冰刃（IceSword）——一款专为资深安全爱好者打造的Windows内核级系统分析利器，被誉为“斩断黑手的数字利刃”。它不依赖常规用户态扫描逻辑，而是深入操作系统底层，直击木马、后门、Rootkit等隐蔽威胁的核心藏匿点。适用于Windows 2000/XP/2003等经典32位系统，需管理员权限运行，对使用者具备基础操作系统与内核概念提出明确要求——这既是它的力量之源，也是其专业定位的体现。

核心能力：穿透伪装，直击幕后

面对日益高明的系统级后门——它们能轻松隐藏进程、端口、注册表项甚至完整文件，普通安全工具往往束手无策。IceSword凭借自主研发的内核驱动技术，绕过API钩子与SSDT劫持，直接读取内核对象管理器、网络连接链表、服务控制管理器（SCM）及注册表Hive原始结构，实现对“不可见”威胁的强制显形。无论是异常进程、非法端口监听、可疑启动项，还是伪装成系统服务的恶意驱动，均无所遁形。

适用环境与重要须知

IceSword仅支持32位x86架构CPU及Windows 2000/XP/2003操作系统，不兼容Windows Vista及以后版本（含Win7/10/11）和64位系统。运行前请务必确认系统环境匹配。本工具为绿色免安装设计（主程序为icesword.exe），但属于高权限内核级软件： ? 严禁在运行时启用SoftICE等内核调试器，否则将导致系统即时蓝屏崩溃； ? 首次使用前请务必备份关键数据，因未知Bug或误操作可能引发系统不稳定； ? 全程需以管理员身份运行，且所有检测与干预行为均由用户自主决策并自行承担风险。

五大核心功能详解

进程监控：实时展示全系统进程列表，深度解析进程对象、父进程、线程数、内存占用及加载模块。异常进程（如被挂钩、注入或隐藏的进程）将以醒目的红色高亮标识，助您快速锁定可疑目标。

端口审计：穿透TCP/IP协议栈底层，精准枚举当前所有活跃监听端口及其绑定进程PID，有效识别木马常用的反向连接端口、隐蔽HTTP隧道或远程控制端口。

启动项追踪：全面扫描注册表Run键值、Winlogon通知、服务自启动、映像劫持（AppInit_DLLs）、WMI持久化等十余类启动入口，清晰列出注册表路径与对应磁盘文件路径，杜绝“开机即隐身”。

服务深度剖析：不仅列出服务名称与状态，更关联显示其宿主进程PID、服务二进制路径、描述信息及实际加载驱动模块，可快速甄别伪造系统服务的恶意驱动。

注册表直读与文件系统管控：提供类RegEdit界面，但支持内核级注册表遍历（绕过句柄隐藏），可查看被Rootkit屏蔽的键值；文件菜单中支持进程创建拦截、服务禁用、线程注入规则配置等主动防御操作，赋予用户对系统底层行为的精细控制权。