!
第六步:点左下角“文件”,逐步按病毒路径查找到病毒文件点鼠标右键点“删除”。
第七步:在删除病毒文件后,在原处建立一个同名带扩展名的文件夹,因为电脑的任何操作系统都不允许同名的文件和文件夹存在,这样可以防止重启后病毒文件的自我修复,为保万无一失和防止以后的复发,通常都做一个文件夹放在那里。(可以忽略!)
第八步:现在处理注册表,在开始——运行中输入regedit按CTRL+F查找被删除的病毒文件的名字把查到的值删掉再按F3查;直到把所有的值都删完!
冰刃软件常见问题
问:进程端口工具很多,为什么要使用IceSword?
答:1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)来编写,随便一个ApiHook就可轻轻松松干掉它们,更不用说一些内核级后门了;极少数工具利用内核线程调度结构来查询进程,这种方案需要硬编码,不仅不同版本系统不同,打个补丁也可能需要升级程序,并且有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是独一无二的,并且充分考虑内核后门可能的隐藏手段,可以查出所有隐藏进程。
2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi,前者会调用RtlDebug***函数向目标注入远线程,后者会用调试api读取目标进程内存,本质上都是对PEB的枚举,通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示,运行时剪切到其他路径也会随之显示。
3、进程dll模块与2的情况也是一样,利用PEB的其他工具会被轻易欺骗,而IceSword不会弄错(有极少数系统不支持,此时仍采用枚举PEB)。
4、IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然,说任意不确切,除去三个:idle进程、System进程、csrss进程,原因就不详述了。其余进程可轻易杀死,当然有些进程(如winlogon)杀掉后系统就崩溃了。
5、对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找,不过不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口,第三方协议栈或IPv6栈不在此列。
问:windows自带的服务工具强大且方便,IceSowrd有什么更好的特点呢?
答:因为比较懒,界面使用上的确没它来的好,不过IceSword的服务功能主要是查看木马服务的,使用还是很方便的。举个例子,顺便谈一类木马的查找:svchost是一些共享进程服务的宿主,有些木马就以dll存在,依靠svchost运作,如何找出它们呢?首先看进程一栏,发现svchost过多,记住它们的pid,到服务一栏,就可找到pid对应的服务项,配合注册表查看它的dll文件路径(由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键),根据它是不是惯常的服务项很容易发现异常项,剩下的工作就是停止任务或结束进程、删除文件、恢复注册表之类的了,当然过程中需要你对服务有一般的知识。
问:那么什么样的木马后门才会隐藏进程注册表文件的?用IceSword又如何查找呢?
答:比如很流行且开源(容易出变种)的hxdef就是这么一个后门。用IceSword可以方便清除,你直接就可在进程栏看到红色显示的hxdef100进程,同时也可以在服务栏中看到红色显示的服务项,顺便一说,在注册表和文件栏里你都可发现它们,若木马正在反向连接,你在端口栏也可看到。杀除它么,首先由进程栏得后门程序全路径,结束进程,将后门目录删除,删除注册表中的服务对应项…这里只是简单说说,请你自行学习如何有效利用IceSword吧。
冰刃软件更新日志
(1)增加普通文件、ADS、注册表、模块的搜索功能;
(2)隐藏签名项;
(3)添加模块的HOOK扫描;
(4)核心功能的加强。
下载仅供下载体验和测试学习,不得商用和正当使用。
发表评论