解“冰刃”的使用方法

冰刃——IceSWord是一斩断黑手的利刃。它适用于windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。
　　在对软件做讲解之前，首先说明第一注意事项：此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。
　　IceSword目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。
　　如果您使用过老版本，请一定注意，使用新版本前要重新启动系统，不要交替使用二者。
　　IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。

　　如何退出IceSword：直接关闭，若你要防止进程被结束时，需要以命令行形式输入：IceSword.exe /c，此时需要Ctrl+Alt+D才能关闭（使用三键前先按一下任意键）。
　　如果最小化到托盘时托盘图标又消失了：此时可以使用Ctrl+Alt+S将IceSword主界面唤出。
　　 Click here to open new window
CTRL+Mouse wheel to zoom in/out 点击查看大图
　　上图是系统工具，对初学者来说，有些功能不是常用，而且用时有一定的危险，这里就不做详细介绍了；

　　我重点介绍——IceSword Helper ；
　　IsHelp可作为主程序的有益补充，它可为用户提供一些有用的甚至必不可缺的功能：

　　1、进程模块：一些功能内部实现不如主程序强大，但却有一些更加方便的功能。
　　a.隐藏进程搜索；
　　b.线程分析；
　　c.进程内存Dump；
　　d.进程模块搜索.

　　2、文件搜索：
　　a.支持扩展的正则表达式；
　　b.支持隐藏文件的搜索，避免在主程序里手工查找.
　　3、内存扫描：目前功能还未加入，不过对一些未专门修改的黑客之门，搜查较为准确.
　　4、注册表服务键：枚举注册表服务键，标记被可疑隐藏的服务键，配合主程序“服务”栏使用.

　　双击IsHelp图标打开主程序；
　　一、进程模块
　　点击查看大图
　　上面是程序的截图.

　　1、查找隐藏进程：可列出系统中被可疑隐藏的进程；
　　点击查看大图
　　2、线程分析：对该进程中的线程做一些简单分析（以后逐步扩充），辅助识别远线程或木马dll建立的线程；
　　点击查看大图
　　3、进程内存处理：还基本没什么功能，仅Dump指定内存至文件，以后添加功能。
　　4、查找模块：查找指定模块。
　　点击查看大图

二、文件搜索
　　选择好目录后，输入正则表达式即可搜索出指定的文件。
特别说明的是“%”（如图）这个特殊表达式，IsHelp用它表示搜索隐藏的文件（包括用户无权限列举的文件）。
　　

点击查看大图
　　三、内存扫描
　　“内存扫描”基本是空架子，因为还未设计完毕特征码库，现在在内置某些版本黑客之门的特征码（用户要求），当一“专查”用，呵呵。当然，隐藏的东西也会扫描到，比如黑客守卫者、隐藏版的灰鸽子。
　　

点击查看大图
　　四、注册表服务键
　　对主程序服务栏的补充，再最早的主程序设计中，因为考虑已经有了反隐藏的注册表一栏以及导出了部分相应函数给协件程序，所以服务一栏就不必再从注册表去反隐（个人的观点是如果修改了服务管理器的DataBase，使得木马失去了服务应有的特征，那么它似乎算不上服务了，算是一种特殊的自启动方式）；但1.*的主程序不能像2.*实时报警，从用户的反映看，能用手工一项一项查出的不多，所以决定提供程序辅助查找。
　　