IceSword 冰刃 英文版

IceSword是一斩断黑手的利刃，它适用于Windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。
　　在对软件做讲解之前，首先说明第一注意事项：此程序运行时不可激活内核调试器(如softice)，否则系统即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。
　　IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSwo rd使用大量新颖的内核技术，使得这些后门躲无所躲。
添加的小功能有： 1、进程栏里的模块搜索(Find Modules) 2、注册表栏里的搜索功能(Find、Find Next) 3、文件栏里的搜索功能，分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files) 上面是要求最多的，确实对查找恶意软件有帮助 4、BHO栏的删除、SSDT栏的恢复(Restore) 这项本来是“鸡肋”项，可加可不加。比如BHO删除用户可以手工作。 SSDT 恢复就更没用了：几年前最先发布的版本就给出了SSDT项当前值与原始值，所谓恢复就是用原始值的4字节写回去，当时未提供是考虑一方面SSDT hook这种早已“滥用”的表层技术对IS的操作没有影响，另一方面使用它的却往往是正常的杀毒软件而非恶意软件（恶意软件早没这么菜了，太容易被发 现），所以觉得提供给普通用户只会让他们破坏自己的杀软。不过有朋友老提，就加几句代码吧。 5、Advanced Scan：第三步的Scan Module提供给一些高级用户使用，一般用户不要随便restore，特别不要restore第一项显示为"-----"的条目，因为它们不是操作系统 自己修改的就是IceSword工作需要的，restore后会使系统崩溃或是IceSword不能正常工作。其实最早的IceSword也会自 行restore一些内核执行体、文件系统的恶意inline hook，不过并未提示用户，现在觉得像SVV那样让高级用户自行分析可能会有帮助。另外里面的一些项会有重复（IAT hook与Inline modified hook），偷懒不检查了，重复restore并没有太大关系。还有扫描时不要做其它事，耐心等待。如果你安装了卡巴之类的杀软，可能结果察看就比较麻烦：修改太多了...... 6、 隐藏签名项(View->Hide Signed Items)。在菜单中选中后对进程、模块列举、驱动、服务四栏有作用。要注意选中后刷新那四栏会很慢，要耐心等。运行过程中系统相关函数会主动连接外界 以获取一些信息（比如去crl.microsoft.com获取证书吊销列表），一般来说，可以用防火墙禁之，所以选中后发现IS有连接也不必奇怪，M$ 搞的，呵呵。 7、其他就是内部核心功能的加强了，零零碎碎有挺多，就不细说了。使用时请观察下View->Init State，有不是“OK”的说明初始化未完成，请report一下。