icesword下載_冰刃IceSword v1.22綠色漢化版(木馬后門查探器)

冰刃IceSword綠色版是winwin7給大家分享介紹的一款用于查探windwos 系統(tǒng)木馬后門的一個病毒查殺輔助軟件。IceSword使用了大量的內(nèi)核技術(shù)，讓木馬后門無法躲藏，在使用這款軟件之前，不要激活內(nèi)核調(diào)試器(如softice)，不然系統(tǒng)可能會崩潰，只為使用32位的x86兼容CPU的系統(tǒng)設(shè)計, 另外運行IceSword需要管理員權(quán)限，如果是第一次使用該軟件建議將數(shù)據(jù)進(jìn)行備份。 


 

icesword 使用方法

1、使用冰刃IceSword，點“文件”，“設(shè)置”，選中“禁止進(jìn)線程創(chuàng)建、禁止協(xié)議功能”。
2、打開“進(jìn)程”找到不正常的進(jìn)程項目，鼠標(biāo)右鍵點擊選中“模塊信息”打開察看加載的.dll模塊情況！
3、找到病毒模塊.dll文件，點“卸載”或“強(qiáng)制解除”（一般情況主流殺軟提供了病毒模塊的名字）！
4、點“進(jìn)程”找到病毒文件進(jìn)程，點鼠標(biāo)右鍵點“結(jié)束進(jìn)程”此時病毒進(jìn)程就徹底結(jié)束了（但是如果是系統(tǒng)關(guān)鍵進(jìn)程不要操作這一步，不然系統(tǒng)會重啟）。
5、再點“文件”，“設(shè)置”，取消“禁止進(jìn)線程創(chuàng)建、禁止協(xié)議功能”不然其他程序無法運行！
6、點左下角“文件”，逐步按病毒路徑查找到病毒文件點鼠標(biāo)右鍵點“刪除”。
7、在刪除病毒文件后，在原處建立一個同名帶擴(kuò)展名的文件夾，因為電腦的任何操作系統(tǒng)都不允許同名的文件和文件夾存在，這樣可以防止重啟后病毒文件的自我修復(fù)，為保萬無一失和防止以后的復(fù)發(fā)，通常都做一個文件夾放在那里（可以忽略）。
8、現(xiàn)在處理注冊表，在開始-運行中輸入regedit按CTRL+F查找被刪除的病毒文件的名字把查到的值刪掉再按F3查；直到把所有的值都刪完。
 

icesword 功能

1、進(jìn)程欄里的控制模塊檢索(FindModules)
2、刪除注冊表欄里的檢索功能(Find、FindNext)
3、文檔欄里的檢索功能，分別是ADS的枚舉類型（包含或不包括根目錄）、一般文件查找（FindFiles)
上邊是規(guī)定數(shù)最多的，的確對搜索惡意程序有協(xié)助
4、BHO欄的刪掉、SSDT欄的修復(fù)(Restore)
5、AdvancedScan：第三步的ScanModule出示給一些高級用戶應(yīng)用，一般用戶不必隨意restore，非常不必restore第一項顯示信息為"-----"的內(nèi)容，由于他們或者電腦操作系統(tǒng)自身修改項、或者IceSword修改項，restore后會使崩潰或者IceSword不可以一切正常工作中。最開始的IceSword也會自主restore一些核心實行體、系統(tǒng)文件的故意inlinehook，但是仍未提醒用戶，感覺像SVV那般讓高級用戶自主剖析將會會有協(xié)助。此外里邊的一些項會有反復(fù)（IAThook與Inlinemodifiedhook），懶惰不查驗了，反復(fù)restore并沒有很大關(guān)聯(lián)。也有掃描儀時不必做其他事，請耐心等待。
有盆友提議應(yīng)當(dāng)對尋找的結(jié)果多做一些剖析，分辨出修改后編碼的實際意義，這自然非常好，但是要極致的結(jié)果工作中很繁瑣——例如我能用一條命令自動跳轉(zhuǎn)，還可以用十條或大量數(shù)據(jù)冗余命令做一樣的工作中——沒有時間健全，因此只能JMP/PUSH+RET的分辨。建議下對高級用戶可選擇的取代計劃方案：記牢修改的詳細(xì)地址，應(yīng)用進(jìn)程欄里的“運行內(nèi)存讀寫能力”中的“反匯編”功能，就先請用戶人工服務(wù)剖析一下吧，呵呵呵。
6、掩藏簽字項（View->HideSignedItems）。在萊單中選中后對進(jìn)程、控制模塊例舉、驅(qū)動器、服務(wù)項目四欄有功效。要留意選中后更新那四欄會比較慢，要細(xì)心等。運作全過程中系統(tǒng)軟件相關(guān)函數(shù)會積極聯(lián)接外部以獲得一些信息內(nèi)容（例如去crl.microsoft.com獲得資格證書注銷目錄），一般來說，可以用服務(wù)器防火墻禁之，因此選中后發(fā)覺IS有聯(lián)接也無須怪異，M$搞的，呵呵呵。
7、別的便是內(nèi)部關(guān)鍵功能的提升了，零零碎碎有挺多，也不詳說了。應(yīng)用時請觀查下View->InitState，有并不是“OK”的表明復(fù)位未完，請report一下。

有需要對電腦系統(tǒng)查看木馬后門的用戶快來試試它吧~