IceSword，也稱(chēng)為冰刀或者冰刃，有些地址簡(jiǎn)稱(chēng)IS，是USTC的PJF出品的一款系統(tǒng)診斷、清除利器。

清除流氓軟件工具無(wú)數(shù)，為什么稱(chēng)之為第一利器呢，有如下的理由：

1）你是不是經(jīng)常有文件刪不掉？如CNNIC或者3721的文件？

2）是不是經(jīng)常有注冊(cè)表不讓你修改？如CNNIC的注冊(cè)表是它自動(dòng)保護(hù)起來(lái)的

3）是不是經(jīng)常有進(jìn)程殺不掉，提示“無(wú)法完成”？

4）是不是瀏覽器有N多的插件？

5）是不是有一些程序運(yùn)行的時(shí)候隱藏了進(jìn)程和端口？

6) 是不是有一些流氓軟件的文件在資源管理器下看都看不到？

1、絕大多數(shù)所謂的進(jìn)程工具都是利用Windows的Toolhlp32或psapi再或 ZwQuerySystemInformation系統(tǒng)調(diào)用（前二者最終也用到此調(diào)用）來(lái)編寫(xiě)，隨便一個(gè)ApiHook就可輕輕松松干掉它們，更不用說(shuō)一 些內(nèi)核級(jí)后門(mén)了；極少數(shù)工具利用內(nèi)核線程調(diào)度結(jié)構(gòu)來(lái)查詢(xún)進(jìn)程，這種方案需要硬編碼，不僅不同版本系統(tǒng)不同，打個(gè)補(bǔ)丁也可能需要升級(jí)程序，并且現(xiàn)在有人也提 出過(guò)防止此種查找的方法。而IceSword的進(jìn)程查找核心態(tài)方案是目前獨(dú)一無(wú)二的，并且充分考慮內(nèi)核后門(mén)可能的隱藏手段，目前可以查出所有隱藏進(jìn)程。

2、絕大多數(shù)工具查找進(jìn)程路徑名也是通過(guò)Toolhlp32、psapi，前者會(huì)調(diào)用 RtlDebug***函數(shù)向目標(biāo)注入遠(yuǎn)線程，后者會(huì)用調(diào)試api讀取目標(biāo)進(jìn)程內(nèi)存，本質(zhì)上都是對(duì)PEB的枚舉，通過(guò)修改PEB就輕易讓這些工具找不到北 了。而IceSword的核心態(tài)方案原原本本地將全路徑展示，運(yùn)行時(shí)剪切到其他路徑也會(huì)隨之顯示。

3、進(jìn)程dll模塊與2的情況也是一樣，利用PEB的其他工具會(huì)被輕易欺騙，而IceSword不會(huì)弄錯(cuò)（有極少數(shù)系統(tǒng)不支持，此時(shí)仍采用枚舉PEB）。

4、 IceSword的進(jìn)程殺除強(qiáng)大且方便（當(dāng)然也會(huì)有危險(xiǎn)）。可輕易將選中的多個(gè)任意進(jìn)程一并殺除。當(dāng)然，說(shuō)任意不確切，除去三個(gè)：idle進(jìn)程、 System進(jìn)程、csrss進(jìn)程，原因就不詳述了。其余進(jìn)程可輕易殺死，當(dāng)然有些進(jìn)程（如winlogon）殺掉后系統(tǒng)就崩潰了。

5、對(duì)于端口工具，網(wǎng)上的確有很多，不過(guò)網(wǎng)上隱藏端口的方法也很多，那些方法對(duì) IceSword可是完全行不通的。其實(shí)本想帶個(gè)防火墻動(dòng)態(tài)查找，不過(guò)不想弄得太臃腫。這里的端口是指windows的IPv4 Tcpip協(xié)議棧所屬的端口，第三方協(xié)議棧或IPv6棧不在此列。

目前一些流氓軟件采取的手段無(wú)所不用其極：線程注入，進(jìn)程隱藏，文件隱藏，驅(qū)動(dòng)保護(hù)，普通用 戶(hù)想把文件給刪了或者找出進(jìn)程來(lái)，是非常困難的。有的是看到了，刪不掉，殺不掉，干著急，實(shí)在不行，還需要從另外的作系統(tǒng)去刪除文件。比如采取驅(qū)動(dòng)保護(hù)的 流氓軟件如CNNIC，雅虎助手之類(lèi)，.sys驅(qū)動(dòng)加載的時(shí)候，它過(guò)濾了文件和注冊(cè)表作，直接返回一個(gè)true,Windows提示文件刪了，但一看，它 還在那里。象一些文件刪除工具如unclocker都無(wú)效。IceSword是目前所知唯一可以直接刪除這類(lèi)已經(jīng)加載的驅(qū)動(dòng)和采取注冊(cè)表保護(hù)的工具。象清 除CNNIC這類(lèi)流氓軟件，不需要重啟也可以完成了。

