冰刃IceSword绿色版

冰刃IceSword绿色版是一款病毒查杀软件软件，officeba免费提供冰刃IceSword绿色版下载，更多冰刃IceSword绿色版相关版本就在officeba。

　　IceSword是一款作用十分强劲的查杀木马专用工具，IceSword适用Windows 2000/XP/2003/Vista/Win7/Win8电脑操作系统，选用了核心技术性，可以对最底层系统软件开展操纵，给予了过程、运行内存、进程、块、返回值、对话框管理方法、数据连接查询等众多作用，能够合理的协助客户开展手工制作消毒、辅助调节、核心科学研究这些。

冰刃IceSword绿色版功能介绍

　　1、看/修复SSDT和Shadow SSDT

　　2、看/备份数据/修复/自动修复卷正确引导纪录（VBR）

　　3、举全局性ioctl表

　　4、描/修复RING3和RING0的内联勾子

　　5、验文档签字

　　6、看/修复关键驱动软件派发涵数

　　7、推动里枚举类型文档、强制性新创建/开启/删掉/毁坏文档

　　8、看/修复核心目标方法勾子

　　9、举I/O计时器

　　10、个人行为监控（建立过程/建立进程/载入推动/修改注册表/修改系统文件/网络连接/修改时间）

　　11、通知和回调函数

冰刃IceSword绿色版使用说明书

　　在对pc软件做解读以前，最先表明第一常见问题：此程序执行时不必激话核心程序调试（如softice），不然系统软件很有可能立刻奔溃。此外应用前请储存好您的数据信息，以防万一不明的Bug产生损害。IceSword现阶段只求应用32位系统的x86兼容CPU的控制系统设计，此外运作IceSword必须访问权限。第一次应用请储存好数据信息，应用IceSword必须您自身担负bug产生的很有可能的风险性！

冰刃IceSword绿色版操作方法

　　一、页面详细介绍

　　开启pc软件，表明在系统软件任务栏图标或pc软件菜单栏的都仅仅一串任意字符串“CE318C”，而不是普遍的程序流程名，它是IceSword特有的任意字符串菜单栏。每一次开启发生的字符串全是随机生成，那样这些根据菜单栏来结束进程的木马病毒和侧门就没用了。还能够变更其文件夹名称，例如改成killvir.exe，表明的过程名就变成了killvir.exe。

　　（一）设定IceSword

　　运作IceSword.exe。假如没法运作，请先尝试将文件夹名称改为随后名称。如：188965.com 点一下左上方的“文档”，再挑选“设定”，启用最下边的三项，点“明确”。留意：那样设定后是没法再开启一切新的程序流程的。假如要相互配合SREng等pc软件扫描仪出的日志，请先打开文件再设定。

　　（二）过程

　　1、搜索并完毕异常过程

　　点一下对话框左边的“过程”，查询系统软件当今过程。表明为鲜红色的为隐藏进程，系统软件默认设置是没有的（系统软件内置的“资源管理器”是看不见的，有时候另一款功能齐全的过程查询pc软件Process Explorer也没法查到），因而鲜红色项应所有完毕（自然源程序IceSword.exe以外）。假如你确定这些是一切正常的，可以不关。顺带完毕这种过程：Explorer.exe、iexplore.exe、rundll32.exe。

　　按Ctrl键挑选好几个新项目，随后点一下开鼠标右键菜单中的“结束进程”，可一次拿下全部需完毕的过程。 留意：纪录源代码详细地址，那时候一并删掉。 IceSword可完毕除Idle过程、System过程、csrss过程这三个过程外的全部过程，这一点，许多类似pc软件是做不到的。可是有一些过程也不是随意能够完毕的，如系统软件的winlogon.exe过程，一旦干掉后系统软件就崩溃了。

　　2、停止插进的dll文件

　　举例说明：许多恶意代码都喜爱插进explorer.exe，来实行必须的实际操作，针对这种插进的dll文件怎幺办呢，选定explorer.exe过程，随后点鼠标右键菜单中的“控制模块信息内容”，会见到所置入过程的全部dll文件，寻找病毒感染控制模块，点一下卸载掉就可以完毕掉这一DLL，假如木马程序较为强大，很有可能没法卸载掉，那幺强制性消除就起了功效，一般的DLL包含系统软件DLL都能够强制性消除掉，因此 谨慎使用这一作用。

　　过程里边也有别的作用，例如强制性完毕进程，包含鼠标右键菜单中也有进程信息内容、运行内存读写能力等，在这里也不一一详细介绍了。

　　（三）内核模块

　　内核模块是载入到系统软件内和室内空间的PE控制模块，核心程序流程是根据C：\windows\system32\ntkrnlpa.exe等程序流程运行，大部分是C：\windows\system32\drivers\下的驱动软件 *.sys文件，自然也是有一小部分C：\windows\system32\文件目录下的sys文件，仅有非常少的好多个dll文档，我电子计算机有3个。冰刃中的内核模块只有查看简易的核心信息内容，靠专业知识去剖析一切正常和异常的核心。

