IceSword是一款非常强大的病毒查杀工具。IceSword适用于Windows 2000/XP/2003/Vista/win 7/win 8操作系统。采用内核技术,可以控制底层系统,提供进程、内存、线程、块、句柄、窗口管理、网络连接查看等多种功能,可以有效帮助用户手动查杀病毒。
功能介绍
1、参见/还原SSDT和影子SSDT
2、查看/备份/恢复/自动修复卷引导记录(VBR)
3、全局描述符表
4.跟踪/恢复RING3和RING0的内嵌钩子。
5.检验文件的签名
6、查看/恢复重要驱动程序分配功能
7.枚举驱动程序中的文件并强制新建/解锁/删除/销毁文件。
8、查看/恢复内核对象例程钩子
9.提起I/O计时器
10.行为监控(创建进程/创建线程/加载驱动程序/修改注册表/更改文件系统/连接网络/修改时间)
11、通知和回拨
说明
在解释软件之前,首先要注意的是:不要在这个程序运行的时候激活内核调试器(比如softice),否则系统可能会立刻崩溃。另外,请在使用前保存好您的数据,以防未知bug造成损失。Iceword目前只为使用32位x86兼容CPU的系统设计,运行Iceword需要管理员权限。第一次请保存数据,使用冰剑需要承担bug可能带来的风险!
施用方式
一、界面介绍
当您打开该软件时,系统任务栏或软件标题栏中只显示随机字符串“CE318C ”,而不是常见的程序名称。这是冰剑独有的随机字符串标题栏。每次打开出现的字符串都是随机生成的,所以通过标题栏关闭程序的木马和后门都没用。您还可以更改其文件名,如killvir.exe,显示的进程名称将变成killvir.exe。
(一)设置IceSword
运行IceSword.exe。如果不行,请先试着把文件名改成随机名。例如,188965.com点击左上角的“文件”,然后选择“设置”,检查底部的三个项目并点击“确定”。注意:在此设置后,您不能打开任何新程序。如果要配合SREng等软件扫描的日志,请在设置前打开文件。
(二)进程
1、查找并结束可疑进程
点击窗口左侧的“流程”可以查看系统的当前流程。隐藏的进程以红色显示,系统默认没有(看不到系统自带的“任务管理器”,有时也找不到另一个强大的进程查看软件Process Explorer),所以应该结束所有红色项(当然主程序IceSword.exe除外)。如果你确定这些是正常的,你可以把它们关掉。顺便结束这些过程:Explorer.exe,iexplore.exe,rundll32.exe。
按住Ctrl键选择多项,然后点击右键菜单中的“结束流程”,即可一次性结束所有需要结束的流程。注意:记录源文件地址,当时删除。IceSword可以结束除空闲进程、系统进程、csrss进程之外的所有进程,这是很多同类软件做不到的。但是有些过程是不能随便结束的,比如系统的winlogon.exe过程。一旦被扼杀,系统就会崩溃。
2、终止插入的DLL文件
例如,许多特洛伊木马喜欢插入explorer.exe来执行所需的操作。这些插入的DLL文件呢?选择explorer.exe进程,然后点击右键菜单中的“模块信息”,就会看到该嵌入式进程的所有DLL文件,找到病毒模块,点击卸载结束这个DLL。如果病毒程序很严重,可能无法卸载,那么强制卸载就会起作用。一般的DLL包括系统DLL都是可以强制卸载的,所以慎用这个函数。
进程中还有其他功能,比如强制线程终止,包括右键菜单中的线程信息,内存读写等。这里就不介绍了。
(三)内核模块
内核模块是加载到系统和空间中的PE模块。内核程序是由C:windowssystem32tkrnlpa.exe这样的程序启动的,基本上就是一个驱动*。C: Windows System32驱动下的sys文件,当然还有C: Windows System32目录下的几个SYS文件,只有几个dll文件,我电脑里有三个。冰之刃中的内核模块只能查看简单的内核信息,通过知识分析正常和异常的内核。