IS采取了很多新穎的、內(nèi)核級(jí)的方法和手段，關(guān)于它的技術(shù)細(xì)節(jié)不在本文討論之列，下面主要從使用者角度講一下它的主要功能：

■查看進(jìn)程

包括運(yùn)行進(jìn)程的文件地址、各種隱藏的進(jìn)程以及優(yōu)先級(jí)。用它也可以輕易殺掉用任務(wù)管理器、Procexp等工具殺不掉的進(jìn)程。還可以查看進(jìn)程的線程、模塊信息，結(jié)束線程等。

■查看端口

類(lèi)似于cport、ActivePort這類(lèi)工具，顯示當(dāng)前本地打開(kāi)的端品以及相應(yīng)的應(yīng)用程序地址、名字。包括使用了各種手段隱藏端口的工具，在它下面，都一覽無(wú)余。

■內(nèi)核模塊 加載到系統(tǒng)內(nèi)和空間的PE模塊，一般都是驅(qū)動(dòng)程序*.sys，可以看到各種已經(jīng)加載的驅(qū)動(dòng)。包括一些隱藏的驅(qū)動(dòng)文件，如IS自身的IsDrv118.sys，這個(gè)在資源管理器里是看不見(jiàn)的。

■啟動(dòng)組

Windows啟動(dòng)組里面的相關(guān)方式，這個(gè)比較容易理解了。不過(guò)可惜的是沒(méi)有提示刪除功能，只能查看。

■服務(wù)

用于查看系統(tǒng)中的被隱藏的或未隱藏的服務(wù)，隱藏的服務(wù)以紅色顯示。提供對(duì)服務(wù)的作如啟動(dòng)，停止，禁用等。

■SPI和BHO

這兩個(gè)是目前流氓軟件越來(lái)越看中的地方。SPI是服務(wù)提供接口，即所有Windows的網(wǎng)絡(luò) 作都是通過(guò)這個(gè)接口發(fā)出和接收數(shù)據(jù)包的。很多流氓軟件把這個(gè).dll替換掉，這樣就可以監(jiān)視所有用戶(hù)訪問(wèn)網(wǎng)絡(luò)的包，可以針對(duì)性投放一些廣告。如果不清楚的 情況下，把這個(gè).dll刪掉，會(huì)造成網(wǎng)絡(luò)無(wú)法使用，上不了網(wǎng)。LSPFix等工具就是針對(duì)這個(gè)功能的。BHO就更不用說(shuō)了，瀏覽器的輔助插件，用戶(hù)啟動(dòng)瀏 覽器的時(shí)候，它就可以自動(dòng)啟動(dòng)，彈出廣告窗口什么的。這兩項(xiàng)僅提供查看的功能。

■SSDT (System Service Descriptor Table)

系統(tǒng)服務(wù)描述表，內(nèi)核級(jí)后門(mén)有可能修改這個(gè)服務(wù)表，以截獲你系統(tǒng)的服務(wù)函數(shù)調(diào)用，特別是一些老的rootkit，像上面提到的ntrootkit通過(guò)這種hook實(shí)現(xiàn)注冊(cè)表、文件的隱藏。被修改的值以紅色顯示，當(dāng)然有些安全程序也會(huì)修改，比如regmon。

■消息鉤子

若在dll中使用SetWindowsHookEx設(shè)置一全局鉤子，系統(tǒng)會(huì)將其加載入使用user32的進(jìn)程中，因而它也可被利用為無(wú)進(jìn)程木馬的進(jìn)程注入手段。

