通過本案例可以學習到：

　　(1)了解冰刀(IceSword)的相關知識

　　(2)使用冰刀來對計算機進行安全檢查

　　冰刀的英文名稱為IceSword， 也稱為冰刃或者簡稱IS， 是由PJF出品的一款系統診斷、清除利器， 軟件下載：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip。 它適用于Windows 2000/XP/2003 操作系統， 其內部功能是十分強大， 用于探查系統中的木馬后門， 并進行相應的處理。 IceSword 使用了大量新穎的內核技術， 使得這些后門躲無所躲， 是一款檢查后門的好工具。 IceSword目前只為使用32位的x86兼容CPU的系統設計， 另外運行IceSword需要管理員權限， 其主要功能有：

　　(1)查看進程

　　查看包括運行進程的文件地址、各種隱藏的進程以及優先級;可以輕易殺掉用任務管理器、Processes xp等工具殺不掉的進程;用它還可以查看進程的線程、模塊信息等。

　　(2)查看端口

　　類似于Cport、Active Port這類工具， 顯示當前本地程序打開的端口以及相應的應用程序地址、名字， 包括使用了各種手段隱藏端口的工具。

　　(3)內核模塊

　　加載到系統內和空間的PE模塊， 一般都是驅動程序(*.sys)， 可以看到各種已經加載的驅動， 包括一些隱藏的驅動文件。

　　(4)啟動組

　　可以查看Windows啟動組里面的文件路徑、名稱以及文件等， 缺點是無法對啟動文件進行刪除。

　　(5)服務

　　用于查看系統中的被隱藏的或未隱藏的服務， 隱藏的服務以紅色顯示。 提供對服務的操作， 可以啟動、停止或者禁用服務。

　　(6)查看SPI和BHO

　　SPI是服務提供接口， 即所有Windows的網絡作業都是通過這個接口發出和接收數據包的。 BHO是瀏覽器的輔助插件， 用戶啟動瀏覽器的時候， 它就可以自動啟動， 彈出廣告窗口等， 冰刀提供對SPI和BHO模塊的查看。

　　(7)查看SSDT (System Service Descriptor Table)

　　內核級后門有可能修改系統服務描述表， 以截獲系統中的服務函數調用， 特別是一些老的rootkit。

　　(8)查看消息鉤子

　　若在dll中使用SetWindowsHookEx設置一些全局鉤子， 系統會將其加載入使用user32的進程中， 因而它也可被利用為無進程木馬的進程注入手段。

　　(9)線程創建和線程終止監視

　　“監視進線程創建”將IceSword運行期間的進線程創建調用記錄在循環緩沖里， “監視進程終止”記錄一個進程被其它進程Terminate的情況。

　　(10)注冊表

　　IceSword中的“注冊表”項主要用來查找被木馬后門隱藏的注冊項， 它不受目前任何注冊表隱藏手法的蒙蔽， 可以查看注冊表實際內容。

　　(11)文件

　　冰刀中的文件功能類似于資源管理器， 與資源管理器相比具有反隱藏、反保護的功能;通過冰刀還可以直接拷貝system32\config\SAM文件， 直接刪除已經加載的驅動等。

　　在網絡安全中， 一個最基本的原則就是確認自己安全， 包括一些入侵者在入侵成功后， 它也需要對控制計算機進行安全檢查， 刪除前人留在系統中的后門， 對系統進行安全加固。 下面使用冰刀1.22漢化版來對計算機進行安全檢查， 查殺木馬等程序。

　　步驟1：檢查進程。 運行“冰刀1.22漢化版”后， 單擊其界面左邊功能中的“進程”， 冰刀會列出系統中所有的進程， 其進程數顯示的是正在運行的進程， 選中“aswUpdSv.exe”右鍵單擊， 可以查看線程信息、模塊信息、內存讀寫以及結束進程， 如圖1所示。

　　圖1 檢查進程

　　步驟2：查看端口。 冰刀的查看端口功能非常強大， 能夠查看一些普通端口軟件不能查看的隱藏端口。 單擊功能菜單下的“端口”， 即可查看系統中的應用程序使用的協議、本地地址、遠程地址、進程以及程序名稱等信息， 如圖2所示， 其中最關鍵的是本地地址、遠程地址以及進程程序名稱， 通過這些信息來判斷進程是否為木馬程序進程。

　　圖2查看端口

　　查看內核模塊。 內核模塊主要用來檢查Rootkit等驅動級別的木馬程序， 冰刀檢查到有異常的驅動后會以紅色顯示。

　　步驟3：刪除文件。 木馬程序即有可能采用進程保護等方式， 防止和禁止用戶中止進程， 一般情況下很難刪除這些DLL等文件， 在冰刀可以很輕松的刪除這些文件， 在本案例中遇到一個BHO的木馬程序插件， 只知道該DLL肯定不是系統自帶的， 必須將其刪除掉。 在冰刀中單擊“文件”模塊， 然后到BHO木馬程序的當前目錄， 如圖3所示， 選中需要刪除的DLL文件， 右鍵單擊， 在彈出的菜單中單擊“強制刪除”， 將該文件刪除掉。

　圖3 刪除BHO木馬插件

　　小結

　　在本案例中僅僅介紹了其較經典的幾個功能， 它還有許多其它功能， 讀者朋友可以自行試驗。 推薦使用冰刀來結束進程、刪除文件以及打開sam文件。