(四)启动组
和内核程序一样,只能查看,不能处理。只显示了以下几个地方的启动项,不全面。你可以使用Ice Blade的注册表删除可疑启动。操作方法见下图。
注册表中仅包含HKEY _当前_用户软件微软Windows当前版本运行和HKEY _本地_机器软件软件Windows当前版本运行。这些文件夹包括C:文档和设置,您使用的用户名,开始菜单程序启动和C:文档和设置所有用户,开始菜单程序启动。
(五)服务
1、显示隐藏服务
隐藏的服务可以显示在服务中,用红色表示,就像流程一样。
2、修改服务状态(启动、停止等)
打开服务,选择要操作的服务,按Ctrl选择多项,在右键菜单中选择要操作的操作,如停止、启动、暂停、恢复。这里要注意一个问题,就是系统的关键服务不能停止,否则系统会自动重启电脑。这只修改当前状态,重新启动计算机后,如果服务的启动类型是自动,服务也会启动。
3、修改服务的启动类型(禁用、自动、手动)
打开服务,选择要操作的服务,按Ctrl选择多项,在右键菜单中选择要操作的操作,如禁用、自动、手动。此修改为启动类型,修改后无法修改当前状态。
(六)注册表
冰刃对注册表有非常高的权限(管理员权限),可以在系统的注册表编辑器中看到一些看不见的项目。所以操作的时候一定要充分自信,不要因为误删或误改了一些关键的系统项目而导致电脑系统崩溃。
(七)文件
文件是您可以浏览计算机上所有文件的地方。你可以看到任何隐藏的文件。如果不能删除文件,也可以使用强制删除等特殊方法删除。下面将详细介绍具体的方法。
二、清理方法
(一)恢复SSDT
SSDT -系统服务表,一些“rootkit”经常通过hook拦截你系统的服务函数调用,隐藏注册表和文件。修改后的值显示为红色,但是当然,一些安全程序也会被修改,比如Windows System 32驱动Klinf。Sys,这是卡巴斯基内核驱动程序。
下图显示了恢复默认值的方法。记下这里显示的可疑文件的位置和文件名,到时候删除源文件。
(二)清理文件
1、首先应清理隐藏进程的程序
2、清理SSDT中显示的文件
要彻底清理文件,您可以右键单击文件夹并选择“搜索文件”来查找之前找到的文件。具体方法与注册表搜索相同。有时候会强行删除文件失败。请先使用“删除”。
如果你的分区格式是NTFS,清理的时候请用管理员的权限账号登录,右键目录,选择“枚举广告(不包括子目录)”(如果全部使用的话会花很长时间)。这样,我们就可以找出NTFS备用数据流(ADS)隐藏的文件。
清理方法:选中文件,从右键菜单中选择删除。如果无法删除,请选择强制删除。
(三)清理BHO
IceSword的“BHO”功能可以检查可能被浏览器劫持的项目。
(四)删除注册表相关信息
1、系统服务所在位置:
HKEY _本地_机器系统当前控制集服务HKEY _本地_机器系统控制集001服务HKEY _本地_机器系统控制集002服务
2、常见启动项位置:
HKEY _当前_用户软件微软视窗微软版本运行HKEY _本地_机器软件微软视窗微软版本运行HKEY _本地_机器软件微软视窗微软版本运行
有的可以直接删除主键,如下图所示:
有的直接删除项目,如下图:
按如下方式搜索注册表中的其他位置:
删除启动项运行,例如:
三、最后的修复
(一)首先,你要恢复第一步中IS的设置。
(二)安装查杀软件,联网,升级,重启杀毒。
(3)处理病毒修改的系统设置
比如隐藏文件的设置,宿主文件的修改,主页等IE项目的修改,文件关联的修改等等。这些修改一般在杀毒结束后进行。
更新日志
1.添加普通文件、广告、注册表、模块的搜索功能。
2.隐藏签名项目。
3.用模块进行钩子扫描。
4.增强心脏功能。
