冰刃的使用方法.txt
冰刃的使用方法
冰刃大菜单分为查看、注册表、文件。查看里面又分为很多小部分,我这里只介绍常用的功能,包括进程、内核、启动组、服务,其他项目,我会在最后进行介绍性说明。注册表里面就是一个注册表编辑器,方便使用,而且拥有管理员权限,可以查看、修改、删除注册表项目。文件是一个浏览计算机所有文件的地方,它可以看到任何隐藏的文件,对付无法删除的文件,也可以使用强制删除等特殊方法删除,具体方法下面会有具体介绍。图片上有一些使用方法,但是不具体,下面我就带您一步一步地来用冰刃实现一些固定的操作。我介绍的方法是从简单到难,可能有些您还看不懂,不要紧,慢慢学习,共同进步。
首先,我们看进程这里可以做的事情
一、显示隐藏进程。
打开冰刃的进程选项后,里面红字显示的就是隐藏的进程,这样显示可以方便查隐藏的后门、木马等
二、结束进程
点击选中要结束的进程,按Ctrl键可以选择多个项目,然后再点开右键菜单中的“结束进程”,就把选中的项目结束掉了。
三、终止插入的DLL文件
现在很多木马程序都插入桌面文件下面很多DLL文件,来执行木马所需要的操作,那么对于这些插入的DLL文件怎么办呢,用冰刃就可以解决好这个问题。
打开冰刃后,选中DLL所插入的进程,然后点右键菜单中的“模块信息”,会看到所嵌入进程的所有DLL文件,到病毒进程,点击卸载即可结束掉这个 DLL,如果病毒、木马或者黑客程序比较厉害,可能无法卸载,那么强制卸载就起了作用,一般的DLL包括系统DLL都可以强制卸载掉,所以慎用这个功能。
四、其他功能
进程里面还有某些其他功能,比如强制结束线程,包括右键菜单中还有线程信息、内存读写等,这些对我们的杀毒工作用处不大,所以不进行具体介绍了。 字串9
其次,我们看内核的使用方法
内核程序是通过C:\windows\等程序启动,基本上是C:\ windows\system32\drivers\下的sys文件,当然也有少部分C:\windows\system32\目录下的sys文件,仅有很少的几个dll文件,我计算机有3个。冰刃中的内核模块只能察看简单的内核信息,靠知识去分析正常和不正常的内核。 字串7
第三,我们看启动组
这里和内核程序一样,只能查看,无法作任何处理。这个启动组里面只显示几个地方的启动项目,非常不全面,我了解得是以下项目:
注册表中,仅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run两个项目,文件夹包括C:\Documents and Set
tings\您所使用的用户名称\「开始」菜单\程序\启动和C:\Documents and Settings\All Users\「开始」菜单\程序\启动 字串7
等我的下一个文章的更新后,就知道这个启动组是多么的不全面了。
第四,我们看服务
一、显示隐藏服务
服务中可以显示隐藏服务,用红表示,和进程一样
二、修改服务的当前状态(启动、停止等)
打开服务,选中要进行操作的服务,按Ctrl键可以选择多个项目,在右键菜单里面选择要作的操作,比如停止、启动、暂停、恢复。这里面要注意一个问题,就是系统的关键服务是不能停止的,否则系统会自动重新启动计算机。这个仅修改当前状态,而重新启动计算机后,如果服务的启动类型是自动,还会启动该服务。 字串9
三、修改服务的启动类型(禁用、自动、手动)
打开服务,选中要进行操作的服务,按Ctrl键可以选择多个项目,在右键菜单里面选择要作的操作,比如禁用、自动、手动。这个修改的是启动类型,所以修改后,不可能修改当前状态。
第五,我们看注册表
冰刃对注册表有非常高的权限,可以看到某些系统注册表编辑器中不可见的项目,所以在进行操作的时候要有十足把握,不要因为错删、错改某些系统关键项目,使计算机系统崩溃。
一、查项