　　（四）运行组

　　和核心程序流程一样，只有查询，没法作一切解决。只表明下列好多个地区的运行新项目，不全方位，可以用冰刃的注册表删除异常运行，操作步骤见下文。

　　注册表文件中，仅包含HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run2个新项目，文件夹名称包含C：\Documents and Settings\您所应用的客户名字\「逐渐」菜单栏\程序流程\运行和C：\Documents and Settings\All Users\「逐渐」菜单栏\程序流程\运行。

　　（五）服务项目

　　1、表明掩藏服务项目

　　服务项目中能够表明掩藏服务项目，用鲜红色表明，和过程一样

　　2、改动服务项目情况（运行、终止等）

　　打开服务，选定要开展实际操作的服务项目，按Ctrl键能够挑选好几个新项目，在鼠标右键菜单里边挑选要作的实际操作，例如终止、运行、中止、修复。这里边要留意一个难题，便是系统软件的重要服务项目是不可以终止的，不然系统软件会全自动重启电子计算机。这一仅改动当今情况，而重启电子计算机后，假如服务项目的运行种类是全自动，还会继续运行该服务项目。

　　3、改动服务项目的运行种类（禁止使用、全自动、手动式）

　　打开服务，选定要开展实际操作的服务项目，按Ctrl键能够挑选好几个新项目，在鼠标右键菜单里边挑选要作的实际操作，例如禁止使用、全自动、手动式。这一改动的是运行种类，因此 改动后，不太可能改动当今情况。

　　（六）注册表文件

　　冰刃对注册表文件有十分高的管理权限（访问权限），能够见到一些系统软件注册表文件在线编辑器中不由此可见的新项目，因此 在开展实际操作的情况下要有十足把握，不必由于错删、错改一些系统软件重要新项目，使计算机软件奔溃。

　　（七）文档

　　文档是一个访问电子计算机全部文档的地区，能够见到一切掩藏的文档，应对删不掉的文档，还可以应用强行删除等独特方式 删掉，具体做法下边会出现实际详细介绍。

　　二、清除方式

　　（一）修复SSDT

　　SSDT--服务程序表，一些 “rootkit” 常常根据hook捕获你系统软件的服务项目调用函数，以完成注册表文件、文档的掩藏。被改动的值以鲜红色表明，但是，自然有一些安全性程序流程也会改动，如windows\System32\drivers\klif.sys 便是诺顿杀毒软件核心推动。

　　下面的图为修复默认设置的方式 ，记录下来这儿表明的异常文档部位及其文件夹名称，那时候删掉源代码。

　　（二）清除文档

　　1、最先应清除隐藏进程的程序流程

　　2、清除SSDT中表明的文档

　　为彻底清除文档，能够鼠标右键文件夹名称，选“搜索文件”搜索前边寻找的文档。具体做法同注册表文件检索，有时候强行删除文档会不成功，请先应用“删掉”。

　　若你的分区格式是NTFS，在清除时请应用访问权限帐户登录，并鼠标右键文件目录，挑选“枚举类型ADS（不包含根目录）”（所有得话时间较长）。那样能够抓出运用NTFS互换数据流分析（Alternate Data Streams，通称ADS）掩藏的文档。

　　清除方式 ：选定文档，鼠标右键菜单中挑选“删掉”，假如删掉不上，挑选“强行删除”就可以。

　　（三）清除BHO

　　IceSword 的“BHO”的作用，能够查验能够浏览器劫持项。

　　（四）删除注册表有关信息

　　1、服务程序地理位置：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002Services\

　　2、普遍开机启动项部位：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

　　有一些能够立即删掉外键约束，如图所示：

　　有的立即删掉项，如下图：

　　检索注册表文件中别的部位，方式 以下：

　　统开机启动项Run的删掉，实例：

　　三、最终的修补

　　（一）最先应当复原第一步中对IS的设定

　　（二）装好杀毒软件，连接网络、升级、重新启动消毒

　　（三）解决病毒感染改动的系统配置

　　例如隐藏文件夹的设定、HOST文档的改动、首页等IE新项目的改动、文件关联的改动这些。这种改动一般都需要等消毒完毕后开展。

冰刃IceSword绿色版升级日志

　　1、加一般文档、ADS、注册表文件、控制模块的检索作用。

　　2、藏签字项。

　　3、加控制模块的HOOK扫描仪。

　　4、心脏功能的提升。