冰刃是一款功能强大的杀毒辅助软件,深受很多杀毒高手的青睐,这里我介绍一下冰刃这个软件的简单使用方法,供大家参考。说句实话,我不是高手,不能像高手一样把一些软件运用自如,所以这个方法可能有很多纰漏或者很大的不足,请见谅。
废话少说,进入正题,我先通过以下图片介绍一下冰刃。
说到一个软件,就要先说一下它的运行环境,冰刃这个软件,第一次运行必须在管理员帐户下进行,当一台计算机多个用户,如果管理员用户运行了冰刃,最好重新启动后再交给低权限用户使用计算机,否则低权限用户就可以启动冰刃这个软件。
冰刃大菜单分为查看、注册表、文件(图一)。查看里面又分为很多小部分,我这里只介绍常用的功能,包括进程(图二)、内核信息(图三)、启动组(图四)、服务(图五),其他项目,我会在最后进行介绍性说明。注册表(图六)里面就是一个注册表编辑器,方便使用,而且拥有管理员权限,可以查看、修改、删除注册表项目。文件(图七)是一个浏览计算机所有文件的地方,它可以看到任何隐藏的文件,对付无法删除的文件,也可以使用强制删除等特殊方法删除,具体方法下面会有具体介绍。
图一
图二
图三
图四
图五
图六
图七
图片上有一些使用方法,但是不具体,下面我就带您一步一步地来用冰刃实现一些固定的操作。我介绍的方法是从简单到难,可能有些您还看不懂,不要紧,慢慢学习,共同进步。
首先,我们看进程这里可以做的事情
一、显示隐藏进程。
打开冰刃的进程选项后,里面红色字显示的就是隐藏的进程,这样显示可以方便查找隐藏的后门、***等
二、结束进程
点击选中要结束的进程,按Ctrl键可以选择多个项目,然后再点开右键菜单中的“结束进程”,就把选中的项目结束掉了。
三、终止插入的DLL文件
现在很多***程序都插入桌面文件explorer.exe下面很多DLL文件,来执行***所需要的操作,那么对于这些插入的DLL文件怎么办呢,用冰刃就可以解决好这个问题。
打开冰刃后,选中DLL所插入的进程,然后点右键菜单中的“模块信息”,会看到所嵌入进程的所有DLL文件(图八),找到病毒进程,点击卸载即可结束掉这个DLL,如果病毒、***或者***程序比较厉害,可能无法卸载,那么强制卸载就起了作用,一般的DLL包括系统DLL都可以强制卸载掉,所以慎用这个功能。
图八
四、其他功能
进程里面还有某些其他功能,比如强制结束线程,包括右键菜单中还有线程信息、内存读写等,这些对我们的杀毒工作用处不大,所以不进行具体介绍了。
其次,我们看内核的使用方法
内核程序是通过C:\windows\system32\ntkrnlpa.exe等程序启动,基本上是C:\windows\system32\drivers\下的sys文件,当然也有少部分C:\windows\system32\目录下的sys文件,仅有很少的几个dll文件,我计算机有3个。冰刃中的内核模块只能察看简单的内核信息,靠知识去分析正常和不正常的内核(见图三)。
第三,我们看启动组
这里和内核程序一样,只能查看,无法作任何处理。这个启动组里面只显示几个地方的启动项目,非常不全面,我了解得是以下项目:
注册表中,仅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run两个项目,文件夹包括C:\Documents and Settings\您所使用的用户名称\「开始」菜单\程序\启动和C:\Documents and Settings\All Users\「开始」菜单\程序\启动
等我的下一个文章的更新后,就知道这个启动组是多么的不全面了(见图四)。
第四,我们看服务
一、显示隐藏服务
服务中可以显示隐藏服务,用红色表示,和进程一样
二、修改服务的当前状态(启动、停止等)
打开服务,选中要进行操作的服务,按Ctrl键可以选择多个项目,在右键菜单里面选择要作的操作,比如停止、启动、暂停、恢复。这里面要注意一个问题,就是系统的关键服务是不能停止的,否则系统会自动重新启动计算机。这个仅修改当前状态,而重新启动计算机后,如果服务的启动类型是自动,还会启动该服务。
三、修改服务的启动类型(禁用、自动、手动)
打开服务,选中要进行操作的服务,按Ctrl键可以选择多个项目,在右键菜单里面选择要作的操作,比如禁用、自动、手动。这个修改的是启动类型,所以修改后,不可能修改当前状态。
第五,我们看注册表
