冰刃IceSword中文版

IceSword是一斬?cái)嗪谑值睦�刃，它適用于Windows 2000/XP/2003操作系統(tǒng)，用于查探系統(tǒng)中的幕后黑手(木馬后門(mén))并作出處理，當(dāng)然使用它需要用戶(hù)有一些操作系統(tǒng)的知識(shí)。在對(duì)軟件做講解之前，首先說(shuō)明第一注意事項(xiàng)：此程序運(yùn)行時(shí)不可激活內(nèi)核調(diào)試器(如softice)，否則系統(tǒng)即刻崩潰。另外使用前請(qǐng)保存好您的數(shù)據(jù)，以防萬(wàn)一未知的Bug帶來(lái)?yè)p失。
IceSword內(nèi)部功能是十分強(qiáng)大的�？赡苣�也用過(guò)很多類(lèi)似功能的軟件，比如一些進(jìn)程工具、端口工具，但是現(xiàn)在的系統(tǒng)級(jí)后門(mén)功能越來(lái)越強(qiáng)，一般都可輕而易舉地隱藏進(jìn)程、端口、注冊(cè)表、文件信息，一般的工具根本無(wú)法發(fā)現(xiàn)這些“幕后黑手”。IceSwo rd使用大量新穎的內(nèi)核技術(shù)，使得這些后門(mén)躲無(wú)所躲。

更新功能：

添加的小功能有：
1、進(jìn)程欄里的模塊搜索(Find Modules)
2、注冊(cè)表欄里的搜索功能(Find、Find Next)
3、文件欄里的搜索功能，分別是ADS的枚舉(包括或不包括子目錄)、普通文件查找(Find Files)

上面是要求最多的，確實(shí)對(duì)查找惡意軟件有幫助

4、BHO欄的刪除、SSDT欄的恢復(fù)(Restore)

這項(xiàng)本來(lái)是“雞肋”項(xiàng)，可加可不加。比如BHO刪除用戶(hù)可以手工作。
SSDT 恢復(fù)就更沒(méi)用了：幾年前最先發(fā)布的版本就給出了SSDT項(xiàng)當(dāng)前值與原始值，所謂恢復(fù)就是用原始值的4字節(jié)寫(xiě)回去，當(dāng)時(shí)未提供是考慮一方面SSDT hook這種早已“濫用”的表層技術(shù)對(duì)IS的操作沒(méi)有影響，另一方面使用它的卻往往是正常的殺毒軟件而非惡意軟件（惡意軟件早沒(méi)這么菜了，太容易被發(fā) 現(xiàn)），所以覺(jué)得提供給普通用戶(hù)只會(huì)讓他們破壞自己的殺軟。不過(guò)有朋友老提，就加幾句代碼吧。

5、Advanced Scan：第三步的Scan Module提供給一些高級(jí)用戶(hù)使用，一般用戶(hù)不要隨便restore，特別不要restore第一項(xiàng)顯示為"-----"的條目，因?yàn)樗鼈儾皇遣僮飨到y(tǒng) 自己修改的就是IceSword工作需要的，restore后會(huì)使系統(tǒng)崩潰或是IceSword不能正常工作。
其實(shí)最早的IceSword也會(huì)自 行restore一些內(nèi)核執(zhí)行體、文件系統(tǒng)的惡意inline hook，不過(guò)并未提示用戶(hù)，現(xiàn)在覺(jué)得像SVV那樣讓高級(jí)用戶(hù)自行分析可能會(huì)有幫助。另外里面的一些項(xiàng)會(huì)有重復(fù)（IAT hook與Inline modified hook），偷懶不檢查了，重復(fù)restore并沒(méi)有太大關(guān)系。還有掃描時(shí)不要做其它事，耐心等待。
如果你安裝了卡巴之類(lèi)的殺軟，可能結(jié)果察看就比較麻煩：修改太多了......

6、隱藏簽名項(xiàng)(View->Hide Signed Items)。在菜單中選中后對(duì)進(jìn)程、模塊列舉、驅(qū)動(dòng)、服務(wù)四欄有作用。要注意選中后刷新那四欄會(huì)很慢，要耐心等。運(yùn)行過(guò)程中系統(tǒng)相關(guān)函數(shù)會(huì)主動(dòng)連接外界 以獲取一些信息（比如去crl.microsoft.com獲取證書(shū)吊銷(xiāo)列表），一般來(lái)說(shuō)，可以用防火墻禁之，所以選中后發(fā)現(xiàn)IS有連接也不必奇怪，M$ 搞的，呵呵。

7、其他就是內(nèi)部核心功能的加強(qiáng)了，零零碎碎有挺多，就不細(xì)說(shuō)了。使用時(shí)請(qǐng)觀察下View->Init State，有不是“OK”的說(shuō)明初始化未完成，請(qǐng)report一下。