PJF大侠的效率真是奇高,要不出就半年没动静,要出就连续3天3个Beta然后就直接发布1.22正式版了:

    1.22正式版更新：

    1、进程栏里的模块搜索(Find Modules)
    2、注册表栏里的搜索功能(Find、Find Next)
    3、文件栏里的搜索功能,分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files)
    上面是要求最多的,确实对查找恶意软件有帮助

    4、BHO栏的删除、SSDT栏的恢复(Restore)
    这项算是“鸡肋”项吧,可加可不加.

    5、Advanced Scan:第三步的Scan Module提供给一些高级用户使用,一般用户不要随便restore,特别不要restore第一项显示为"-----"的条目,因为它们或是操作系统自己修改项、或是IceSword修改项,restore后会使系统崩溃或是IceSword不能正常工作.

    最早的IceSword也会自行restore一些内核执行体、文件系统的恶意inline hook,不过并未提示用户,现在觉得像SVV那样让高级用户自行分析可能会有帮助.另外里面的一些项会有重复(IAT hook与Inline modified hook),偷懒不检查了,重复restore并没有太大关系.还有扫描时不要做其它事,请耐心等待.

    有朋友建议应该对找到的结果多做一些分析,判断出修改后代码的意义,这当然不错,不过要完美的结果工作很烦琐——比如我可以用一条指令跳转,也可以用十条或更多冗余指令做同样的工作——而目前没有时间完善,所以只有JMP/PUSH+RET的判断.提议下对高级用户可选的替代方案:记住修改的地址,使用进程栏里的“内存读写”中的“反汇编”功能,就先请用户人工分析一下吧,呵呵.

    6、隐藏签名项(View->Hide Signed Items).在菜单中选中后对进程、模块列举、驱动、服务四栏有作用.要注意选中后刷新那四栏会很慢,要耐心等.运行过程中系统相关函数会主动连接外界以获取一些信息(比如去crl.microsoft.com获取证书吊销列表),一般来说,可以用防火墙禁之,所以选中后发现IS有连接也不必奇怪,M$搞的,呵呵.

    7、其他就是内部核心功能的加强了,零零碎碎有挺多,就不细说了.使用时请观察下View->Init State,有不是“OK”的说明初始化未完成,请report一下

    点击下载冰刃（IceSword）英文版

    点击下载冰刃（IceSword）中文版