冰刃使用教程

冰刃使用教程（顽固文件杀灭工具-冰刃Icesword）

p.s. 具体可参见下面的参考资料，带图，附中文版下载

这是一斩断黑手的利刃，它适用于Windows 2000/XP/2003 操作系统，其

内部功能是十分强大，用于查探系统中的幕后黑手-木马后门，并作出处理。可

能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的

系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文

件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword 使用了大量新颖

的内核技术，使得这些后门躲无所躲。使用前请详细阅读说明。第一次使用请

保存好数据，需要您自己承担可能的风险，特别是多处理器机器的朋友，谢谢. 增加使用教程，帮助更多需要帮助的人

lceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的

使用中，IceSword表现很令笔者满意，绝对是一把强悍的瑞士军刀——小巧、

强大。 1.IceSword的“防” 打开软件，看出什么没？有经验的用户就会发现，这把冰刃可谓独特，它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而并是通常所见的软件程序名(见图1)。这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和

后门在它面前都无功而返了。另外，你可以试着将软件的文件名改一下，比如

改为 killvir.exe，那么显示出来的进程名就变为了killvir.exe。现在你再试着关

闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标

或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。

点击在新窗口中浏览图片

图1

2.IceSword的“攻” 推荐以后用火狐上网，火狐可以保障你上网的安全，可以

放心浏览，可以屏蔽病毒和木马

火狐浏览器在线更新可防止最近最流行的木马及病毒变种.

如果IceSword只有很好的保护自身功能，并没有清除木马的能力，也不值得

笔者介绍了。如果大家还记得本刊2005年第5期《如何查杀隐形木马》一文，那一定会觉得IceSword表现相当完美了。但这只所谓的隐身灰鸽子，在IceSword面前只算是小儿科的玩意。因为这只鸽子只能隐身于系统的正常模式，在系统安全模式却是再普通不过的木马。而IceSword的作者就在帮助中多次

强调IceSword是专门针对功能强大的内核级后门设计的。今天，笔者通过一

次经历来说明IceSword几招必杀技。前段时间，笔者某位朋友的个人服务器(Windows2003)，出现异常，网络流量超高，朋友使用常规方法只可以清除简

单的木马，并没有解决问题，怀疑是中了更强的木马，于是找来笔者帮忙。笔

者在询问了一些情况后，直接登录到系统安全模式检查，谁知也没有什么特别

发现。于是笔者尝试拿出IceSword这把“瑞士军刀”…… 第一步:打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。这个隐藏的“幕后

黑手”马上露出马脚(见图2)，但使用系统自带的“任务管理器”是看不到些进程的。注意， IceSword默认是使用红色显示系统内隐藏程序，但IceSword若在内核

模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分析及处理。

点击在新窗口中浏览图片

图2

别以为只是系统自带的任务管理器功能弱，未能发现。我们又用了IceSword 与Process Explorer(另一款功能强大的进程查看软件)进行对比，同样也没办法发现“幕后黑手”的踪影(见图3)。

点击在新窗口中浏览图片

图3

第二步:点击窗口左侧的“服务”按钮，来查看系统服务。这时就可以看到如图

4所示的情况了，这个木马的服务也是隐藏的，SSDT里用红色表示隐藏服务,

很多病毒，木马将其自身加载其中.通过隐藏服务进行运行.不

过:windowsSystem32driversklif.sys 就是卡巴斯基内核驱动,一般会显示为红色,不过是正常的.

点击在新窗口中浏览图片

图4

第三步:既然看了服务，也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM CurrentControlSet Services]的情况。反正IceSword也提供查看/编

辑注册表功能，正好和系统的“注册表编辑器”也来个对比，点击窗口左侧的“注

册表”标签，然后打开依次展开

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]项(见图5)。

真是不比不知道，一比吓一跳。看来，系统内置工具还是选择“沉默”，还记得《如何查杀隐形木马》一文吧，虽说鸽子在正常模式下，它的主服务也能隐藏，但它在系统的“注册表编辑器”内完全是显示的，更不要说目前是安全模式。仔

细看看，既然已经从IceSword得到可靠情报，得知“幕后黑手”位于系统目录

E:Windowssystem32wins下.

点击在新窗口中浏览图片

图5

第四步:剩下的事容易多了，在IceSword中点击“查看”标签下的“进程”按钮，

右击刚刚发现的隐藏进程，选择“结束进程”。然后用IceSword删除那三个木马

文件，最后，还要删除多余的服务项——那两个HackerDefender*的注册表键

值即可。清理完这只“黑手”后，再使用杀毒软件重新杀一遍系统，确认没有其

他的木马。

第一步:打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。这个

隐藏的“幕后黑手”马上露出马脚，但使用系统自带的“任务管理器”是看不到些进

程的。注意，IceSword默认是使用红色显示系统内隐藏程序，但IceSword若

在内核模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分

析及处理。

别以为只是系统自带的任务管理器功能弱，未能发现。我们又用了IceSword

与Process Explorer(另一款功能强大的进程查看软件)进行对比，同样也没办法发现“幕后黑手”的踪影

第二步:点击窗口左侧的“服务”按钮，来查看系统服务。这个木马的服务也是隐

藏的，怪不得笔者未能发现行踪。

第三步:既然看了服务，也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情况。反正IceSword也提供查看/编

辑注

册表功能，正好和系统的“注册表编辑器”也来个对比，点击窗口左侧的“注册表”标签，然后打开依次展开

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]项。真是不比不知道，一比吓一跳。看来，系统内置工具还是选择“沉默”，还记得《如何查杀隐形木马》一文吧，虽说鸽子在正常模式下，它的主服务也能隐藏，但它在系统的“注册表编辑器”内完全是显示的，更不要说目前是安全模式。仔细看看，既然已经从IceSword得到可靠情报，得知“幕后黑手”位于系统目录

E:\Windows\system32\wins下

第五步:剩下的事容易多了，在IceSword中点击“查看”标签下的“进程”按钮，右击刚刚发现的隐藏进程，选择“结束进程”。然后用IceSword删除那三个木马文件，最后，还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后，再使用杀毒软件重新杀一遍系统，确认没有其他的木马