icesword下載_冰刃IceSword v1.22綠色漢化版(木馬后門查探器)

冰刃IceSword綠色版是winwin7給大家分享介紹的一款用于查探windwos 系統(tǒng)木馬后門的一個(gè)病毒查殺輔助軟件。IceSword使用了大量的內(nèi)核技術(shù)，讓木馬后門無(wú)法躲藏，在使用這款軟件之前，不要激活內(nèi)核調(diào)試器(如softice)，不然系統(tǒng)可能會(huì)崩潰，只為使用32位的x86兼容CPU的系統(tǒng)設(shè)計(jì), 另外運(yùn)行IceSword需要管理員權(quán)限，如果是第一次使用該軟件建議將數(shù)據(jù)進(jìn)行備份。 


 

icesword 使用方法

1、使用冰刃IceSword，點(diǎn)“文件”，“設(shè)置”，選中“禁止進(jìn)線程創(chuàng)建、禁止協(xié)議功能”。
2、打開“進(jìn)程”找到不正常的進(jìn)程項(xiàng)目，鼠標(biāo)右鍵點(diǎn)擊選中“模塊信息”打開察看加載的.dll模塊情況！
3、找到病毒模塊.dll文件，點(diǎn)“卸載”或“強(qiáng)制解除”（一般情況主流殺軟提供了病毒模塊的名字）！
4、點(diǎn)“進(jìn)程”找到病毒文件進(jìn)程，點(diǎn)鼠標(biāo)右鍵點(diǎn)“結(jié)束進(jìn)程”此時(shí)病毒進(jìn)程就徹底結(jié)束了（但是如果是系統(tǒng)關(guān)鍵進(jìn)程不要操作這一步，不然系統(tǒng)會(huì)重啟）。
5、再點(diǎn)“文件”，“設(shè)置”，取消“禁止進(jìn)線程創(chuàng)建、禁止協(xié)議功能”不然其他程序無(wú)法運(yùn)行！
6、點(diǎn)左下角“文件”，逐步按病毒路徑查找到病毒文件點(diǎn)鼠標(biāo)右鍵點(diǎn)“刪除”。
7、在刪除病毒文件后，在原處建立一個(gè)同名帶擴(kuò)展名的文件夾，因?yàn)殡娔X的任何操作系統(tǒng)都不允許同名的文件和文件夾存在，這樣可以防止重啟后病毒文件的自我修復(fù)，為保萬(wàn)無(wú)一失和防止以后的復(fù)發(fā)，通常都做一個(gè)文件夾放在那里（可以忽略）。
8、現(xiàn)在處理注冊(cè)表，在開始-運(yùn)行中輸入regedit按CTRL+F查找被刪除的病毒文件的名字把查到的值刪掉再按F3查；直到把所有的值都刪完。
 

icesword 功能

1、進(jìn)程欄里的控制模塊檢索(FindModules)
2、刪除注冊(cè)表欄里的檢索功能(Find、FindNext)
3、文檔欄里的檢索功能，分別是ADS的枚舉類型（包含或不包括根目錄）、一般文件查找（FindFiles)
上邊是規(guī)定數(shù)最多的，的確對(duì)搜索惡意程序有協(xié)助
4、BHO欄的刪掉、SSDT欄的修復(fù)(Restore)
5、AdvancedScan：第三步的ScanModule出示給一些高級(jí)用戶應(yīng)用，一般用戶不必隨意restore，非常不必restore第一項(xiàng)顯示信息為"-----"的內(nèi)容，由于他們或者電腦操作系統(tǒng)自身修改項(xiàng)、或者IceSword修改項(xiàng)，restore后會(huì)使崩潰或者IceSword不可以一切正常工作中。最開始的IceSword也會(huì)自主restore一些核心實(shí)行體、系統(tǒng)文件的故意inlinehook，但是仍未提醒用戶，感覺像SVV那般讓高級(jí)用戶自主剖析將會(huì)會(huì)有協(xié)助。此外里邊的一些項(xiàng)會(huì)有反復(fù)（IAThook與Inlinemodifiedhook），懶惰不查驗(yàn)了，反復(fù)restore并沒有很大關(guān)聯(lián)。也有掃描儀時(shí)不必做其他事，請(qǐng)耐心等待。
有盆友提議應(yīng)當(dāng)對(duì)尋找的結(jié)果多做一些剖析，分辨出修改后編碼的實(shí)際意義，這自然非常好，但是要極致的結(jié)果工作中很繁瑣——例如我能用一條命令自動(dòng)跳轉(zhuǎn)，還可以用十條或大量數(shù)據(jù)冗余命令做一樣的工作中——沒有時(shí)間健全，因此只能JMP/PUSH+RET的分辨。建議下對(duì)高級(jí)用戶可選擇的取代計(jì)劃方案：記牢修改的詳細(xì)地址，應(yīng)用進(jìn)程欄里的“運(yùn)行內(nèi)存讀寫能力”中的“反匯編”功能，就先請(qǐng)用戶人工服務(wù)剖析一下吧，呵呵呵。
6、掩藏簽字項(xiàng)（View->HideSignedItems）。在萊單中選中后對(duì)進(jìn)程、控制模塊例舉、驅(qū)動(dòng)器、服務(wù)項(xiàng)目四欄有功效。要留意選中后更新那四欄會(huì)比較慢，要細(xì)心等。運(yùn)作全過程中系統(tǒng)軟件相關(guān)函數(shù)會(huì)積極聯(lián)接外部以獲得一些信息內(nèi)容（例如去crl.microsoft.com獲得資格證書注銷目錄），一般來(lái)說，可以用服務(wù)器防火墻禁之，因此選中后發(fā)覺IS有聯(lián)接也無(wú)須怪異，M$搞的，呵呵呵。
7、別的便是內(nèi)部關(guān)鍵功能的提升了，零零碎碎有挺多，也不詳說了。應(yīng)用時(shí)請(qǐng)觀查下View->InitState，有并不是“OK”的表明復(fù)位未完，請(qǐng)report一下。

有需要對(duì)電腦系統(tǒng)查看木馬后門的用戶快來(lái)試試它吧~