冰刃IceSword 下载-冰刃IceSword V1.22 绿色版

　　IceSword是一款非常强大的病毒查杀工具。IceSword适用于Windows 2000/XP/2003/Vista/win 7/win 8操作系统。采用内核技术，可以控制底层系统，提供进程、内存、线程、块、句柄、窗口管理、网络连接查看等多种功能，可以有效帮助用户手动查杀病毒。

功能介绍

1、参见/还原SSDT和影子SSDT

2、查看/备份/恢复/自动修复卷引导记录(VBR)

3、全局描述符表

4.跟踪/恢复RING3和RING0的内嵌钩子。

5.检验文件的签名

6、查看/恢复重要驱动程序分配功能

7.枚举驱动程序中的文件并强制新建/解锁/删除/销毁文件。

8、查看/恢复内核对象例程钩子

9.提起I/O计时器

10.行为监控(创建进程/创建线程/加载驱动程序/修改注册表/更改文件系统/连接网络/修改时间)

11、通知和回拨

说明

在解释软件之前，首先要注意的是：不要在这个程序运行的时候激活内核调试器(比如softice)，否则系统可能会立刻崩溃。另外，请在使用前保存好您的数据，以防未知bug造成损失。Iceword目前只为使用32位x86兼容CPU的系统设计，运行Iceword需要管理员权限。第一次请保存数据，使用冰剑需要承担bug可能带来的风险！

施用方式

　　一、界面介绍

当您打开该软件时，系统任务栏或软件标题栏中只显示随机字符串“CE318C ”,而不是常见的程序名称。这是冰剑独有的随机字符串标题栏。每次打开出现的字符串都是随机生成的，所以通过标题栏关闭程序的木马和后门都没用。您还可以更改其文件名，如killvir.exe，显示的进程名称将变成killvir.exe。

　　（一）设置IceSword

运行IceSword.exe。如果不行，请先试着把文件名改成随机名。例如，188965.com点击左上角的“文件”，然后选择“设置”，检查底部的三个项目并点击“确定”。注意：在此设置后，您不能打开任何新程序。如果要配合SREng等软件扫描的日志，请在设置前打开文件。

　　（二）进程

　　1、查找并结束可疑进程

点击窗口左侧的“流程”可以查看系统的当前流程。隐藏的进程以红色显示，系统默认没有(看不到系统自带的“任务管理器”，有时也找不到另一个强大的进程查看软件Process Explorer)，所以应该结束所有红色项(当然主程序IceSword.exe除外)。如果你确定这些是正常的，你可以把它们关掉。顺便结束这些过程：Explorer.exe，iexplore.exe，rundll32.exe。

按住Ctrl键选择多项，然后点击右键菜单中的“结束流程”，即可一次性结束所有需要结束的流程。注意：记录源文件地址，当时删除。IceSword可以结束除空闲进程、系统进程、csrss进程之外的所有进程，这是很多同类软件做不到的。但是有些过程是不能随便结束的，比如系统的winlogon.exe过程。一旦被扼杀，系统就会崩溃。

　　2、终止插入的DLL文件

例如，许多特洛伊木马喜欢插入explorer.exe来执行所需的操作。这些插入的DLL文件呢？选择explorer.exe进程，然后点击右键菜单中的“模块信息”，就会看到该嵌入式进程的所有DLL文件，找到病毒模块，点击卸载结束这个DLL。如果病毒程序很严重，可能无法卸载，那么强制卸载就会起作用。一般的DLL包括系统DLL都是可以强制卸载的，所以慎用这个函数。

进程中还有其他功能，比如强制线程终止，包括右键菜单中的线程信息，内存读写等。这里就不介绍了。

　　（三）内核模块

内核模块是加载到系统和空间中的PE模块。内核程序是由C:windowssystem32tkrnlpa.exe这样的程序启动的，基本上就是一个驱动*。C: Windows System32驱动下的sys文件，当然还有C: Windows System32目录下的几个SYS文件，只有几个dll文件，我电脑里有三个。冰之刃中的内核模块只能查看简单的内核信息，通过知识分析正常和异常的内核。

