使用“冰刀”进行安全检查

　　通过本案例可以学习到：

　　(1)了解冰刀(IceSword)的相关知识

　　(2)使用冰刀来对计算机进行安全检查

　　冰刀的英文名称为IceSword，也称为冰刃或者简称IS，是由PJF出品的一款系统诊断、清除利器，软件下载：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip。它适用于Windows 2000/XP/2003 操作系统，其内部功能是十分强大，用于探查系统中的木马后门， 并进行相应的处理。IceSword 使用了大量新颖的内核技术，使得这些后门躲无所躲，是一款检查后门的好工具。IceSword目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限，其主要功能有：

　　(1)查看进程

　　查看包括运行进程的文件地址、各种隐藏的进程以及优先级;可以轻易杀掉用任务管理器、Processes xp等工具杀不掉的进程;用它还可以查看进程的线程、模块信息等。

　　(2)查看端口

　　类似于Cport、Active Port这类工具，显示当前本地程序打开的端口以及相应的应用程序地址、名字，包括使用了各种手段隐藏端口的工具。

　　(3)内核模块

　　加载到系统内和空间的PE模块，一般都是驱动程序(*.sys)，可以看到各种已经加载的驱动，包括一些隐藏的驱动文件。

　　(4)启动组

　　可以查看Windows启动组里面的文件路径、名称以及文件等，缺点是无法对启动文件进行删除。

　　(5)服务

　　用于查看系统中的被隐藏的或未隐藏的服务，隐藏的服务以红色显示。提供对服务的操作，可以启动、停止或者禁用服务。

　　(6)查看SPI和BHO

　　SPI是服务提供接口，即所有Windows的网络作业都是通过这个接口发出和接收数据包的。BHO是浏览器的辅助插件，用户启动浏览器的时候，它就可以自动启动，弹出广告窗口等，冰刀提供对SPI和BHO模块的查看。

　　(7)查看SSDT (System Service Descriptor Table)

　　内核级后门有可能修改系统服务描述表，以截获系统中的服务函数调用，特别是一些老的rootkit。

　　(8)查看消息钩子

　　若在dll中使用SetWindowsHookEx设置一些全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。

　　(9)线程创建和线程终止监视

　　“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。

　　(10)注册表

　　IceSword中的“注册表”项主要用来查找被木马后门隐藏的注册项，它不受目前任何注册表隐藏手法的蒙蔽，可以查看注册表实际内容。

　　(11)文件

　　冰刀中的文件功能类似于资源管理器，与资源管理器相比具有反隐藏、反保护的功能;通过冰刀还可以直接拷贝system32\config\SAM文件，直接删除已经加载的驱动等。

　　在网络安全中，一个最基本的原则就是确认自己安全，包括一些入侵者在入侵成功后，它也需要对控制计算机进行安全检查，删除前人留在系统中的后门，对系统进行安全加固。下面使用冰刀1.22汉化版来对计算机进行安全检查，查杀木马等程序。

　　步骤1：检查进程。运行“冰刀1.22汉化版”后，单击其界面左边功能中的“进程”，冰刀会列出系统中所有的进程，其进程数显示的是正在运行的进程，选中“aswUpdSv.exe”右键单击，可以查看线程信息、模块信息、内存读写以及结束进程，如图1所示。

security