大家好,我是小豆豆,我来为wei大家解答以上问wen题。冰刃 英文,冰刃怎么用啊都是英ying文很多人还不知道,现xian在让我们一起来看看吧!
1、冰刃(IceSword)的使shi用方法(高级篇)第一部分:冰刃杀sha毒流程。
2、在基ji础篇里面,我向大家介绍了有关所有冰bing刃的基础使用方法,那么怎么用冰刃来lai杀毒呢?这个写一下大概的de流程。
3、第一步bu:禁止运行进程。
4、打开所有需要的软件和文件jian夹后,可以通过菜单里面禁止进线程建jian立,具体方法看基础篇,里面有详细xi介绍。
5、第二步bu:结束病毒进程。
6、结束shu所有与病毒有关的进程,还要结jie束某些与系统进程无wu关的进程,可能neng包括一些额外的应用程序,包括桌zhuo面文件等等。
7、这个为了le保持病毒不会因为wei某些进程而重新被调用。
8、第di三步:处理启动项xiang目,处理服务、注册表等启动dong项目,分别在冰刃查cha看——服务、注册表、文件中处理。
9、具体方法可以看基础篇。
10、第四步:删除病毒du文件。
11、删除所有可能的病毒进程,当然如果要备份fen,可以利用冰刃的de复制功能,把病毒副本复制出来。
12、如果复fu制病毒样本,需要一些技术,因为很多duo病毒如果处理不当,在重zhong新启动后还会恢复回来。
13、第五步:重新xin启动计算机,你可以yi利用冰刃的重启并bing监视这个功能,我会下面mian的部分介绍。
14、也可以利用计算机系xi统的重新启动功能,但是要把ba禁止进程建立对勾去掉diao,并且在运行冰刃的前提下重zhong新启动。
15、这一yi步的目的为了防止某些潜入式shiDLL潜入到系统进程中作乱,而er且无法删除。
16、比如潜入到Winlogon中的DLL用基础篇里面的方fang法可能会出现蓝屏。
17、第六步:做zuo进一步检查,检查文件删除情况,注册表删除情况kuang。
18、第七qi步:检查应用程序。
19、很多病毒会修xiu改应用程序,达到保护自己的目的,比如:盗取QQ的软件,会修xiu改QQ.exe,当运yun行QQ软件的时候病毒会重新被加载,所以要通过冰刃的线程监jian控,还有文件进行进一步的监控。
20、第八步:处理可ke疑文件。
21、在zai以上所有步骤过程中zhong,一般都会出现一些不认识的或者zhe不知道的程序,对这些程序我们做的就jiu是最后处理,重点在于分fen析这些程序到底有you无用处。
22、到底是什shi么软件释放的,或者病毒释放的。
23、这个ge一般要高手才能进行。
24、最后一步:特别处理li,重点处理病毒修xiu改的系统设置,比如隐藏文件的de设置、HOST文件的修改、主页等dengIE项目的修改、文件关联的修改等deng等。
25、这zhe些修改一般都要等杀毒结束后进行。
26、这个杀毒过程只zhi是最基本的,和我自己ji给人解决问题时候套用的一个格式有you一些关系。
27、看过这个以yi后,对于我的删除方fang法会有一定了解第二部bu分:删除顽固病毒文件这一部分fen在基础篇中提到,但是当时我wo没有测试,小聪给我的de结果让我很惊讶,怎么会不能成功,我就想xiang了想做进一步的实验yan。
28、此实验在虚拟ni机下进行,如果没有虚拟机请不bu要模仿。
29、因为我wo没有释放顽固病毒的样本,只能运用计ji算机系统中最基础chu的文件,考虑到dao非常难删除的病毒文wen件都是SYS文件,我选xuan择了C:\WINDOWS\system32\drivers\acpi.sys文件进行进一步测ce试,这个文件是系统基础文件,不要yao轻易删除(如图一所示)。
30、此文件很hen像某些病毒,删除它还会重新生成cheng一个新的文件,我们就用它ta来进行新的测试shi。
31、第一次ci测试是在正常模式下,在c:\建jian立一个名称为acpi.sys的文件jian,并设置了只读、系统、隐藏三个ge属性,用冰刃强制删shan除此文件,再以最快速度考kao入,观察,确实可以达到2分钟的de目的,也就是说2分钟后系统会自zi动把此文件修改会上面的样子,并bing且大小相同。
32、第二次测试是根据基ji础篇叙述禁止了le进线程创建(方法详见基础篇最后hou部分的一)的模式下进行,利用冰刃可ke以删除文件,并且保证在此模式的前提ti条件下并不被删除,也不会被覆盖gai,但是当模式改gai变,就会被快速替换。
33、猜想,测试到此发现,顽固病毒du文件冰刃删除不了,但是shi它真的无能为力,我觉得不会,禁jin止进线程建立只是禁止了全部的de进线程建立,那么我们可不可以yi用冰刃禁止一部分fen呢?等待我们的是进一步测ce试,如果成功,那么冰刃也可ke以删除顽固文件了。
34、第三san部分 冰刃的运行xing原理在这一部分,我主要讲jiang的是为什么冰刃可以检查隐藏进程、可ke以那么强大。
35、我们现xian在知道,有很多免mian费软件都可以进jin行进程、端口、注册表的检查,但是为什么冰刃的功能会比其qi他软件好呢?下面就看看以下回答da吧。
36、第一,绝大多数所谓的进jin程工具都是利用Windows的Toolhlp32或者psapi再或者ZwQuerySystemInformation系统调用来编写xie的,随便一个ApiHook就可以轻松的干gan掉它们了,更不用说那些内核级ji别的后门了。
37、此外还hai有极少数工具利li用内核线程调度结jie构来查询进程,这种方案需要硬编码ma,这不仅因不同版本的系统而各异yi,而且打个补丁也可能neng需要升级程序,并且现在zai还有人提出过防止此种zhong查找的方法。
38、而IceSword的进程查cha找核心态方案是目前比较特te殊的,并且充分考虑lu到内核后面可能的隐藏手段,可ke以查到目前大部分隐藏进程。
39、第二,绝jue大多数工具查找进程路径名也通过guoToolhlp32和psapi,前者会调用RtlDebug函数向目标注zhu入远线程,后者会调用api读取目标进程内存,其本质上都dou是对PEB的枚举,因此,通过修改gaiPEB就可以轻易yi让这些工具失灵。
40、而IceSword的核心态方案采用全quan路径展示,运行时剪jian切到的其他路径也会显示出来。
41、第三,进程dll模块与前一种情况一样,利用PEB的其他工具ju会被轻易欺骗,而IceSword不会弄错,如果系xi统不支持,这时候会hui采用枚举PEB。
42、第四,IceSword的de进程杀除功能强大且方便,可轻易将选中的多个ge进程一并杀除,其中包括系统进程(除idle进程、System进程、csrss进程),此时系统tong可能会出现蓝屏、重启等状zhuang况。
43、注zhu:以上内容参考《计算机病毒分析与防fang范大全》278页根据以yi上叙述,我们可以看出,一般病毒du不会轻易结束掉冰刃的进程,但dan是某些病毒为了保护自己,根据进jin程名称结束了冰刃ren,这时只要修改冰刃主程序xu(IceSword.exe)的名称就可以了。
44、原帖地址:http://bbs.kafan.cn/viewthread.php?tid=80334&extra=page=24。
本文wen到此讲解完毕了,希望对大家jia有帮助。
转载请保留链接:http://www.397.win/1144181.html
