一款强大的反黑客工具,适用于Windows 2000/XP/2003/Vista操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，从某种意义上来说，已经超过了冰刃。当然使用它需要用户有一些操作系统的知识。

现在有些人说IL是"黑客工具",真不知道是怎么想的,再次声明下,本工具仅供技术研究!!

一.界面

与上一版本界面相比有了很大改善,用户可自行查看.具体如下:

1,修复了上一版本中在英文操作系统中中文显示为乱码的问题.(在此感谢蛋白兔子参与测试)
2,重新为IceLight设计了一款新图标,菜单使用OFFICE XP的风格.

二.系统

1,进程\线程中增加了挂起与恢复功能,
2,不使用驱动,通杀隐藏进程,侦测伪PID,查看、恢复SSDT
3,具有网络查看,服务,检测功能.

三.自启动

这是一个新增的模块区域,主要用来管理系统中自动启动的信息.当然可能还存有
不完善地方,所以还有待考验.

该区域中包括:注册表启动\IE浏览器\Winlogon\开始菜单启动


四.杀进程

1,不使用驱动的前提下,结束冰刃就像切豆腐
2,不使用V1.1.31中的DLL,直接代码注入干进程
3,即使无法openprocess也能尽量结束它.

五.自保护

主要是在ring3模式下HOOK了NtOpenThread,NtOpenProcess,NtTerminateThread,NtTerminateProcess,还有
子类了 WM_CLOSE,WM_QUIT 消息.可防止被一些菜鸟所写的恶意程序Kill掉.但对于ring0无效..
为了弥补这缺点,在ethread结构中的flag置PS_CROSS_THREAD_FLAGS_SYSTEM位,过PspTerminateProcess NtTerminateProcess应该是没什么问题.另保护了PID.

如果你在IceLight.exe 的目录下建议一个叫"safe.txt"的文档，然后启动，那么连RING0都无法结束它。（对于菜鸟来说）
只能按下F3或 选项设置>退出 来退出。

六.不足

目前IceLight尚不能枚举消息钩子及窗口,我会努力搞的!





可以禁止进线程创建，还有更xxx的禁止r3进程终止/冻结

Updata:
Debug Version:08年2月16日晚，公测版本在VBGOOD发布。
Version 1.0:08年2月17日，1.0版本发布。一下子就加入N多新功能和修正N多小强。目前可以注入DLL结束进程和管理服务、注册表。
Version 1.1:08年2月19日，1.1版本发布。修正第一次启动报错和强制关机变注销的小强。-____-!加入启动项管理，加入反隐藏，反伪PID及进程分级功能，还有一些零碎的BUG。。不多说了……
Version 1.1.22:08年2月19日，该名为IceLight，加入僵尸检测，网络状态监测，修正几个小ＢＵＧ．．等等 还是还原不了SSDT，哎，菜鸟啊
Version 1.1.31:3月2日，加入线程枚举，显示模块数、检测更新、在线提问。+小改动,同时结束多个进程
Version 1.2.38:3月9日，放弃DLL注入结束进程，改用代码注入。另新增保护PID、隐藏进程功能。使用Knlps强杀进程,不过稳定性不太好.
Version 1.3.16:3月30日,一次巨大的改动,加入枚举SSDT,优化了代码,重弄了界面,一级一些零碎的小东西.
Version 1.3.44:4月4日,清明节,差点把源码弄丢了..随机标题换了.加入了超级自我保护,超强枚举进程.好像可以枚举Rku了~还有一些小改动
Version 1.3.45:4月5日,修正了一下超级保护,菜单也美化了一下。
Version 1.4.13:4月13日,着重美化界面,全力模拟vista,加入进程变相强杀、禁止r3进程终止/冻结.
Version 1.4.18:5月5日,时间仓促,很多内部的改动,来不及一一说明,总之加强了稳定性/驱动杀进程/自我保护,杀KV2008最新版本不是问题 驱动by dtcser

最后欢迎广大网友提供宝贵的建议及BUG反馈!

                                                        By GGY 2008.05.05 QQ349462015  GGYBlog.Cn

用户系统信息：Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.8) Gecko/20050511