■線程創(chuàng)建和線程終止監(jiān)視

“監(jiān)視進(jìn)線程創(chuàng)建”將IceSword運(yùn)行期間的進(jìn)線程創(chuàng)建調(diào)用記錄在循環(huán)緩沖里，“監(jiān)視進(jìn) 程終止”記錄一個(gè)進(jìn)程被其它進(jìn)程Terminate的情況。舉例說(shuō)明作用：一個(gè)木馬或病毒進(jìn)程運(yùn)行起來(lái)時(shí)查看有沒(méi)有殺毒程序如norton的進(jìn)程，有則殺 之，若IceSword正在運(yùn)行，這個(gè)作就被記錄下來(lái)，你可以查到是哪個(gè)進(jìn)程做的事，因而可以發(fā)現(xiàn)木馬或病毒進(jìn)程并結(jié)束之。再如：一個(gè)木馬或病毒采用多線 程保護(hù)技術(shù)，你發(fā)現(xiàn)一個(gè)異常進(jìn)程后結(jié)束了，一會(huì)兒它又起來(lái)了，你可用IceSword發(fā)現(xiàn)是什么線程又創(chuàng)建了這個(gè)進(jìn)程，把它們一并殺除。中途可能會(huì)用到 “設(shè)置”菜單項(xiàng)：在設(shè)置對(duì)話框中選中“禁止進(jìn)線程創(chuàng)建”，此時(shí)系統(tǒng)不能創(chuàng)建進(jìn)程或者線程，你安穩(wěn)的殺除可疑進(jìn)線程后，再取消禁止就可以了。

■注冊(cè)表Regedit有什么不足？

說(shuō)起Regedit的不足就太多了，比如它的名稱(chēng)長(zhǎng)度限制，建一個(gè)全路徑名長(zhǎng)大于255字節(jié) 的子項(xiàng)看看（編程或用其他工具，比如 regedt32），此項(xiàng)和位于它后面的子鍵在regedit中顯示不出來(lái)；再如有意用程序建立的有特殊字符的子鍵regedit根本打不開(kāi)。

IceSword中添加注冊(cè)表編輯并不是為了解決上面的問(wèn)題，因?yàn)橐呀?jīng)有了很多很好的工具可以代替Regedit。IceSword中的“注冊(cè)表”項(xiàng)是為了查找被木馬后門(mén)隱藏的注冊(cè)項(xiàng)而寫(xiě)的，它不受目前任何注冊(cè)表隱藏手法的蒙蔽，真正可靠的讓你看到注冊(cè)表實(shí)際內(nèi)容。

如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個(gè)鍵值，就是通過(guò)它來(lái)加載cndport.sys這個(gè)驅(qū)動(dòng)文件的。通過(guò)Regedit你刪除會(huì)直接出錯(cuò)，根本無(wú)法刪除。而用IS就可以輕易干掉。

■文件作

IS的文件作有點(diǎn)類(lèi)似于資源管理器，雖然作起來(lái)沒(méi)有那么方便，但是它的獨(dú)到功能在于具備反隱 藏、反保護(hù)的功能。還有對(duì)安全的副作用是本來(lái) system32\config\SAM等文件是不能拷貝也不能打開(kāi)的，但I(xiàn)ceSword是可以直接拷貝的。類(lèi)似于已經(jīng)加載的驅(qū)動(dòng)，如CNNIC的 cdnport.sys這個(gè)文件，目前只有IS可以直接把它刪除，其它無(wú)論什么方式，都無(wú)法破除驅(qū)動(dòng)自身的保護(hù)。

即使對(duì)大多數(shù)有用的unlocker，CopyLock、KillBox都是無(wú)效的。利用 Windows的系統(tǒng)還沒(méi)有完全加載的刪除機(jī)制，通過(guò)在 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations，這個(gè)是所有刪除頑固文件工具的最后一招，但它也被驅(qū)動(dòng)保護(hù)變得無(wú)效了。以 前的情況就是需要重啟啟動(dòng)到另外一個(gè)作系統(tǒng)下刪除。

----那幫做流氓軟件的可真是手段無(wú)所不用其及。

IceSword內(nèi)部功能是十分強(qiáng)大的。可能您也用過(guò)很多類(lèi)似功能的軟件，比如一些進(jìn)程工 具、端口工具，但是現(xiàn)在的系統(tǒng)級(jí)后門(mén)功能越來(lái)越強(qiáng)，一般都可輕而易舉地隱藏進(jìn)程、端口、注冊(cè)表、文件信息，一般的工具根本無(wú)法發(fā)現(xiàn)這些“幕后黑手”。 IceSword使用大量新穎的內(nèi)核技術(shù)，使得這些后門(mén)躲無(wú)所躲.

IceSword大量采用新穎技術(shù)，有別于其他普通進(jìn)程工具，比如IceSword就可以結(jié) 束除Idle進(jìn)程、System進(jìn)程、csrss進(jìn)程這三個(gè)進(jìn)程外的所有進(jìn)程，就這一點(diǎn)，其他同類(lèi)軟件就是做不到的。當(dāng)然有些進(jìn)程也不是隨便可以結(jié)束的， 如系統(tǒng)的winlogon.exe進(jìn)程，一旦殺掉后系統(tǒng)就崩潰了，這些也需要注意。