IceSword，也稱為冰刀或者冰刃，有些地址簡稱IS，是USTC的PJF出品的一款系統(tǒng)診斷、清除利器。

清除流氓軟件工具無數(shù)，為什么稱之為第一利器呢，有如下的理由：

1）你是不是經(jīng)常有文件刪不掉？如CNNIC或者3721的文件？

2）是不是經(jīng)常有注冊表不讓你修改？如CNNIC的注冊表是它自動保護起來的

3）是不是經(jīng)常有進程殺不掉，提示“無法完成”？

4）是不是瀏覽器有N多的插件？

5）是不是有一些程序運行的時候隱藏了進程和端口？

6) 是不是有一些流氓軟件的文件在資源管理器下看都看不到？

1、絕大多數(shù)所謂的進程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系統(tǒng)調(diào)用（前二者最終也用到此調(diào)用）來編寫，隨便一個ApiHook就可輕輕松松干掉它們，更不用說一些內(nèi)核級后門了；極少數(shù)工具利用內(nèi)核線程調(diào)度結(jié)構(gòu)來查詢進程，這種方案需要硬編碼，不僅不同版本系統(tǒng)不同，打個補丁也可能需要升級程序，并且現(xiàn)在有人也提出過防止此種查找的方法。而IceSword的進程查找核心態(tài)方案是目前獨一無二的，并且充分考慮內(nèi)核后門可能的隱藏手段，目前可以查出所有隱藏進程。

2、絕大多數(shù)工具查找進程路徑名也是通過Toolhlp32、psapi，前者會調(diào)用RtlDebug***函數(shù)向目標注入遠線程，后者會用調(diào)試api讀取目標進程內(nèi)存，本質(zhì)上都是對PEB的枚舉，通過修改PEB就輕易讓這些工具找不到北了。而IceSword的核心態(tài)方案原原本本地將全路徑展示，運行時剪切到其他路徑也會隨之顯示。

3、進程dll模塊與2的情況也是一樣，利用PEB的其他工具會被輕易欺騙，而IceSword不會弄錯（有極少數(shù)系統(tǒng)不支持，此時仍采用枚舉PEB）。

4、 IceSword的進程殺除強大且方便（當然也會有危險）。可輕易將選中的多個任意進程一并殺除。當然，說任意不確切，除去三個：idle進程、 System進程、csrss進程，原因就不詳述了。其余進程可輕易殺死，當然有些進程（如winlogon）殺掉后系統(tǒng)就崩潰了。

5、對于端口工具，網(wǎng)上的確有很多，不過網(wǎng)上隱藏端口的方法也很多，那些方法對IceSword可是完全行不通的。其實本想帶個防火墻動態(tài)查找，不過不想弄得太臃腫。這里的端口是指windows的IPv4 Tcpip協(xié)議棧所屬的端口，第三方協(xié)議棧或IPv6棧不在此列。

目前一些流氓軟件采取的手段無所不用其極：線程注入，進程隱藏，文件隱藏，驅(qū)動保護，普通用戶想把文件給刪了或者找出進程來，是非常困難的。有的是看到了，刪不掉，殺不掉，干著急，實在不行，還需要從另外的作系統(tǒng)去刪除文件。比如采取驅(qū)動保護的流氓軟件如CNNIC，雅虎助手之類，.sys驅(qū)動加載的時候，它過濾了文件和注冊表作，直接返回一個true,Windows提示文件刪了，但一看，它還在那里。象一些文件刪除工具如unclocker都無效。IceSword是目前所知唯一可以直接刪除這類已經(jīng)加載的驅(qū)動和采取注冊表保護的工具。象清除CNNIC這類流氓軟件，不需要重啟也可以完成了。

IS采取了很多新穎的、內(nèi)核級的方法和手段，關(guān)于它的技術(shù)細節(jié)不在本文討論之列，下面主要從使用者角度講一下它的主要功能：

■查看進程

包括運行進程的文件地址、各種隱藏的進程以及優(yōu)先級。用它也可以輕易殺掉用任務(wù)管理器、Procexp等工具殺不掉的進程。還可以查看進程的線程、模塊信息，結(jié)束線程等。

■查看端口

類似于cport、ActivePort這類工具，顯示當前本地打開的端品以及相應(yīng)的應(yīng)用程序地址、名字。包括使用了各種手段隱藏端口的工具，在它下面，都一覽無余。

■內(nèi)核模塊 加載到系統(tǒng)內(nèi)和空間的PE模塊，一般都是驅(qū)動程序*.sys，可以看到各種已經(jīng)加載的驅(qū)動。包括一些隱藏的驅(qū)動文件，如IS自身的IsDrv118.sys，這個在資源管理器里是看不見的。

■啟動組

Windows啟動組里面的相關(guān)方式，這個比較容易理解了。不過可惜的是沒有提示刪除功能，只能查看。

■服務(wù)

