IceSword，也稱為冰刀或者冰刃，有些地址簡稱IS，是USTC的PJF出品的一款系統診斷、清除利器。

清除流氓軟件工具無數，為什么稱之為第一利器呢，有如下的理由：

1）你是不是經常有文件刪不掉？如CNNIC或者3721的文件？

2）是不是經常有注冊表不讓你修改？如CNNIC的注冊表是它自動保護起來的

3）是不是經常有進程殺不掉，提示“無法完成”？

4）是不是瀏覽器有N多的插件？

5）是不是有一些程序運行的時候隱藏了進程和端口？

6) 是不是有一些流氓軟件的文件在資源管理器下看都看不到？

1、絕大多數所謂的進程工具都是利用Windows的Toolhlp32或psapi再或 ZwQuerySystemInformation系統調用（前二者最終也用到此調用）來編寫，隨便一個ApiHook就可輕輕松松干掉它們，更不用說一 些內核級后門了；極少數工具利用內核線程調度結構來查詢進程，這種方案需要硬編碼，不僅不同版本系統不同，打個補丁也可能需要升級程序，并且現在有人也提 出過防止此種查找的方法。而IceSword的進程查找核心態方案是目前獨一無二的，并且充分考慮內核后門可能的隱藏手段，目前可以查出所有隱藏進程。

2、絕大多數工具查找進程路徑名也是通過Toolhlp32、psapi，前者會調用 RtlDebug***函數向目標注入遠線程，后者會用調試api讀取目標進程內存，本質上都是對PEB的枚舉，通過修改PEB就輕易讓這些工具找不到北 了。而IceSword的核心態方案原原本本地將全路徑展示，運行時剪切到其他路徑也會隨之顯示。

3、進程dll模塊與2的情況也是一樣，利用PEB的其他工具會被輕易欺騙，而IceSword不會弄錯（有極少數系統不支持，此時仍采用枚舉PEB）。

4、 IceSword的進程殺除強大且方便（當然也會有危險）。可輕易將選中的多個任意進程一并殺除。當然，說任意不確切，除去三個：idle進程、 System進程、csrss進程，原因就不詳述了。其余進程可輕易殺死，當然有些進程（如winlogon）殺掉后系統就崩潰了。

5、對于端口工具，網上的確有很多，不過網上隱藏端口的方法也很多，那些方法對 IceSword可是完全行不通的。其實本想帶個防火墻動態查找，不過不想弄得太臃腫。這里的端口是指windows的IPv4 Tcpip協議棧所屬的端口，第三方協議棧或IPv6棧不在此列。

目前一些流氓軟件采取的手段無所不用其極：線程注入，進程隱藏，文件隱藏，驅動保護，普通用 戶想把文件給刪了或者找出進程來，是非常困難的。有的是看到了，刪不掉，殺不掉，干著急，實在不行，還需要從另外的作系統去刪除文件。比如采取驅動保護的 流氓軟件如CNNIC，雅虎助手之類，.sys驅動加載的時候，它過濾了文件和注冊表作，直接返回一個true,Windows提示文件刪了，但一看，它 還在那里。象一些文件刪除工具如unclocker都無效。IceSword是目前所知唯一可以直接刪除這類已經加載的驅動和采取注冊表保護的工具。象清 除CNNIC這類流氓軟件，不需要重啟也可以完成了。

IS采取了很多新穎的、內核級的方法和手段，關于它的技術細節不在本文討論之列，下面主要從使用者角度講一下它的主要功能：

■查看進程

包括運行進程的文件地址、各種隱藏的進程以及優先級。用它也可以輕易殺掉用任務管理器、Procexp等工具殺不掉的進程。還可以查看進程的線程、模塊信息，結束線程等。

■查看端口

類似于cport、ActivePort這類工具，顯示當前本地打開的端品以及相應的應用程序地址、名字。包括使用了各種手段隱藏端口的工具，在它下面，都一覽無余。

■內核模塊 加載到系統內和空間的PE模塊，一般都是驅動程序*.sys，可以看到各種已經加載的驅動。包括一些隱藏的驅動文件，如IS自身的IsDrv118.sys，這個在資源管理器里是看不見的。

