冰刃使用说明

经典word整理文档，仅参考，转Word此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！冰刃icesword，也称为冰刀或者冰刃，有些地址简称IS，是USTC的PJF出品的一款系统诊断、清除利器。清除流氓软件工具无数，为什么称之为第一利器呢，有如下的理由：1)你是不是经常有文件删不掉?如CNNIC或者3721的文件?2)是不是经常有注册表不让你修改?如CNNIC的注册表是它自动保护起来的3)是不是经常有进程杀不掉，提示“无法完成”?4)是不是浏览器有N多的插件?5)是不是有一些程序运行的时候隐藏了进程和端口?6)是不是有一些流氓软件的文件在资源管理器下看都看不到?1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)来编写，随便一个ApiHook就可轻轻松松干掉它们，更不用说一些内核级后门了;极少数工具而IceSword的进程查找核心态方案是目前独一无二的，并且充分考虑内核后门可能的隐藏手段，目前可以查出所有隐藏进程。2、绝大多数工具查找进程路径名也是通过Toolhlp32psapi，前者会调用RtlDebug***函数向目标注入远线程，后者会用调试api读取目标进程内存，本质上都是对PEB的枚举，通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示，运行时剪切到其他路径也会随之显示。3dll模块与2PEB的其他工具会被轻易欺骗，而IceSword不会弄错(有极少数系统不支持，此时仍采用枚举PEB)。4、IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然，说任意不确切，除去三个：idle进程、System进程、csrss进程，原因就不详述了。其余进程可轻易杀死，当然有些进程(如winlogon)杀掉后系统就崩溃了。5、对于端口工具，网上的确有很多，不过网上隐藏端口的方法也很多，那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找，不过不想弄得太臃肿。这里的端口是指windows的IPv4Tcpip协议栈所属的端口，第三方协议栈或IPv6栈不在此列。是看到了，删不掉，杀不掉，干着急，实在不行，还需要从另外的作系统去删除CNNIC.sys驱动加载的时候，它过滤了文件和注册表作，直接返回一个true,Windows提示文件删了，但一看，它还在那里。象一些文件删除工具如unclocker都无效。IceSword是除CNNIC这类流氓软件，不需要重启也可以完成了。IS采取了很多新颖的、内核级的方法和手段，关于它的技术细节不在本文讨论之列，下面主要从使用者角度讲一下它的主要功能：■查看进程Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息，结束线程等。■查看端口类似于cportActivePort无余。■内核模块加载到系统内和空间的PE*.sys看到各种已经加载的驱动。包括一些隐藏的驱动文件，如IS自身的IsDrv118.sys，这个在资源管理器里是看不见的。■启动组Windows启动组里面的相关方式，这个比较容易理解了。不过可惜的是没有提示删除功能，只能查看。■服务对服务的作如启动，停止，禁用等。■SPI和BHO这两个是目前流氓软件越来越看中的地方。SPI是服务提供接口，即所有Windows的网络作都是通过这个接口发出和接收数据包的。很多流氓软件把这个.dll替换掉，这样就可以监视所有用户访问网络的包，可以针对性投放一些广告。如果不清楚的情况下，把这个.dll删掉，会造成网络无法使用，上不了网。LSPFix等工具就是针对这个功能的。BHO供查看的功能。■SSDT(SystemServiceDescriptorTable)函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook比如regmon。■消息钩子若在dll中使用SetWindowsHookEx设置一全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。■线程创建和线程终止监视“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓Terminate作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个作就被记录下来，你可以查到是哪个进多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了。■注册表Regedit有什么不足?说起Regedit的不足就太多了，比如它的名称长度限制，建一个全路径名长大于255字节的子项看看(regedt32)regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本打不开。更多我爱我家教你学电脑请看/topic.jsp?tid=64688641非太平洋网图片，内容及服务网络与本站无关2非太平洋网图片，内容及服务网络与本站无关3非太平洋网图片，内容及服务网络与本站无关4非太平洋网图片，内容及服务网络与本站无关5非太平洋网图片，内容及服务网络与本站无关6非太平洋网图片，内容及服务网络与本站无关7非太平洋网图片，内容及服务网络与本站无关8非太平洋网图片，内容及服务网络与本站无关9非太平洋网