大家好，我是小華，我來為大家解答以上問題。冰刃是什么裝備，冰刃怎么用很多人還不知道，現在讓我們一起來看看吧！

1、冰刃（IceSword）的使用方法（高級篇） 第一部分：冰刃殺毒流程。

2、 在基礎篇里面，我向大家介紹了有關所有冰刃的基礎使用方法，那么怎么用冰刃來殺毒呢？這個寫一下大概的流程。

3、 第一步：禁止運行進程。

4、打開所有需要的軟件和文件夾后，可以通過菜單里面禁止進線程建立，具體方法看基礎篇，里面有詳細介紹。

5、 第二步：結束病毒進程。

6、結束所有與病毒有關的進程，還要結束某些與系統(tǒng)進程無關的進程，可能包括一些額外的應用程序，包括桌面文件等等。

7、這個為了保持病毒不會因為某些進程而重新被調用。

8、 第三步：處理啟動項目，處理服務、注冊表等啟動項目，分別在冰刃查看——服務、注冊表、文件中處理。

9、具體方法可以看基礎篇。

10、 第四步：刪除病毒文件。

11、刪除所有可能的病毒進程，當然如果要備份，可以利用冰刃的復制功能，把病毒副本復制出來。

12、如果復制病毒樣本，需要一些技術，因為很多病毒如果處理不當，在重新啟動后還會恢復回來。

13、 第五步：重新啟動計算機，你可以利用冰刃的重啟并監(jiān)視這個功能，我會下面的部分介紹。

14、也可以利用計算機系統(tǒng)的重新啟動功能，但是要把禁止進程建立的對勾去掉，并且在運行冰刃的前提下重新啟動。

15、這一步的目的為了防止某些潛入式DLL潛入到系統(tǒng)進程中作亂，而且無法刪除。

16、比如潛入到Winlogon中的DLL用基礎篇里面的方法可能會出現藍屏。

17、 第六步：做進一步檢查，檢查文件刪除情況，注冊表刪除情況。

18、 第七步：檢查應用程序。

19、很多病毒會修改應用程序，達到保護自己的目的，比如：盜取QQ的軟件，會修改QQ.exe，當運行QQ軟件的時候病毒會重新被加載，所以要通過冰刃的線程監(jiān)控，還有文件進行進一步的監(jiān)控。

20、 第八步：處理可疑文件。

21、在以上所有步驟過程中，一般都會出現一些不認識的或者不知道的程序，對這些程序我們做的就是最后處理，重點在于分析這些程序到底有無用處。

22、到底是什么軟件釋放的，或者病毒釋放的。

23、這個一般要高手才能進行。

24、 最后一步：特別處理，重點處理病毒修改的系統(tǒng)設置，比如隱藏文件的設置、HOST文件的修改、主頁等IE項目的修改、文件關聯的修改等等。

25、這些修改一般都要等殺毒結束后進行。

26、 這個殺毒過程只是最基本的，和我自己給人解決問題時候套用的一個格式有一些關系。

27、看過這個以后，對于我的刪除方法會有一定了解 第二部分：刪除頑固病毒文件 這一部分在基礎篇中提到，但是當時我沒有測試，小聰給我的結果讓我很驚訝，怎么會不能成功，我就想了想做進一步的實驗。

28、此實驗在虛擬機下進行，如果沒有虛擬機請不要模仿。

29、 因為我沒有釋放頑固病毒的樣本，只能運用計算機系統(tǒng)中最基礎的文件，考慮到非常難刪除的病毒文件都是SYS文件，我選擇了C:WINDOWSsystem32driversacpi.sys文件進行進一步測試，這個文件是系統(tǒng)基礎文件，不要輕易刪除（如圖一所示）。

30、 此文件很像某些病毒，刪除它還會重新生成一個新的文件，我們就用它來進行新的測試。

31、第一次測試是在正常模式下，在c:建立一個名稱為acpi.sys的文件，并設置了只讀、系統(tǒng)、隱藏三個屬性，用冰刃強制刪除此文件，再以最快速度考入，觀察，確實可以達到2分鐘的目的，也就是說2分鐘后系統(tǒng)會自動把此文件修改會上面的樣子，并且大小相同。

32、第二次測試是根據基礎篇敘述禁止了進線程創(chuàng)建（方法詳見基礎篇最后部分的一）的模式下進行，利用冰刃可以刪除文件，并且保證在此模式的前提條件下并不被刪除，也不會被覆蓋，但是當模式改變，就會被快速替換。

33、猜想，測試到此發(fā)現，頑固病毒文件冰刃刪除不了，但是它真的無能為力，我覺得不會，禁止進線程建立只是禁止了全部的進線程建立，那么我們可不可以用冰刃禁止一部分呢？等待我們的是進一步測試，如果成功，那么冰刃也可以刪除頑固文件了。

34、 第三部分 冰刃的運行原理 在這一部分，我主要講的是為什么冰刃可以檢查隱藏進程、可以那么強大。

35、我們現在知道，有很多免費軟件都可以進行進程、端口、注冊表的檢查，但是為什么冰刃的功能會比其他軟件好呢？下面就看看以下回答吧。

36、 第一，絕大多數所謂的進程工具都是利用Windows的Toolhlp32或者psapi再或者ZwQuerySystemInformation系統(tǒng)調用來編寫的，隨便一個ApiHook就可以輕松的干掉它們了，更不用說那些內核級別的后門了。

37、此外還有極少數工具利用內核線程調度結構來查詢進程，這種方案需要硬編碼，這不僅因不同版本的系統(tǒng)而各異，而且打個補丁也可能需要升級程序，并且現在還有人提出過防止此種查找的方法。

38、而IceSword的進程查找核心態(tài)方案是目前比較特殊的，并且充分考慮到內核后面可能的隱藏手段，可以查到目前大部分隱藏進程。

39、 第二，絕大多數工具查找進程路徑名也通過Toolhlp32和psapi，前者會調用RtlDebug函數向目標注入遠線程，后者會調用api讀取目標進程內存，其本質上都是對PEB的枚舉，因此，通過修改PEB就可以輕易讓這些工具失靈。

40、而IceSword的核心態(tài)方案采用全路徑展示，運行時剪切到的其他路徑也會顯示出來。

41、 第三，進程dll模塊與前一種情況一樣，利用PEB的其他工具會被輕易欺騙，而IceSword不會弄錯，如果系統(tǒng)不支持，這時候會采用枚舉PEB。

42、 第四，IceSword的進程殺除功能強大且方便，可輕易將選中的多個進程一并殺除，其中包括系統(tǒng)進程（除idle進程、System進程、csrss進程），此時系統(tǒng)可能會出現藍屏、重啟等狀況。

43、 注：以上內容參考《計算機病毒分析與防范大全》278頁 根據以上敘述，我們可以看出，一般病毒不會輕易結束掉冰刃的進程，但是某些病毒為了保護自己，根據進程名稱結束了冰刃，這時只要修改冰刃主程序（IceSword.exe）的名稱就可以了。

44、 原帖地址：http://bbs.kafan.cn/viewthread.php?tid=80334&extra=page=24。

本文到此講解完畢了，希望對大家有幫助。