有這么一款軟件，它專為查探系統(tǒng)中的幕后黑手——木馬和后門而設計，內(nèi)部功能強大，它使用了大量新穎的內(nèi)核技術，使內(nèi)核級的后門一樣躲無所躲，它就是——IceSword冰刃。

IceSword冰刃(以下簡稱IceSword)是一款斬斷系統(tǒng)黑手的綠色軟件。在筆者的使用中，IceSword表現(xiàn)很令筆者滿意，絕對是一把強悍的瑞士軍刀——小巧、強大。
1.IceSword的“防”
打開軟件，看出什么沒？有經(jīng)驗的用戶就會發(fā)現(xiàn)，這把冰刃可謂獨特，它顯示在系統(tǒng)任務欄或軟件標題欄的都只是一串隨機字串“CE318C”，而并非是通常所見的軟件程序名(見圖1)。這就是IceSword獨有的隨機字串標題欄，用戶每次打開這把冰刃，所出現(xiàn)的字串都是隨機生成，隨機出現(xiàn)，都不相同(隨機五位/六位字串)，這樣很多通過標題欄來關閉程序的木馬和后門在它面前都無功而返了。另外，你可以試著將軟件的文件名改一下，比如改為killvir.exe，那么顯示出來的進程名就變?yōu)榱薻illvir.exe。現(xiàn)在你再試著關閉一下IceSword，是不是會彈出確認窗口？這樣那些木馬或后門就算通過鼠標或鍵盤鉤子控制窗口退出按鈕，也不能結束IceSword的運行了，只能在IceSword的面前乖乖就范了。

圖1

2.IceSword的“攻”

如果IceSword只有很好的保護自身功能，并沒有清除木馬的能力，也不值得筆者介紹了。如果大家還記得本刊2005年第5期《如何查殺隱形木馬》一文，那一定會覺得IceSword表現(xiàn)相當完美了。但這只所謂的隱身灰鴿子，在IceSword面前只算是小兒科的玩意。因為這只鴿子只能隱身于系統(tǒng)的正常模式，在系統(tǒng)安全模式卻是再普通不過的木馬。而IceSword的作者就在幫助中多次強調(diào)IceSword是專門針對功能強大的內(nèi)核級后門設計的。今天，筆者通過一次經(jīng)歷來說明IceSword幾招必殺技。
前段時間，筆者某位朋友的個人服務器(Windows 2003)，出現(xiàn)異常，網(wǎng)絡流量超高，朋友使用常規(guī)方法只可以清除簡單的木馬，并沒有解決問題，懷疑是中了更強的木馬，于是找來筆者幫忙。筆者在詢問了一些情況后，直接登錄到系統(tǒng)安全模式檢查，誰知也沒有什么特別發(fā)現(xiàn)。于是筆者嘗試拿出IceSword這把“瑞士軍刀”……
第一步:打開IceSword，在窗口左側點擊“進程”按鈕，查看系統(tǒng)當前進程。這個隱藏的“幕后黑手”馬上露出馬腳(見圖2)，但使用系統(tǒng)自帶的“任務管理器”是看不到些進程的。注意，IceSword默認是使用紅色顯示系統(tǒng)內(nèi)隱藏程序，但IceSword若在內(nèi)核模塊處顯示多處紅色項目并不都是病毒，我們還需要作進一步的技術分析及處理。

圖2

別以為只是系統(tǒng)自帶的任務管理器功能弱，未能發(fā)現(xiàn)。我們又用了IceSword與Process Explorer(另一款功能強大的進程查看軟件)進行對比，同樣也沒辦法發(fā)現(xiàn)“幕后黑手”的蹤影(見圖3)。

圖3

第二步:點擊窗口左側的“服務”按鈕，來查看系統(tǒng)服務。這時就可以看到如圖4所示的情況了，這個木馬的服務也是隱藏的，怪不得筆者未能發(fā)現(xiàn)行蹤。

圖4

第三步:既然看了服務，也應該查查注冊表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情況。反正IceSword也提供查看/編輯注冊表功能，正好和系統(tǒng)的“注冊表編輯器”也來個對比，點擊窗口左側的“注冊表”標簽，然后打開依次展開[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]項(見圖5)。真是不比不知道，一比嚇一跳。看來，系統(tǒng)內(nèi)置工具還是選擇“沉默”，還記得《如何查殺隱形木馬》一文吧，雖說鴿子在正常模式下，它的主服務也能隱藏，但它在系統(tǒng)的“注冊表編輯器”內(nèi)完全是顯示的，更不要說目前是安全模式。仔細看看，既然已經(jīng)從IceSword得到可靠情報，得知“幕后黑手”位于系統(tǒng)目錄E:\Windows\system32\wins下。

圖5

第四步:我們還是用系統(tǒng)的“資源管理器”和IceSword對比一下，點擊窗口左側的“文件”標簽，結果如圖6所示。“資源管理器”選擇了“交白卷”。在IceSword的文件瀏覽器與系統(tǒng)的“資源管理器”明顯對比下，IceSword已經(jīng)發(fā)現(xiàn)三只“黑手”，正是因為有這只隱藏的幕后黑手，難怪朋友搞了幾次，換了不同的防病毒軟件還是沒清干凈。

圖6

第五步:剩下的事容易多了，在IceSword中點擊“查看”標簽下的“進程”按鈕，右擊剛剛發(fā)現(xiàn)的隱藏進程，選擇“結束進程”。然后用IceSword刪除那三個木馬文件，最后，還要刪除多余的服務項——那兩個HackerDefender*的注冊表鍵值即可。清理完這只“黑手”后，再使用殺毒軟件重新殺一遍系統(tǒng)，確認沒有其他的木馬。
上面的例子充分體現(xiàn)了IceSword的魅力所在。正如作者所言，IceSword大量采用新穎技術，有別于其他普通進程工具，比如IceSword就可以結束除Idle進程、System進程、csrss進程這三個進程外的所有進程，就這一點，其他同類軟件就是做不到的。當然有些進程也不是隨便可以結束的，如系統(tǒng)的winlogon.exe進程，一旦殺掉后系統(tǒng)就崩潰了，這些也需要注意。
還等什么，這么好用、強悍的“瑞士軍刀”，還不趕快準備一把防身？(責任編輯：zhaohb)