冰刃下载 v1.22 中文版

冰刃是一款非常实用的杀毒软件。文件背后的木马可以在冰刃中文版找到，给你更安全的使用环境。此外，软件还为用户提供了目录搜索功能，让你可以及时清理病毒文件。喜欢冰刃下载，请每天下载体验。你可以在这里免费下载！

【软件介绍】

冰剑适用于Windows 2000/XP/2003操作系统，内部功能非常强大，用于发现和处理木马后门。可能你用过很多功能类似的软件，比如一些流程工具，端口工具。但是现在系统级后门功能越来越强，一般容易隐藏进程、端口、注册表、文件信息。通用工具根本找不到这些“幕后”。冰剑使用了大量新颖的内核技术，这使得这些后门隐藏起来。

冰刃下载软件功能

1.在进程栏中搜索模块(查找模块)

2.注册表栏中的搜索功能(查找，查找下一个)

3.文件栏中的搜索功能有ADS枚举(包括或不包括子目录)和普通文件搜索(查找文件)

以上是最苛刻的，对发现恶意软件真的很有帮助

4.删除BHO专栏，恢复SSDT专栏

5.高级扫描：第三步的扫描模块是为部分高级用户提供的，一般用户不要随便恢复，尤其是第一项显示为'-'的，因为要么是操作系统自己修改的，要么是冰剑修改的，会导致系统崩溃或者冰剑无法正常工作。最早的IceSword会自行恢复内核执行器和文件系统的一些恶意inlinehooks，但并没有提示用户，认为可能会对像SVV这样的高级用户分析自己有帮助。此外，其中的一些项目将被复制(IAT钩子和内联修改钩子)，因此重复恢复没有太大关系。扫描时不要做其他事情，请耐心等待。

有朋友建议对发现的结果多做分析，判断修改后的代码的意义，当然好，但是为了完美的结果而工作是很麻烦的。例如，我可以用一条指令跳转，或者用十条或更多冗余指令做同样的工作。没有时间去改进，所以只有JMP/PUSH RET可以判断。为高级用户提出一个替代方案：记住修改后的地址，使用进程栏“内存读写”中的“反汇编”功能，让用户先手动分析，呵呵。

6.查看-隐藏已签名的项目。在菜单中选择后，对流程、模块枚举、驱动和服务四列有影响。选择后注意刷新那四列，要有耐心。在运行过程中，系统相关功能会主动与外界连接，获取一些信息(例如，去crl.microsoft.com获取证书撤销列表)。一般来说，它们可以被防火墙禁止，所以选择后发现is连接也就不足为奇了。M$做到了，呵呵。

7.二是强化内部核心职能。零零碎碎的很多，就不细说了。使用时请注意查看初始化状态。如果有迹象表明初始化没有完成，请报告。

冰剑是用来斩断黑手的利刃(所以有点，嗯，嗯，嗯，嗯)。适用于Windows 2000/XP/2003/Vista操作系统，用于找出系统中的幕后人(木马后门)并进行处理。当然，使用它需要用户对操作系统有一定的了解。

在解释软件之前，先解释一下第一个注意事项：不要在这个程序运行时激活内核调试器(比如softice)，否则系统可能会立即崩溃。此外，请在使用前保存好您的数据，以防未知的bug带来损失。

IceSword只为使用32位x86兼容CPU的系统设计，运行IceSword需要管理员权限。

如果您使用过旧版本，请注意在使用新版本之前重启系统，不要两者交替使用。

冰剑的内部功能非常强大。可能你用过很多功能类似的软件，比如一些流程工具，端口工具。但是系统级后门功能越来越强，一般容易隐藏进程、端口、注册表、文件信息。一般的工具根本找不到这些“幕后”。冰剑使用了大量新颖的内核技术，这使得这些后门隐藏起来。

如何退出冰剑：直接关闭。如果你想阻止进程结束，你需要以命令行的形式输入：IceSword.exe/c。此时需要Ctrl Alt D关闭(使用三键前按任意键)。

如果托盘图标最小化到托盘后再次消失：此时可以使用Ctrl Alt S调出冰剑主界面。我没有重新绘制图标，因为我很懒，所以我会使用它。

你不必为这个软件付费。这个软件是免费的。

冰刃下载菜单介绍

设置：本栏每一项的含义与其名称一致，如常见问题解答所示。

dump:“GDT/IDT”将GDT和IDT的内容保存到GDT.txt和IDT.txt中；在当前目录中；

“列表”将当前列表中的某些列(仅针对前五项，即进程、端口、内核模块、启动组和服务)保存在用户指定的日志文件中。例如，要将进程路径名保存到日志文件中，首先单击“进程”按钮，然后选择“列表”菜单，指定文件，然后确认。

