冰剑(冰刃)应用图解指南
目前一些流氓软件采取各种手段:线程注入、进程隐藏、文件隐藏、驱动保护。普通用户很难删除文件或者搞清楚过程。有的看了,删不掉,杀不死,着急。实在不行,还需要从另一个操作系统删除文件。比如带驱动保护的流氓软件,比如CNNIC,雅虎助手等。当。sys驱动加载,它过滤文件和注册表项并直接返回一个true,Windows提示文件已被删除,但乍一看,它还在。一些文件删除工具,如unclocker,是无效的。IceSword是目前已知唯一可以直接删除此类加载驱动并采取注册表保护的工具。清理CNNIC这样的流氓软件,不需要重启就可以完成。查看进程包括正在运行的进程的文件地址,各种隐藏的进程和优先级。它还可以轻松杀死任务管理器和Procexp等工具无法杀死的进程。还可以查看进程的线程和模块信息,结束线程等。监控线程创建和线程终止“监控线程创建”在循环缓冲区中记录IceSword运行过程中线程创建的调用,“监控进程终止”记录一个进程被其他进程终止的情况。说明性功能:当木马或病毒进程运行时,检查是否有诺顿的进程之类的杀毒程序,有则查杀。如果IceSword正在运行,这个工作就会被记录下来,你就可以找出是哪个进程做的,这样你就可以找到木马或者病毒进程并结束它。再比如:一个木马或病毒采用多线程防护技术。你发现一个不正常的过程,它结束了,然后又起来。你可以用IceSword找出是哪个线程再次创建了这个进程,并把它们全部杀死。你可以中途使用“设置”菜单项:在设置对话框中选择“不创建线程”。此时,系统无法创建进程或线程。您可以安全地杀死可疑线程,然后取消禁止。file IS的文件操作类似于资源管理器。虽然不是那么方便,但是它的独特作用在于它的防隐藏和防保护功能。对安全性也有副作用。本来system32\config\SAM这样的文件是无法复制或者打开的,但是IceSword可以直接复制。类似加载的驱动,比如CNNIC的cdnport.sys文件,目前只有IS可以直接删除,无论其他什么方式,都无法打破驱动本身的保护。即使对于最有用的解锁器,CopyLock和KillBox也是无效的。使用Windows的系统中没有完全加载的删除机制。通过在HKLM \系统\当前控制集\控制\会话管理器下添加PendingFileRenameOperations,这是所有删除顽固文件工具的最后一招,但也是被驱动保护而失效的。在前一种情况下,需要重新启动并启动另一个操作系统进行删除。注册表中提到的Regedit的缺点太多了,比如它的名称长度限制。构建一个完整路径名大于255字节的子项,看一看(编程或使用其他工具,如regedt32)。该子项及其后面的子项无法在Regedit中显示;另一个例子是程序故意创建的带有特殊字符的注册表子项根本无法打开。在IceSword中加入注册表编辑并不是为了解决上述问题,因为已经有很多好的工具可以替代regedit。IceSword中的“registry”键就是为了寻找木马后门隐藏的注册表键而编写的。它不被任何当前的注册表隐藏方法所蒙蔽,并且真实可靠地允许您看到注册表的实际内容。比如CNNIC添加的键值HKLM \系统\当前控制集\服务\ dnport是用来加载驱动文件cndport.sys的,如果通过Regedit删除,会直接出错,根本无法删除。而且很容易被IS干掉。
此外,Icesword还具有查看端口、查看服务、SPI和BHO功能。SSDT消息挂钩,所以我就不介绍了.我发现自己.冰剑在自我保护方面做得非常好.它在系统托盘或软件标题栏中显示的只是一串随机的字符串.用户每次打开这个冰刃,出现的字符串都是随机生成的,随机出现的,都是不一样的(随机五位/另外,还可以更改软件的名称。流程名称也将相应改变。这样,即使那些木马或后门通过鼠标或键盘钩子控制了窗口退出键,也无法结束冰剑的操作,只能乖乖的臣服于冰剑。AV终结者就是最好的例子。
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。