用于查看系統(tǒng)中的被隱藏的或未隱藏的服務(wù)，隱藏的服務(wù)以紅色顯示。提供對服務(wù)的作如啟動，停止，禁用等。

■SPI和BHO

這兩個是目前流氓軟件越來越看中的地方。SPI是服務(wù)提供接口，即所有Windows的網(wǎng)絡(luò)作都是通過這個接口發(fā)出和接收數(shù)據(jù)包的。很多流氓軟件把這個.dll替換掉，這樣就可以監(jiān)視所有用戶訪問網(wǎng)絡(luò)的包，可以針對性投放一些廣告。如果不清楚的情況下，把這個.dll刪掉，會造成網(wǎng)絡(luò)無法使用，上不了網(wǎng)。LSPFix等工具就是針對這個功能的。BHO就更不用說了，瀏覽器的輔助插件，用戶啟動瀏覽器的時候，它就可以自動啟動，彈出廣告窗口什么的。這兩項僅提供查看的功能。

■SSDT (System Service Descriptor Table)

系統(tǒng)服務(wù)描述表，內(nèi)核級后門有可能修改這個服務(wù)表，以截獲你系統(tǒng)的服務(wù)函數(shù)調(diào)用，特別是一些老的rootkit，像上面提到的ntrootkit通過這種hook實現(xiàn)注冊表、文件的隱藏。被修改的值以紅色顯示，當然有些安全程序也會修改，比如regmon。

■消息鉤子

若在dll中使用SetWindowsHookEx設(shè)置一全局鉤子，系統(tǒng)會將其加載入使用user32的進程中，因而它也可被利用為無進程木馬的進程注入手段。

■線程創(chuàng)建和線程終止監(jiān)視

“監(jiān)視進線程創(chuàng)建”將IceSword運行期間的進線程創(chuàng)建調(diào)用記錄在循環(huán)緩沖里，“監(jiān)視進程終止”記錄一個進程被其它進程Terminate的情況。舉例說明作用：一個木馬或病毒進程運行起來時查看有沒有殺毒程序如norton的進程，有則殺之，若IceSword正在運行，這個作就被記錄下來，你可以查到是哪個進程做的事，因而可以發(fā)現(xiàn)木馬或病毒進程并結(jié)束之。再如：一個木馬或病毒采用多線程保護技術(shù)，你發(fā)現(xiàn)一個異常進程后結(jié)束了，一會兒它又起來了，你可用IceSword發(fā)現(xiàn)是什么線程又創(chuàng)建了這個進程，把它們一并殺除。中途可能會用到“設(shè)置”菜單項：在設(shè)置對話框中選中“禁止進線程創(chuàng)建”，此時系統(tǒng)不能創(chuàng)建進程或者線程，你安穩(wěn)的殺除可疑進線程后，再取消禁止就可以了。

■注冊表Regedit有什么不足？

說起Regedit的不足就太多了，比如它的名稱長度限制，建一個全路徑名長大于255字節(jié)的子項看看（編程或用其他工具，比如 regedt32），此項和位于它后面的子鍵在regedit中顯示不出來；再如有意用程序建立的有特殊字符的子鍵regedit根本打不開。

IceSword中添加注冊表編輯并不是為了解決上面的問題，因為已經(jīng)有了很多很好的工具可以代替Regedit。IceSword中的“注冊表”項是為了查找被木馬后門隱藏的注冊項而寫的，它不受目前任何注冊表隱藏手法的蒙蔽，真正可靠的讓你看到注冊表實際內(nèi)容。

如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個鍵值，就是通過它來加載cndport.sys這個驅(qū)動文件的。通過Regedit你刪除會直接出錯，根本無法刪除。而用IS就可以輕易干掉。

■文件作

IS的文件作有點類似于資源管理器，雖然作起來沒有那么方便，但是它的獨到功能在于具備反隱藏、反保護的功能。還有對安全的副作用是本來 system32\config\SAM等文件是不能拷貝也不能打開的，但IceSword是可以直接拷貝的。類似于已經(jīng)加載的驅(qū)動，如CNNIC的 cdnport.sys這個文件，目前只有IS可以直接把它刪除，其它無論什么方式，都無法破除驅(qū)動自身的保護。

即使對大多數(shù)有用的unlocker，CopyLock、KillBox都是無效的。利用Windows的系統(tǒng)還沒有完全加載的刪除機制，通過在 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations，這個是所有刪除頑固文件工具的最后一招，但它也被驅(qū)動保護變得無效了。以前的情況就是需要重啟啟動到另外一個作系統(tǒng)下刪除。

----那幫做流氓軟件的可真是手段無所不用其及。

IceSword內(nèi)部功能是十分強大的。可能您也用過很多類似功能的軟件，比如一些進程工具、端口工具，但是現(xiàn)在的系統(tǒng)級后門功能越來越強，一般都可輕而易舉地隱藏進程、端口、注冊表、文件信息，一般的工具根本無法發(fā)現(xiàn)這些“幕后黑手”。IceSword使用大量新穎的內(nèi)核技術(shù)，使得這些后門躲無所躲.

IceSword大量采用新穎技術(shù)，有別于其他普通進程工具，比如IceSword就可以結(jié)束除Idle進程、System進程、csrss進程這三個進程外的所有進程，就這一點，其他同類軟件就是做不到的。當然有些進程也不是隨便可以結(jié)束的，如系統(tǒng)的winlogon.exe進程，一旦殺掉后系統(tǒng)就崩潰了，這些也需要注意。