　　（四）启动组

和内核程序一样，只能查看，不能处理。只显示了以下几个地方的启动项，不全面。你可以使用Ice Blade的注册表删除可疑启动。操作方法见下图。

注册表中仅包含HKEY _当前_用户软件微软Windows当前版本运行和HKEY _本地_机器软件软件Windows当前版本运行。这些文件夹包括C:文档和设置，您使用的用户名，开始菜单程序启动和C:文档和设置所有用户，开始菜单程序启动。

　　（五）服务

　　1、显示隐藏服务

隐藏的服务可以显示在服务中，用红色表示，就像流程一样。

　　2、修改服务状态（启动、停止等）

打开服务，选择要操作的服务，按Ctrl选择多项，在右键菜单中选择要操作的操作，如停止、启动、暂停、恢复。这里要注意一个问题，就是系统的关键服务不能停止，否则系统会自动重启电脑。这只修改当前状态，重新启动计算机后，如果服务的启动类型是自动，服务也会启动。

　　3、修改服务的启动类型（禁用、自动、手动）

打开服务，选择要操作的服务，按Ctrl选择多项，在右键菜单中选择要操作的操作，如禁用、自动、手动。此修改为启动类型，修改后无法修改当前状态。

　　（六）注册表

冰刃对注册表有非常高的权限(管理员权限)，可以在系统的注册表编辑器中看到一些看不见的项目。所以操作的时候一定要充分自信，不要因为误删或误改了一些关键的系统项目而导致电脑系统崩溃。

　　（七）文件

文件是您可以浏览计算机上所有文件的地方。你可以看到任何隐藏的文件。如果不能删除文件，也可以使用强制删除等特殊方法删除。下面将详细介绍具体的方法。

　　二、清理方法

　　（一）恢复SSDT

SSDT -系统服务表，一些“rootkit”经常通过hook拦截你系统的服务函数调用，隐藏注册表和文件。修改后的值显示为红色，但是当然，一些安全程序也会被修改，比如Windows System 32驱动Klinf。Sys，这是卡巴斯基内核驱动程序。

下图显示了恢复默认值的方法。记下这里显示的可疑文件的位置和文件名，到时候删除源文件。

　　（二）清理文件

　　1、首先应清理隐藏进程的程序

　　2、清理SSDT中显示的文件

要彻底清理文件，您可以右键单击文件夹并选择“搜索文件”来查找之前找到的文件。具体方法与注册表搜索相同。有时候会强行删除文件失败。请先使用“删除”。

如果你的分区格式是NTFS，清理的时候请用管理员的权限账号登录，右键目录，选择“枚举广告(不包括子目录)”(如果全部使用的话会花很长时间)。这样，我们就可以找出NTFS备用数据流(ADS)隐藏的文件。

清理方法：选中文件，从右键菜单中选择删除。如果无法删除，请选择强制删除。

　　（三）清理BHO

IceSword的“BHO”功能可以检查可能被浏览器劫持的项目。

　　（四）删除注册表相关信息

　　1、系统服务所在位置：

HKEY _本地_机器系统当前控制集服务HKEY _本地_机器系统控制集001服务HKEY _本地_机器系统控制集002服务

　　2、常见启动项位置：

HKEY _当前_用户软件微软视窗微软版本运行HKEY _本地_机器软件微软视窗微软版本运行HKEY _本地_机器软件微软视窗微软版本运行

有的可以直接删除主键，如下图所示：

有的直接删除项目，如下图：

按如下方式搜索注册表中的其他位置：

删除启动项运行，例如：

　　三、最后的修复

(一)首先，你要恢复第一步中IS的设置。

(二)安装查杀软件，联网，升级，重启杀毒。

(3)处理病毒修改的系统设置

比如隐藏文件的设置，宿主文件的修改，主页等IE项目的修改，文件关联的修改等等。这些修改一般在杀毒结束后进行。

更新日志

1.添加普通文件、广告、注册表、模块的搜索功能。

2.隐藏签名项目。

3.用模块进行钩子扫描。

4.增强心脏功能。

上面给大家详细的介绍了冰刃IceSword ，以上内容仅2u手游网小编个人理解，最后希望大家喜欢!