托盘切换：尽量减少冰刀到托盘，反之亦然。

冰刃下载教程

首先，从这个网站下载冰刃软件(冰剑)

查看流程，打开iceword冰刃，找到功能，找到【流程】如图。如何在右侧显示红色表示异常

点击端口查看功能-端口，找到可以查看系统的开放端口。

开始项目功能菜单并找到开始项目。在右侧，您可以查看注册表路径和启动文件路径

单击服务项的功能项的服务列，直接查看服务器本机服务。此外，扩展了当前启动服务的进程标识

注册表管理

单击注册表项和注册表中的内容

单击文件菜单中的设置以添加和删除服务流程列表。您也可以直接禁用进程创建并锁定它

创建线程规则，如左左截图所示。您可以添加新的线程规则

冰刃下载常见问题

问：进程端口工具很多，为什么要用冰剑？

答：1。所谓的流程工具，大部分都是使用Windows的Toolhlp32或者psapi或者ZwQuerySystemInformation系统调用编写的(前两者最终都是使用这个调用)，任何一个ApiHook都可以轻松干掉它们，更不用说一些内核级的后门了；很少有工具使用内核线程调度结构来查询进程。这个方案需要硬编码。不仅不同版本的系统不同，而且一个补丁也可能需要升级程序。一些人还提出了防止这种搜索的方法。IceSword的进程搜索内核模式方案是独一无二的，充分考虑内核后门可能的隐藏手段，可以找到所有隐藏的进程。

2.大多数工具通过Toolhlp32和psapi找到过程路径名。前者将调用RtlDebug***函数向目标注入远线程，而后者将通过调试api读取目标进程内存，这本质上是对PEB的枚举。通过修改PEB，这些工具不能轻易找到北方。IceSword的核心模式方案会按原样显示整个路径，运行时切到其他路径也会显示。

3.进程dll模块与2相同。其他使用PEB的工具会很容易上当受骗，但是冰剑不会出错(不支持的系统很少，枚举PEB这个时候还在用)。

4.冰剑的进程杀戮强大又方便(当然会有危险)。多个选定的任意进程可以很容易地一起被杀死。当然，说什么都不准确，除了三个：闲置进程、系统进程、csrss进程，原因不详细。其他进程很容易被杀死。当然，一些进程(如winlogon)被终止，系统崩溃。

5.网上有很多端口工具，但网上也有很多隐藏端口的方法，对冰剑来说完全行不通。其实我想带防火墙动态搜索，但是不想太臃肿。这里的端口指的是windows的IPv4 Tcpip协议栈所属的端口，这里没有列出第三方协议栈或者IPv6栈。

问：windows自带强大便捷的服务工具。IceSowrd有哪些更好的特性？

答：因为比较懒，界面没有以前那么好了，但是冰剑的服务功能主要是查看木马服务，使用起来非常方便。比如顺便说一下一类木马的搜索：svchost是一些共享进程服务的宿主，有些木马是以dll的形式存在的，依靠svchost进行操作。怎么找到他们？首先，查看流程列，发现svchost太多。记住他们的pid，然后就可以找到PID对应的服务项目。查看其带有注册表的dll文件路径(从服务项第一列中列出的名称到注册表的服务子项中查找具有相应名称的子项)。根据是否为平时服务项目，很容易发现异常项目。剩下的工作是停止任务或结束进程、删除文件、恢复注册表等等。当然，在这个过程中是必要的。

问：那么什么样的木马后门隐藏进程注册表文件呢？用冰剑怎么找？

答：比如流行且开源(容易变化)的hxdef就是这样一个后门。冰剑可以用来轻松移除。您可以直接在进程栏中看到以红色显示的hxdef100进程，也可以在服务栏中看到以红色显示的服务项目。顺便说一下，您可以在注册表和文件栏中找到它们。如果木马反向连接，也可以在端口栏看到。要杀死它，首先从进程栏获取后门程序的完整路径，结束进程，删除后门目录，并删除注册表中服务对应的项目.这只是一个简短的谈话，请自行学习如何有效使用冰剑。

问：什么是“内核模块”？

答：加载到系统和空间中的PE模块主要是驱动* .sys，一般在核心状态后作为核心驱动存在。例如，一些rootkit加载了_root_。sys，前面提到的hxdef也加载hxdefdrv.sys，您可以在本专栏中看到。

问：“SPI”和“BHO”是什么？

答：SPI一栏列出了系统中的网络服务提供商，因为它可能被用作无进程木马。注意“DLL路径”。正常系统中只有两个不同的dll(当然协议更多)。BHO是IE的一个插件，它的全称是浏览器帮助对象。如果木马以这种形式存在，用户在打开网页时会激活木马。