rukayu

目前一些流氓软件采取的手段无所不用其极：线程注入，进程隐藏，文件隐藏，驱动保护，普通用户想把文件给删了或者找出进程来，是非常困难的。有的是看到了，删不掉，杀不掉，干着急，实在不行，还需要从另外的作系统去删除文件。比如采取驱动保护的流氓软件如CNNIC，雅虎助手之类，.sys驱动加载的时候，它过滤了文件和注册表作，直接返回一个true,Windows提示文件删了，但一看，它还在那里。象一些文件删除工具如unclocker都无效。IceSword是目前所知唯一可以直接删除这类已经加载的驱动和采取注册表保护的工具。象清除CNNIC这类流氓软件，不需要重启也可以完成了。
　　
　　
　　 查看进程
　　 包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息，结束线程等。
　　
　　

　　
　　 线程创建和线程终止监视
　　
　　　　“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个作就被记录下来，你可以查到是哪个进程做的事，因而可以发现木马或病毒进程并结束之。再如：一个木马或病毒采用多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用到“设置”菜单项：在设置对话框中选中“禁止进线程创建”，此时系统不能创建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了。
　　
　　

　　

　　

　　
　　
　　 文件操作
　　
　　　　IS的文件作有点类似于资源管理器，虽然作起来没有那么方便，但是它的独到功能在于具备反隐藏、反保护的功能。还有对安全的副作用是本来system32\config\SAM等文件是不能拷贝也不能打开的，但IceSword是可以直接拷贝的。类似于已经加载的驱动，如CNNIC的cdnport.sys这个文件，目前只有IS可以直接把它删除，其它无论什么方式，都无法破除驱动自身的保护。
　　即使对大多数有用的unlocker，CopyLock、KillBox都是无效的。利用Windows的系统还没有完全加载的删除机制，通过在HKLM\SYSTEM\CurrentControlSet\Control\SessionManager下增加PendingFileRenameOperations，这个是所有删除顽固文件工具的最后一招，但它也被驱动保护变得无效了。以前的情况就是需要重启启动到另外一个作系统下删除。
　　

　　

　　
　　 注册表Regedit
　　
　　　　说起Regedit的不足就太多了，比如它的名称长度限制，建一个全路径名长大于255字节的子项看看(编程或用其他工具，比如regedt32)，此项和位于它后面的子键在regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本打不开
　　IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的，它不受目前任何注册表隐藏手法的蒙蔽，真正可靠的让你看到注册表实际内容。
　　
　　　　如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport这个键值，就是通过它来加载cndport.sys这个驱动文件的。通过Regedit你删除会直接出错，根本无法删除。而用IS就可以轻易干掉。
　　

　　

　　

　　
　　 另外Icesword还有查看端口.查看服务.SPI和BHO. SSDT.消息钩子等功能就不做介绍啦..自己发现..
　　
　　IceSword的自身保护做的非常好..它显示在系统任务栏或软件标题栏的都只是一串随机字串..用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外还可以改软件名字.进程名也会相应改变.这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。AV终结者是最好的例子..

仲马种马

说得是很详细.但是我没这个东西啊.你能发个地址给我下吗?谢谢