IceSword 冰刃 英文版

IceSword是一斬斷黑手的利刃，它適用于Windows 2000/XP/2003操作系統，用于查探系統中的幕后黑手(木馬后門)并作出處理，當然使用它需要用戶有一些操作系統的知識。
　　在對軟件做講解之前，首先說明第一注意事項：此程序運行時不可激活內核調試器(如softice)，否則系統即刻崩潰。另外使用前請保存好您的數據，以防萬一未知的Bug帶來損失。
　　IceSword內部功能是十分強大的?？赡苣�也用過很多類似功能的軟件，比如一些進程工具、端口工具，但是現在的系統級后門功能越來越強，一般都可輕而易舉地隱藏進程、端口、注冊表、文件信息，一般的工具根本無法發現這些“幕后黑手”。IceSwo rd使用大量新穎的內核技術，使得這些后門躲無所躲。
添加的小功能有： 1、進程欄里的模塊搜索(Find Modules) 2、注冊表欄里的搜索功能(Find、Find Next) 3、文件欄里的搜索功能，分別是ADS的枚舉(包括或不包括子目錄)、普通文件查找(Find Files) 上面是要求最多的，確實對查找惡意軟件有幫助 4、BHO欄的刪除、SSDT欄的恢復(Restore) 這項本來是“雞肋”項，可加可不加。比如BHO刪除用戶可以手工作。 SSDT 恢復就更沒用了：幾年前最先發布的版本就給出了SSDT項當前值與原始值，所謂恢復就是用原始值的4字節寫回去，當時未提供是考慮一方面SSDT hook這種早已“濫用”的表層技術對IS的操作沒有影響，另一方面使用它的卻往往是正常的殺毒軟件而非惡意軟件（惡意軟件早沒這么菜了，太容易被發 現），所以覺得提供給普通用戶只會讓他們破壞自己的殺軟。不過有朋友老提，就加幾句代碼吧。 5、Advanced Scan：第三步的Scan Module提供給一些高級用戶使用，一般用戶不要隨便restore，特別不要restore第一項顯示為"-----"的條目，因為它們不是操作系統 自己修改的就是IceSword工作需要的，restore后會使系統崩潰或是IceSword不能正常工作。其實最早的IceSword也會自 行restore一些內核執行體、文件系統的惡意inline hook，不過并未提示用戶，現在覺得像SVV那樣讓高級用戶自行分析可能會有幫助。另外里面的一些項會有重復（IAT hook與Inline modified hook），偷懶不檢查了，重復restore并沒有太大關系。還有掃描時不要做其它事，耐心等待。如果你安裝了卡巴之類的殺軟，可能結果察看就比較麻煩：修改太多了...... 6、 隱藏簽名項(View->Hide Signed Items)。在菜單中選中后對進程、模塊列舉、驅動、服務四欄有作用。要注意選中后刷新那四欄會很慢，要耐心等。運行過程中系統相關函數會主動連接外界 以獲取一些信息（比如去crl.microsoft.com獲取證書吊銷列表），一般來說，可以用防火墻禁之，所以選中后發現IS有連接也不必奇怪，M$ 搞的，呵呵。 7、其他就是內部核心功能的加強了，零零碎碎有挺多，就不細說了。使用時請觀察下View->Init State，有不是“OK”的說明初始化未完成，請report一下。