下载后可任意编辑冰刃实为很好的安全工具,而且只要开始动手使用几次,还是挺方便的,假如总觉得难而不亲自动手试上几次,那恐怕永远是人云亦云:新手慎用..........。 使用流程概括:设置 IS-->结束可疑进程-->恢复 SSDT-->删除文件-->删除病毒创建的“系统服务”-->其它清理 注意事项:如何退出 IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword.exe /c,此时需要 Ctrl+Alt+D 才能关闭(使用三键前先按一下任意键)。 假如最小化到托盘时托盘图标又消逝了:此时可以使用 Ctrl+Alt+S 将 IceSword 主界面唤出。 假如无法在正常模式下运行,那么请进入安全模式查杀。使用前请先断网! (一)设置 IceSword 运行 IceSword.exe。假如无法运行,如中了 av 终结者类,请先试着将文件名改个名字。如:188965.com 点击左上角的“文件”,再选择“设置”,勾选最下面的三项,点“确定”。注意:这样设置后是无法再打开任何新的程序的。假如要配合 SREng 等软件扫描出的日志,请先打开文件再设置。 下载后可任意编辑二)结束可疑进程 红色项应全部结束(当然主程序 IceSword.exe 除外),是非正常的隐藏进程。系统默认是没有的。假如你确定哪些是正常的可以不管,比如你自己装的某个玩意或工具,但也要确认下此时是否你在主动的运行它。 顺便结束这些进程:Explorer.exe、iexplore.exe、rundll32.exe 下载后可任意编辑(三)恢复 SSDT (SSDT-内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的下载后可任意编辑rootkit,其通过这种 hook 实现注册表、文件的隐藏。被修改的值以红色显示,有些安全程序也会修改,比如你使用的一些安全工具软件,所以不要见 到红色就紧张,看清是啥程序,是否你安装的,不认识的话可 google 下。) 记下这里显示的文件位置以及文件名。具体看图 四)清理文件 上面是查找,下面开始清理,上图中不一定人人都挂红色。 首先应清理 SSDT 中显示的文件,还有第一步中红色进程的文件。 为完全清理文件,可以右键文件夹,选“搜索文件”查找前面找到的文件。具体方法同注册表搜索 有时强制删除文件会失败,请先使用“删除”。 下载后可任意编辑下载后可任意编辑若你的分区格式是 NTFS,在清理时请使用管理员权限账户登陆,并右键目录,选择“枚举ADS(不包含子目录)”(全部的话时间较长)。这样可以揪出利用 NTFS 交换数...
