国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

冰刃的使用

---

一、查看隱藏的木馬進程

運行IceSword后，點擊左邊“查看”欄中的“進程”項，在右邊的進程列表中就可以查看到當前系統(tǒng)中所有可見和隱藏的進程了。隱藏的進程會以紅色醒目地標記出來，以方便查找系統(tǒng)級后門。


小提示：如果在進程列表中沒有紅色的隱藏進程項，說明你還沒有打開相關(guān)的設(shè)置。點擊菜單“文件”→“設(shè)置”，去掉對話框中的“不顯示狀態(tài)為Deleting的進程”選項即可（如圖2）。在進程列表中可以查看到每個進程文件的路徑，這可以方便我們查看到一些使用了與系統(tǒng)服務相同文件名的木馬后門。例如在按進程名排列進程時，我們發(fā)現(xiàn)了其中有一個進程名為“Svchost.exe”，其路徑異常地存放在了“C:\Windows”目錄下（如圖3）。通過查看發(fā)現(xiàn)原來這是一個經(jīng)過偽裝的木馬后門！如果我們使用Windows的進程管理器，將無法得知此進程的存放路徑，還誤以為它是正常的系統(tǒng)進程呢。

二、強大的進程終止功能

發(fā)現(xiàn)了木馬進程后，可以輕松地將其結(jié)束。有許多進程注冊為系統(tǒng)服務或感染了svchost.exe、lsass.exe等文件，致使無法正常中止該進程或?qū)⑽募h除。然而使用IceSword后，除idle、System、csrss這三個進程外，可以結(jié)束任何正在運行的進程。在進程列表中單選或按住Ctrl鍵選擇多個進程，點擊右鍵菜單中的“結(jié)束進程”，即可殺掉無法結(jié)束的頑固進程了（如圖4）。
三、增強型的注冊表編輯器

點擊IceSword左邊的“注冊表”項，可以方便地對注冊表進行查看、編輯或刪除等操作（如圖5）。與Windows的Regedit相比，IceSword中的“注冊表”項可以查找被木馬后門隱藏的任意注冊項，不受任何注冊表隱藏的蒙蔽。一些木馬后門，有可能修改自己在注冊表中的名稱長度，從而不會在Regedit中顯示；還有一些木馬建立含有特殊字符的子鍵，用Regedit根本打不開。用IceSword就可輕松地解決這些問題。
四、替換正在運行的程序文件

點擊IceSword左邊的“文件”項，打開一個類似資源管理的窗口（如圖6），可別小看它的功能，因為它具備反隱藏、反保護的功能。一些木馬文件采用了隱藏或加密的手段，在IceSword面前也是無能為力的。其中最有用的功能，就是可以幫助我們替換正在運行中的木馬文件。

例如剛才我們想刪除剛才發(fā)現(xiàn)的木馬文件“Svchost.exe”，可是該文件在安全模式下也是啟動系統(tǒng)后即自動運行，唯一的辦法就是進入DOS環(huán)境中才能刪除該文件。IceSword中可就簡單了，在“文件”項目中找到該文件，點擊右鍵并選擇“刪除”命令即可。

還可以利用IceSword為系統(tǒng)“免疫”，在“文件”項中隨便用右鍵點擊某個正常文件，選擇“復制”命令，然后要求輸入目標文件路徑，這里瀏覽選擇正在使用中的木馬文件（如圖7）。確定后，前面復制的正常文件的內(nèi)容就寫入后面的木馬文件中了。有一些木馬或蠕蟲病毒在感染系統(tǒng)時，如果檢查到系統(tǒng)中已存在自身的文件時就不會進行再次感染，卻沒想到這些文件早已成了一個死尸軀殼。
五、木馬查殺的綜合實例

此外，在IceSword中的“查看”項中還有其它強大的木馬檢測功能，例如在“啟動組”中可以查看到隱藏的自啟動程序；“服務”項項可查看系統(tǒng)服務，還可查看“內(nèi)核模塊”、“SPI”與“BHO”、“SSDT”等內(nèi)核級后門修改調(diào)用的服務（這可是高手專利，呵?。?。來看看筆者為大家展示一個檢查Svchost木馬的實例：

1.檢測Svchost木馬

如果在“進程”項中發(fā)現(xiàn)svchost過多，記住它的“進程ID”值，到“服務”欄中可通過“服務進程ID”值找到對應的服務項，然后可找到該項服務名稱為“RpcSs的服務”（如圖8）。再打開“注冊表”欄找到“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services”下的同名鍵，再查看它對應的dll文件路徑（如圖9），很容易就可發(fā)現(xiàn)木馬的異常項，后面的工作就是停止該進程、刪除文件、恢復注冊表之類的了，當然這需要我們對服務比較熟悉。

2.殺掉多線程保護的木馬

在結(jié)束這個Svchost木馬時，發(fā)現(xiàn)此木馬采用了多線程保護技術(shù)，將其結(jié)束后一會兒又自動運行了。這時可在“查看”欄中點擊“監(jiān)視進程創(chuàng)建”項，查看到是什么線程又創(chuàng)建了這個進程（如圖10），然后將它們一起中止掉。在關(guān)閉線程的過程中，為突破多線程保護，可以打開“設(shè)置”并選中“禁止進線程創(chuàng)建”，此時系統(tǒng)不能創(chuàng)建進程或者線程，我們就可以順利地殺掉多線程保護的木馬進程了。

有了這把“無情的冰劍”，相信什么樣的木馬都很難躲過它的劍風，我們的系統(tǒng)從此也會安全許多。

下載地址：http://www.xfocus.net/tools/200509/1085.html

提供的是英文版本，感覺中文版本不穩(wěn)定

本站僅提供存儲服務，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。