打造IceSword也杀不掉的进程

IceSword是一款手动查杀木马和病毒超强的辅助工具，基本上大多数恶意软件都逃不过它的法眼，不过下面我们就给IceSword开一个小小的玩笑，让它的结束进程功能失效。开始之前我们先来看看一般的结束进程思路。即首先调用OpenProcess获取进程句柄，然后利用获取到的句柄调用TerminateProcess函数。因此，用户态进程防杀．我们只需要钩住OpenProcess这个API，并过滤掉需要防杀的进程标识符（Process ID）即可。

IceSword端口枚举功能

最近在写ARK小程序，准备实现端13枚举功能，因此对IceSword v1．22的端口枚举功能很有兴趣。我原来只是在网上看到说IceSword是通过自己构建IRP向网络协议驱动发送请求，就首先验证了一下这个说法。

IceSword

IceSword是一个斩断黑手的利刃，所以起名叫ICE Sword,即“冰剑”，程序的说明文档里说，“它运用于Windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手（木马后门)并作出处理……”，但是经测试此程序在Windows 2000下测试，运行正常，但是在2003上不能运行，显示如图24所示的信息。

内核模式结束冰刃进程

最近看黑防编程解析栏目，发现许多与进程相关的好文章，其中有篇文章是在”用户模式下突破ICESword进程保护”，里面提到了冰刃结束进程的机制是利用系统未导出函数PspTerminateProcess实现的。于是到网上查找如何定位该函数的方法，方法未找到，却想到了冰刃的另一个功能——高级扫描（此功能在冰刃1．22版本才有）。