捷克論壇 JKF

 找回密碼
 加入會員
搜尋
查看: 1540 | 回覆: 0 | 跳轉到指定樓層
@-@
見習騎士 | 2009-3-21 17:09:43

冰刃是一款功能強大的殺毒輔助軟件,深受很多殺毒高手的青睞,這裡我介紹一下冰刃這個軟件的簡單使用方法,供大家參考。說句實話,我不是高手,不能像高手一樣把一些軟件運用自如,所以這個方法可能有很多紕漏或者很大的不足,請見諒。

廢話少說,進入正題,我先通過以下圖片介紹一下冰刃。

說到一個軟件,就要先說一下它的運行環境,冰刃這個軟件,第一次運行必須在管理員帳戶下進行,當一台計算機多個用戶,如果管理員用戶運行了冰刃,最好重新啟動後再交給低權限用戶使用計算機,否則低權限用戶就可以啟動冰刃這個軟件。

冰刃大菜單分為查看、注冊表、文件。查看裡面又分為很多小部分,我這裡只介紹常用的功能,包括進程、內核信息、啟動組、服務,其他項目,我會在最後進行介紹性說明。注冊表裡面就是一個注冊表編輯器,方便使用,而且擁有管理員權限,可以查看、修改、刪除注冊表項目。文件是一個瀏覽計算機所有文件的地方,它可以看到任何隱藏的文件,對付無法刪除的文件,也可以使用強制刪除等特殊方法刪除,具體方法下面會有具體介紹。

圖片上有一些使用方法,但是不具體,下面我就帶您一步一步地來用冰刃實現一些固定的操作。我介紹的方法是從簡單到難,可能有些您還看不懂,不要緊,慢慢學習,共同進步。

首先,我們看進程這裡可以做的事情

一、顯示隱藏進程。

打開冰刃的進程選項後,裡面紅色字顯示的就是隱藏的進程,這樣顯示可以方便查找隱藏的後門、木馬等

二、結束進程

點擊選中要結束的進程,按Ctrl鍵可以選擇多個項目,然後再點開右鍵菜單中的“結束進程”,就把選中的項目結束掉了。

三、終止插入的DLL文件

現在很多木馬程序都插入桌面文件explorer.exe下面很多DLL文件,來執行木馬所需要的操作,那麼對於這些插入的DLL文件怎麼辦呢,用冰刃就可以解決好這個問題。

打開冰刃後,選中DLL所插入的進程,然後點右鍵菜單中的“模塊信息”,會看到所嵌入進程的所有DLL文件,找到病毒進程,點擊卸載即可結束掉這個 DLL,如果病毒、木馬或者黑客程序比較厲害,可能無法卸載,那麼強制卸載就起了作用,一般的DLL包括系統DLL都可以強制卸載掉,所以慎用這個功能。

四、其他功能

進程裡面還有某些其他功能,比如強制結束線程,包括右鍵菜單中還有線程信息、內存讀寫等,這些對我們的殺毒工作用處不大,所以不進行具體介紹了。

其次,我們看內核的使用方法

內核程序是通過C:windowssystem32ntkrnlpa.exe等程序啟動,基本上是 C:windowssystem32drivers下的sys文件,當然也有少部分C:windowssystem32目錄下的sys文件,僅有很少的幾個dll文件,我計算機有3個。冰刃中的內核模塊只能察看簡單的內核信息,靠知識去分析正常和不正常的內核。

第三,我們看啟動組

這裡和內核程序一樣,只能查看,無法作任何處理。這個啟動組裡面只顯示幾個地方的啟動項目,非常不全面,我了解得是以下項目:

注冊表中,僅包括HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun和 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun兩個項目,文件夾包括 C:Documents and Settings您所使用的用戶名稱「開始」菜單程序啟動和C:Documents and SettingsAll Users「開始」菜單程序啟動

等我的下一個文章的更新後,就知道這個啟動組是多麼的不全面了。

第四,我們看服務

一、顯示隱藏服務

服務中可以顯示隱藏服務,用紅色表示,和進程一樣

二、修改服務的當前狀態(啟動、停止等)

打開服務,選中要進行操作的服務,按Ctrl鍵可以選擇多個項目,在右鍵菜單裡面選擇要作的操作,比如停止、啟動、暫停、恢復。這裡面要注意一個問題,就是系統的關鍵服務是不能停止的,否則系統會自動重新啟動計算機。這個僅修改當前狀態,而重新啟動計算機後,如果服務的啟動類型是自動,還會啟動該服務。

三、修改服務的啟動類型(禁用、自動、手動)

打開服務,選中要進行操作的服務,按Ctrl鍵可以選擇多個項目,在右鍵菜單裡面選擇要作的操作,比如禁用、自動、手動。這個修改的是啟動類型,所以修改後,不可能修改當前狀態。