冰刃对注册表有非常高的权限,可以看到某些系统注册表编辑器中不可见的项目,所以在进行操作的时候要有十足把握,不要因为错删、错改某些系统关键项目,使计算机系统崩溃。
一、查找项
按照图六中“+”“-”符号的说明,点击“+”可以快速在左边查找到对应的项目,选中即可在右面查看该项下面的键值
二、删除项
在左面选中要删除的项,在右键菜单中选择“删除”,即可。
三、新建项
选择要新建项的位置,然后在左面右键菜单中的新建下选择“项”,即可弹出新建项的对话框(图九),输入名称,点确定即可。
图九
四、修改键值
通过查找项,找到要修改的键,双击此键,即可打开修改键值的对话框(图十),输入要修改的名字或者清空,点确定即可。
图十
一、删除键
通过查找项,找到要删除的键,按Ctrl键可以选择多个项目,然后在右面窗口中的右键菜单中选择“删除所选”即可。
二、新建键
通过查找项,找到要新建键的项,选中此项,在左面窗口中的右键菜单中的新建下选择建立哪种类型的键,会弹出建立键的对话框,输入键名称和键值即可。
三、关于类型
冰刃新建键值给了3种类型——字符串值、二进制值、双字,这个在建立键的时候,按照需要选择,下面我说的是如何看一个键值是什么类型,在冰刃右面显示具体键的地方有类型,它显示了此键是什么类型。REG_SZ是字符串,BEG_BINARY是二进制,REG_DWORD是双字(图十一),除了这三项,还有其他类型,不经常使用,这里不列出了。
图十一
四、通过注册表删除启动项
查找列到固定的启动项,在SRE中都显示了每一个注册表启动项的具体位置,我也可能会写一篇关于启动项目的文章,那时候就可以查看了。找到位置后,删除不需要的键值即可。
五、通过注册表清理服务和驱动项目
在冰刃里面没有给删除服务和驱动项目的地方,对于服务,我们可以禁用,对于驱动,冰刃没有给具体方法,我们可以通过删除存放服务和驱动的注册表值,来删除服务和驱动。存放服务的注册表项是HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\里面每一个项都代表一个服务,这两个项之间有一一对应关系,删除时候请完全删除服务或驱动所对应的项即可。
第六,我们看文件
一、查找冰刃的文件夹
按照图七中“+”“-”符号的说明,点击“+”可以快速在左边查找到对应的文件夹,选中即可在右面查看该文件夹下面的文件了
二、删除文件夹
在冰刃左面选择“文件”,按照上面的方法,选择要删除的文件夹,在右键菜单中选择“删除”即可,但是这个文件夹还在冰刃中显示,你只要把上一级文件夹的“-”收一下,再展看,就可以看到文件夹已经删除。如果删除不了,请选择右键菜单中的“强制删除”。
三、删除文件
在冰刃左面选择“文件”,按照上面的方法,选中要删除的文件所在的文件夹,找到要删除的文件。找文件也有窍门,如果知道日期,你可以按照日期排列,然后再找对应文件,如果只知道文件名,按照文件名排列后,按所找文件的首字母,可以加快查找速度。
找到文件后,选中文件,然后在右键菜单中选择“删除”,如果删除不了,选择“强制删除”即可,如果此两种方法删除不了文件,那么就看看第四项。
四、处理顽固的病毒文件(暂时没有试验可用性)
文件经过冰刃的“删除”和“强制删除”都没有办法删除,可以试下面的方法,我不知道可行性,因为没有病毒样本,只能介绍给大家,自己试验了。方法如下:
在一个目录建立一个与病毒同名的文件,包括扩展名,复制到病毒位置。举个例子,比如你不能删除的文件是c:\windows\system32\下的1.sys,那么你可以在c:\建立一个记事本文件,里面随便打两个字母,保证文件大小不为0KB,修改其名称为1.sys,然后打开冰刃,选中新建立的c:\1.sys,在右键菜单中选择“复制”,然后打开复制对话框,选择病毒所在目录——c:\windows\system32\,然后输入文件名——1.sys,点复制,就可以了。
经过试验,此方法无效,对付这种顽固病毒文件看来还需要更好的利器。
此方法没有实践过,不知道是否成功。
最后,我们了解菜单栏所有功能
一、禁止插入新进程
点菜单栏中文件下面的“设置”,打开设置对话框,在“禁止进线程创建”前面打上对勾即可。这样计算机就无法建立任何进程(图十二)。
图十二
写到这里,冰刃的基本用法也就介绍得差不多了,其他高级内容,请看高级篇,你会了解更多关于冰刃这款软件的使用方法,具体讲述终止插入的DLL文件、病毒处理流程、创建进程规则等等冰刃的一些高级知识。