■啟動組

Windows啟動組里面的相關方式，這個比較容易理解了。不過可惜的是沒有提示刪除功能，只能查看。

■服務

用于查看系統中的被隱藏的或未隱藏的服務，隱藏的服務以紅色顯示。提供對服務的作如啟動，停止，禁用等。

■SPI和BHO

這兩個是目前流氓軟件越來越看中的地方。SPI是服務提供接口，即所有Windows的網絡 作都是通過這個接口發出和接收數據包的。很多流氓軟件把這個.dll替換掉，這樣就可以監視所有用戶訪問網絡的包，可以針對性投放一些廣告。如果不清楚的 情況下，把這個.dll刪掉，會造成網絡無法使用，上不了網。LSPFix等工具就是針對這個功能的。BHO就更不用說了，瀏覽器的輔助插件，用戶啟動瀏 覽器的時候，它就可以自動啟動，彈出廣告窗口什么的。這兩項僅提供查看的功能。

■SSDT (System Service Descriptor Table)

系統服務描述表，內核級后門有可能修改這個服務表，以截獲你系統的服務函數調用，特別是一些老的rootkit，像上面提到的ntrootkit通過這種hook實現注冊表、文件的隱藏。被修改的值以紅色顯示，當然有些安全程序也會修改，比如regmon。

■消息鉤子

若在dll中使用SetWindowsHookEx設置一全局鉤子，系統會將其加載入使用user32的進程中，因而它也可被利用為無進程木馬的進程注入手段。

■線程創建和線程終止監視

“監視進線程創建”將IceSword運行期間的進線程創建調用記錄在循環緩沖里，“監視進 程終止”記錄一個進程被其它進程Terminate的情況。舉例說明作用：一個木馬或病毒進程運行起來時查看有沒有殺毒程序如norton的進程，有則殺 之，若IceSword正在運行，這個作就被記錄下來，你可以查到是哪個進程做的事，因而可以發現木馬或病毒進程并結束之。再如：一個木馬或病毒采用多線 程保護技術，你發現一個異常進程后結束了，一會兒它又起來了，你可用IceSword發現是什么線程又創建了這個進程，把它們一并殺除。中途可能會用到 “設置”菜單項：在設置對話框中選中“禁止進線程創建”，此時系統不能創建進程或者線程，你安穩的殺除可疑進線程后，再取消禁止就可以了。

■注冊表Regedit有什么不足？

說起Regedit的不足就太多了，比如它的名稱長度限制，建一個全路徑名長大于255字節 的子項看看（編程或用其他工具，比如 regedt32），此項和位于它后面的子鍵在regedit中顯示不出來；再如有意用程序建立的有特殊字符的子鍵regedit根本打不開。

IceSword中添加注冊表編輯并不是為了解決上面的問題，因為已經有了很多很好的工具可以代替Regedit。IceSword中的“注冊表”項是為了查找被木馬后門隱藏的注冊項而寫的，它不受目前任何注冊表隱藏手法的蒙蔽，真正可靠的讓你看到注冊表實際內容。

如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個鍵值，就是通過它來加載cndport.sys這個驅動文件的。通過Regedit你刪除會直接出錯，根本無法刪除。而用IS就可以輕易干掉。

■文件作

IS的文件作有點類似于資源管理器，雖然作起來沒有那么方便，但是它的獨到功能在于具備反隱 藏、反保護的功能。還有對安全的副作用是本來 system32\config\SAM等文件是不能拷貝也不能打開的，但IceSword是可以直接拷貝的。類似于已經加載的驅動，如CNNIC的 cdnport.sys這個文件，目前只有IS可以直接把它刪除，其它無論什么方式，都無法破除驅動自身的保護。

即使對大多數有用的unlocker，CopyLock、KillBox都是無效的。利用 Windows的系統還沒有完全加載的刪除機制，通過在 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations，這個是所有刪除頑固文件工具的最后一招，但它也被驅動保護變得無效了。以 前的情況就是需要重啟啟動到另外一個作系統下刪除。

----那幫做流氓軟件的可真是手段無所不用其及。

IceSword內部功能是十分強大的。可能您也用過很多類似功能的軟件，比如一些進程工 具、端口工具，但是現在的系統級后門功能越來越強，一般都可輕而易舉地隱藏進程、端口、注冊表、文件信息，一般的工具根本無法發現這些“幕后黑手”。 IceSword使用大量新穎的內核技術，使得這些后門躲無所躲.

IceSword大量采用新穎技術，有別于其他普通進程工具，比如IceSword就可以結 束除Idle進程、System進程、csrss進程這三個進程外的所有進程，就這一點，其他同類軟件就是做不到的。當然有些進程也不是隨便可以結束的， 如系統的winlogon.exe進程，一旦殺掉后系統就崩潰了，這些也需要注意。