第五,我們看注冊表

冰刃對注冊表有非常高的權限,可以看到某些系統注冊表編輯器中不可見的項目,所以在進行操作的時候要有十足把握,不要因為錯刪、錯改某些系統關鍵項目,使計算機系統崩潰。

一、查找項

按照圖六中“+”“-”符號的說明,點擊“+”可以快速在左邊查找到對應的項目,選中即可在右面查看該項下面的鍵值

二、刪除項

在左面選中要刪除的項,在右鍵菜單中選擇“刪除”,即可。

三、新建項

選擇要新建項的位置,然後在左面右鍵菜單中的新建下選擇“項”,即可彈出新建項的對話框,輸入名稱,點確定即可。

四、修改鍵值

通過查找項,找到要修改的鍵,雙擊此鍵,即可打開修改鍵值的對話框,輸入要修改的名字或者清空,點確定即可。

一、刪除鍵

通過查找項,找到要刪除的鍵,按Ctrl鍵可以選擇多個項目,然後在右面窗口中的右鍵菜單中選擇“刪除所選”即可。

二、新建鍵

通過查找項,找到要新建鍵的項,選中此項,在左面窗口中的右鍵菜單中的新建下選擇建立哪種類型的鍵,會彈出建立鍵的對話框,輸入鍵名稱和鍵值即可。

三、關於類型

冰刃新建鍵值給了3種類型——字符串值、二進制值、雙字,這個在建立鍵的時候,按照需要選擇,下面我說的是如何看一個鍵值是什麼類型,在冰刃右面顯示具體鍵的地方有類型,它顯示了此鍵是什麼類型。REG_SZ是字符串,BEG_BINARY是二進制,REG_DWORD是雙字,除了這三項,還有其他類型,不經常使用,這裡不列出了。

四、通過注冊表刪除啟動項

查找列到固定的啟動項,在SRE中都顯示了每一個注冊表啟動項的具體位置,我也可能會寫一篇關於啟動項目的文章,那時候就可以查看了。找到位置後,刪除不需要的鍵值即可。

五、通過注冊表清理服務和驅動項目

在冰刃裡面沒有給刪除服務和驅動項目的地方,對於服務,我們可以禁用,對於驅動,冰刃沒有給具體方法,我們可以通過刪除存放服務和驅動的注冊表值,來刪除服務和驅動。存放服務的注冊表項是HKEY_LOCAL_MACHINESYSTEMControlSet001Services和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices裡面每一個項都代表一個服務,這兩個項之間有一一對應關系,刪除時候請完全刪除服務或驅動所對應的項即可。

第六,我們看文件

一、查找冰刃的文件夾

按照圖七中“+”“-”符號的說明,點擊“+”可以快速在左邊查找到對應的文件夾,選中即可在右面查看該文件夾下面的文件了

二、刪除文件夾

在冰刃左面選擇“文件”,按照上面的方法,選擇要刪除的文件夾,在右鍵菜單中選擇“刪除”即可,但是這個文件夾還在冰刃中顯示,你只要把上一級文件夾的“-”收一下,再展看,就可以看到文件夾已經刪除。如果刪除不了,請選擇右鍵菜單中的“強制刪除”。

三、刪除文件

在冰刃左面選擇“文件”,按照上面的方法,選中要刪除的文件所在的文件夾,找到要刪除的文件。找文件也有竅門,如果知道日期,你可以按照日期排列,然後再找對應文件,如果只知道文件名,按照文件名排列後,按所找文件的首字母,可以加快查找速度。

找到文件後,選中文件,然後在右鍵菜單中選擇“刪除”,如果刪除不了,選擇“強制刪除”即可,如果此兩種方法刪除不了文件,那麼就看看第四項。

四、處理頑固的病毒文件(暫時沒有試驗可用性)

文件經過冰刃的“刪除”和“強制刪除”都沒有辦法刪除,可以試下面的方法,我不知道可行性,因為沒有病毒樣本,只能介紹給大家,自己試驗了。方法如下:

在一個目錄建立一個與病毒同名的文件,包括擴展名,復制到病毒位置。舉個例子,比如你不能刪除的文件是c:windowssystem32下的 1.sys,那麼你可以在c:建立一個記事本文件,裡面隨便打兩個字母,保證文件大小不為0KB,修改其名稱為1.sys,然後打開冰刃,選中新建立的 c:.sys,在右鍵菜單中選擇“復制”,然後打開復制對話框,選擇病毒所在目錄——c:windowssystem32,然後輸入文件名—— 1.sys,點復制,就可以了。

經過試驗,此方法無效,對付這種頑固病毒文件看來還需要更好的利器。

此方法沒有實踐過,不知道是否成功。

最後,我們了解菜單欄所有功能

一、禁止插入新進程

點菜單欄中文件下面的“設置”,打開設置對話框,在“禁止進線程創建”前面打上對勾即可。這樣計算機就無法建立任何進程。

寫到這裡,冰刃的基本用法也就介紹得差不多了,其他高級內容,請看高級篇,你會了解更多關於冰刃這款軟件的使用方法,具體講述終止插入的DLL文件、病毒處理流程、創建進程規則等等冰刃的一些高級知識。
回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表