MD5: 0f6ebc9da1276baf45db9e5f2460284b

添加的小功能有：
1、进程栏里的模块搜索(Find Modules)
2、注册表栏里的搜索功能(Find、Find Next)
3、文件栏里的搜索功能，分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files)
上面是要求最多的，确实对查找恶意软件有帮助

4、BHO栏的删除、SSDT栏的恢复(Restore)
这项算是“鸡肋”项吧，可加可不加。

5、Advanced Scan：第三步的Scan Module提供给一些高级用户使用，一般用户不要随便restore，特别不要restore第一项显示为"-----"的条目，因为它们或是操作系统自己修改项、或是IceSword修改项，restore后会使系统崩溃或是IceSword不能正常工作。
最早的IceSword也会自行restore一些内核执行体、文件系统的恶意inline hook，不过并未提示用户，现在觉得像SVV那样让高级用户自行分析可能会有帮助。另外里面的一些项会有重复（IAT hook与Inline modified hook），偷懒不检查了，重复restore并没有太大关系。还有扫描时不要做其它事，请耐心等待。
有朋友建议应该对找到的结果多做一些分析，判断出修改后代码的意义，这当然不错，不过要完美的结果工作很烦琐——比如我可以用一条指令跳转，也可以用十条或更多冗余指令做同样的工作——而目前没有时间完善，所以只有JMP/PUSH+RET的判断。提议下对高级用户可选的替代方案：记住修改的地址，使用进程栏里的“内存读写”中的“反汇编”功能，就先请用户人工分析一下吧，呵呵。

6、隐藏签名项(View->Hide Signed Items)。在菜单中选中后对进程、模块列举、驱动、服务四栏有作用。要注意选中后刷新那四栏会很慢，要耐心等。运行过程中系统相关函数会主动连接外界以获取一些信息（比如去crl.microsoft.com获取证书吊销列表），一般来说，可以用防火墙禁之，所以选中后发现IS有连接也不必奇怪，M$搞的，呵呵。

7、其他就是内部核心功能的加强了，零零碎碎有挺多，就不细说了。使用时请观察下View->Init State，有不是“OK”的说明初始化未完成，请report一下。

再强调一遍吧：运行过其它版本没重启的朋友，一定要重启机器后才能使用，这是有一些必要因素的。

http://www.xfocus.net/tools/200709/IceSword122cn.zip

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！