冰刃使用图解教程Word文档格式.docx
《冰刃使用图解教程Word文档格式.docx》由会员分享,可在线阅读,更多相关《冰刃使用图解教程Word文档格式.docx(15页珍藏版)》请在冰点文库上搜索。
![冰刃使用图解教程Word文档格式.docx](https://file1.bingdoc.com/fileroot1/2023-4/29/084e6662-bd4b-47f4-b644-283b2b7e6c70/084e6662-bd4b-47f4-b644-283b2b7e6c701.gif)
如果无法运行,请先试着将文件名改成随即名字。
如:
点击左上角的”文件”,再选择”设置”,勾选最下面的三项,点″确定”。
注意:
这样设置后是无法再打开任何新的程序的。
如果要配合SREng等软件扫描出的日志,请先打开文件再设置。
(二)进程
1、查找并结束可疑进程
点击窗口左侧的”进程”,查看系统当前进程。
显示为红色的为隐藏进程,系统默认是没有的(系统自带的“任务管理器”是看不到的,有时另一款功能强大的进程查看软件ProcessExplorer也无法查到),因此红色项应全部结束(当然主程序IceSword.exe除外)。
如果你确定那些是正常的,可以不关。
顺便结束这些进程:
Explorer.exe、iexplore.exe、rundll32.exe。
按Ctrl键选择多个项目,然后再点开右键菜单中的”结束进程”,可一次搞定所有需结束的进程。
记录源文件地址,到时候一并删除。
IceSword可结束除Idle进程、System进程、csrss进程这三个进程外的所有进程,这一点,很多同类软件是做不到的。
但是有些进程也不是随便可以结束的,如系统的winlogon.exe进程,一旦杀掉后系统就崩溃了。
2、终止插入的DLL文件
举例:
很多木马程序都喜欢插入explorer.exe,来执行需要的操作,对于这些插入的DLL文件怎么办呢,选中explorer.exe进程,然后点右键菜单中的”模块信息”,会看到所嵌入进程的所有DLL文件,找到病毒模块,点击卸载即可结束掉这个DLL,如果病毒程序比较厉害,可能无法卸载,那么强制解除就起了作用,一般的DLL包括系统DLL都可以强制解除掉,所以慎用这个功能。
进程里面还有其他功能,比如强制结束线程,包括右键菜单中还有线程信息、内存读写等,在此就不一一介绍了。
(三)内核模块
内核模块是加载到系统内和空间的PE模块,内核程序是通过C:
\windows\system32\ntkrnlpa.exe等程序启动,基本上是C:
\windows\system32\drivers\下的驱动程序*.sys文件,当然也有少部分C:
\windows\system32\目录下的sys文件,仅有很少的几个dll文件,我计算机有3个。
冰刃中的内核模块只能察看简单的内核信息,靠知识去分析正常和不正常的内核。
(四)启动组
和内核程序一样,只能查看,无法作任何处理。
只显示以下几个地方的启动项目,不全面,可用冰刃的注册表删除可疑启动,操作方法见下文。
注册表中,仅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run两个项目,文件夹包括C:
\DocumentsandSettings\您所使用的用户名称\「开始」菜单\程序\启动和C:
\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动
(五)服务
1、显示隐藏服务
服务中可以显示隐藏服务,用红色表示,和进程一样
2、修改服务状态(启动、停止等)
打开服务,选中要进行操作的服务,按Ctrl键可以选择多个项目,在右键菜单里面选择要作的操作,比如停止、启动、暂停、恢复。
这里面要注意一个问题,就是系统的关键服务是不能停止的,否则系统会自动重新启动计算机。
这个仅修改当前状态,而重新启动计算机后,如果服务的启动类型是自动,还会启动该服务。
3、修改服务的启动类型(禁用、自动、手动)
打开服务,选中要进行操作的服务,按Ctrl键可以选择多个项目,在右键菜单里面选择要作的操作,比如禁用、自动、手动。
这个修改的是启动类型,所以修改后,不可能修改当前状态。
(六)注册表
冰刃对注册表有非常高的权限(管理员权限),可以看到某些系统注册表编辑器中不可见的项目,所以在进行操作的时候要有十足把握,不要因为错删、错改某些系统关键项目,使计算机系统崩溃。
(七)文件
文件是一个浏览计算机所有文件的地方,可以看到任何隐藏的文件,对付无法删除的文件,也可以使用强制删除等特殊方法删除,具体方法下面会有具体介绍。
二、清理方法
(一)恢复SSDT
SSDT–系统服务表,一些“rootkit”经常通过hook截获你系统的服务函数调用,以实现注册表、文件的隐藏。
被修改的值以红色显示,不过,当然有些安全程序也会修改,如windows\System32\drivers\klif.sys就是卡巴斯基内核驱动。
下图为恢复默认的方法:
记下这里显示的可疑文件位置以及文件名,到时候删除源文件。
(二)清理文件
1、首先应清理隐藏进程的程序。
2、清理SSDT中显示的文件
为完全清理文件,可以右键文件夹,选”搜索文件”查找前面找到的文件。
具体方法同注册表搜索,有时强制删除文件会失败,请先使用”删除”。
若你的分区格式是NTFS,在清理时请使用管理员权限账户登陆,并右键目录,选择”枚举ADS(不包含子目录)”(全部的话时间较长)。
这样可以揪出利用NTFS交换数据流(AlternateDataStreams,简称ADS)隐藏的文件。
清理方法:
选中文件,右键菜单中选择”删除”,如果删除不了,选择”强制删除”即可。
(三)清理BHO
IceSword的”BHO”的功能,可以检查可以浏览器劫持项。
(四)删除注册表相关信息
1、系统服务所在位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002Services\
2、常见启动项位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
有些可以直接删除主键,如图:
有的直接删除项,如下图:
搜索注册表中其他位置,方法如下:
系统启动项Run的删除。
示例:
三、最后的修复
(一)首先应该还原第一步中对IS的设置。
(二)装好杀软,联网、升级、重启杀毒。
(三)处理病毒修改的系统设置
比如隐藏文件的设置、HOST文件的修改、主页等IE项目的修改、文件关联的修改等等。
这些修改一般都要等杀毒结束后进行。
其他技巧:
1、防止冰刃进程被结束:
以命令行形式输入:
IceSword.exe/c,此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键),如果最小化到托盘时托盘图标又消失了,可用Ctrl+Alt+S唤出主界面。
2、用冰刃的”复制”改写文件:
对一个被非共享打开的文件、或一个正运行的程序文件(如木马),你想改掉它的内容,可新建一文件,写入你想写的文件(文件名和你要替换的文件一致),然后打开冰刃文件->
文件,找到该文件,右键”复制”,然后浏览到你想修改的文件(木马)的路径,确定即可。
PS:
当强制删除无效时可用此法