按照图六中“+”“-”符号的说明,点击“+”可以快速在左边查到对应的项目,选中即可在右面查看该项下面的键值
二、删除项
在左面选中要删除的项,在右键菜单中选择“删除”,即可。
三、新建项
选择要新建项的位置,然后在左面右键菜单中的新建下选择“项”,即可弹出新建项的对话框,输入名称,点确定即可。
四、修改键值
通过查项,到要修改的键,双击此键,即可打开修改键值的对话框,输入要修改的名字或者清空,点确定即可。
一、删除键
通过查项,到要删除的键,按Ctrl键可以选择多个项目,然后在右面窗口中的右键菜单中选择“删除所选”即可。
二、新建键
通过查项,到要新建键的项,选中此项,在左面窗口中的右键菜单中的新建下选择建立哪种类型的键,会弹出建立键的对话框,输入键名称和键值即可。 字串5
三、关于类型
冰刃新建键值给了3种类型——字符串值、二进制值、双字,这个在建立键的时候,按照需要选择,下面我说的是如何看一个键值是什么类型,在冰刃右面显示具体键的地方有类型,它显示了此键是什么类型。REG_SZ是字符串,BEG_BIN
ARY是二进制,REG_DWORD是双字,除了这三项,还有其他类型,不经常使用,这里不列出了。
四、通过注册表删
除启动项
查列到固定的启动项,在SRE中都显示了每一个注册表启动项的具体位置,我也可能会写一篇关于启动项目的文章,那时候就可以查看了。到位置后,删除不需要的键值即可。
五、通过注册表清理服务和驱动项目
在冰刃里面没有给删除服务和驱动项目的地方,对于服务,我们可以禁用,对于驱动,冰刃没有给具体方法,我们可以通过删除存放服务和驱动的注册表值,来删除服务和驱动。存放服务的注册表项是HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\里面每一个项都代表一个服务,这两个项之间有一一对应关系,删除时候请完全删除服务或驱动所对应的项即可。
第六,我们看文件
一、查冰刃的文件夹
按照图七中“+”“-”符号的说明,点击“+”可以快速在左边查到对应的文件夹,选中即可在右面查看该文件夹下面的文件了
二、删除文件夹
在冰刃左面选择“文件”,按照上面的方法,选择要删除的文件夹,在右键菜单中选择“删除”即可,但是这个文件夹还在冰刃中显示,你只要把上一级文件夹的“-”收一下,再展看,就可以看到文件夹已经删除。如果删除不了,请选择右键菜单中的“强制删除”。
三、删除文件
在冰刃左面选择“文件”,按照上面的方法,选中要删除的文件所在的文件夹,到要删除的文件。文件也有窍门,如果知道日期,你可以按照日期排列,然后再对应文件,如果只知道文件名,按照文件名排列后,按所文件的首字母,可以加快查速度。
到文件后,选中文件,然后在右键菜单中选择“删除”,如果删除不了,选择“强制删除”即可,如果此两种方法删除不了文件,那么就看看第四项。
四、处理顽固的病毒文件(暂时没有试验可用性)
文件经过冰刃的“删除”和“强制删除”都没有办法删除,可以试下面的方法,我不知道可行性,因为没有病毒样本,只能介绍给大家,自己试验了。方法如下:
在一个目录建立一个与病毒同名的文件,包括扩展名,复制到病毒位置。举个例子,比如你不能删除的文件是c:\windows\system32\下的1.sys,那么你可以在c:\建立一个记事本文件,里面随便打两个字母,保证文件大小不为0KB,修改其名称为1.sys,然后打开冰刃,选中新建立的c:\1.sys,在右键菜单中选择“复制”,然后打开复制对话框,选择病毒所在目录——c:\windows\system32\,然后输入文件名 ——1.sys,点复制,就可以了。
经过试验,此方法无效,对付这种顽固病毒文件看来还需要更好的利器。 此方法没有实践过,不知道是
否成功。
最后,我们了解菜单栏所有功能
一、禁止插入新进程
