IS的文件作有点类似于资源管理器,虽然作起来没有那么方便,但是它的独到功能在于具备反隐藏、反保护的功能。还有对安全的副作用是本来system32\config\SAM等文件是不能拷贝也不能打开的,但IceSword是可以直接拷贝的。类似于已经加载的驱动,如CNNIC的cdnport.sys这个文件,目前只有IS可以直接把它删除,其它无论什么方式,都无法破除驱动自身的保护。
即使对大多数有用的unlocker,CopyLock、KillBox都是无效的。利用Windows的系统还没有完全加载的删除机制,通过在HKLM\SYSTEM\CurrentControlSet\Control\SessionManager下增加PendingFileRenameOperations,这个是所有删除顽固文件工具的最后一招,但它也被驱动保护变得无效了。以前的情况就是需要重启启动到另外一个作系统下删除。
注册表Regedit
说起Regedit的不足就太多了,比如它的名称长度限制,建一个全路径名长大于255字节的子项看看(编程或用其他工具,比如regedt32),此项和位于它后面的子键在regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本打不开
IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的,它不受目前任何注册表隐藏手法的蒙蔽,真正可靠的让你看到注册表实际内容。
如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport这个键值,就是通过它来加载cndport.sys这个驱动文件的。通过Regedit你删除会直接出错,根本无法删除。而用IS就可以轻易干掉。
另外Icesword还有查看端口.查看服务.SPI和BHO. SSDT.消息钩子等功能就不做介绍啦..自己发现..
IceSword的自身保护做的非常好..它显示在系统任务栏或软件标题栏的都只是一串随机字串..用户每次打开这把冰刃,所出现的字串都是随机生成,随机出现,都不相同(随机五位/六位字串),这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外还可以改软件名字.进程名也会相应改变.这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮,也不能结束IceSword的运行了,只能在IceSword的面前乖乖就范了。AV终结者是最好的例子..