点菜单栏中文件下面的“设置”,打开设置对话框,在“禁止进线程创建”前面打上对勾即可。这样计算机就无法建立任何进程。
写到这里,冰刃的基本用法也就介绍得差不多了,其他高级内容,请看高级篇,你会了解更多关于冰刃这款软件的使用方法,具体讲述终止插入的DLL文件、病毒处理流程、创建进程规则等等冰刃的一些高级知识。
冰刃IceSword的使用方法(高级篇)
隐藏的文件夹怎么显示本来打算尽快更新这个东西,让大家学习更多知识,但是作业好多好多,我快忙不过来了。这次就来更新这个文章。此文章分为几个部分,我慢慢写,大家慢慢看。
第一部分:冰刃杀毒流程。
在基础篇里面,我向大家介绍了有关所有冰刃的基础使用方法,那么怎么用冰刃来杀毒呢?这个写一下大概的流程。
第一步:禁止运行进程。打开所有需要的软件和文件夹后,可以通过菜单里面禁止进线程建立,具体方法看基础篇,里面有详细介绍。
第二步:结束病毒进程。结束所有与病毒有关的进程,还要结束某些与系统进程无关的进程,可能包括一些额外的应用程序,包括桌面文件等等。这个为了保持病毒不会因为某些进程而重新被调用。
第三步:处理启动项目,处理服务、注册表等启动项目,分别在冰刃查看——服务、注册表、文件中处理。具体方法可以看基础篇。
第四步:删除病毒文件。删除所有可能的病毒进程,当然如果要备份,可以利用冰刃的复制功能,把病毒副本复制出来。如果复制病毒样本,需要一些技术,因为很多病毒如果处理不当,在重新启动后还会恢复回来。
第五步:重新启动计算机,你可以利用冰刃的重启并监视这个功能,我会下面的部分介绍。也可以利用计算机系统的重
新启动功能,但是要把禁止进程建立的对勾去掉,并且在运行冰刃的前提下重新启动。这一步的目的为了防止某些潜入式DLL潜入到系统进程中作乱,而且无法删除。比如潜入到Winlogon中的DLL用基础篇里面的方法可能会出现蓝屏。
第六步:做进一步检查,检查文件删除情况,注册表删除情况。
第七步:检查应用程序。很多病毒会修改应用程序,达到保护自己的目的,比如:盗取QQ的软件,会修改QQ.exe,当运行QQ软件的时候病毒会重新被加载,所以要通过冰刃的线程监控,还有文件进行进一步的监控。
第八步:处理可疑文件。在以上所有步骤过程中,一般都会出现一些不认识的或者不知道的程序,对这些程序我们做的就是最后处理,重点在于分析这些程序到底有无用处。到底是什么软件释放的,
或者病毒释放的。这个一般要高手才能进行。
最后一步:特别处理,重点处理病毒修改的系统设置,比如隐藏文件的设置、HOST文件的修改、主页等IE项目的修改、文件关联的修改等等。这些修改一般都要等杀毒结束后进行。
这个杀毒过程只是最基本的,和我自己给人解决问题时候套用的一个格式有一些关系。看过这个以后,对于我的删除方法会有一定了解
第二部分:删除顽固病毒文件
这一部分在基础篇中提到,但是当时我没有测试,小聪给我的结果让我很惊讶,怎么会不能成功,我就想了想做进一步的实验。此实验在虚拟机下进行,如果没有虚拟机请不要模仿。
因为我没有释放顽固病毒的样本,只能运用计算机系统中最基础的文件,考虑到非常难删除的病毒文件都是SYS文件,我选择了C:\WINDOWS\system32\drivers\acpi.sys文件进行进一步测试,这个文件是系统基础文件,不要轻易删除。
此文件很像某些病毒,删除它还会重新生成一个新的文件,我们就用它来进行新的测试。第一次测试是在正常模式下,在c:\建立一个名称为acpi.sys的文件,并设置了只读、系统、隐藏三个属性,用冰刃强制删除此文件,再以最快速度考入,观察,确实可以达到2分钟的目的
UID338 帖子2317 精华3 积分7004 阅读权限90 在线时间33 小时 注册时间2008-5-16 最后登录2009-1-12 查看详细资料
TOP
发布评论