下载后可任意编辑冰刃实为很好的安全工具,而且只要开始动手使用几次,还是挺方便的,假如总觉得难而不亲自动手试上几次,那恐怕永远是人云亦云:新手慎用
使用流程概括:设置 IS-->结束可疑进程-->恢复 SSDT-->删除文件-->删除病毒创建的“系统服务”-->其它清理 注意事项:如何退出 IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword
exe /c,此时需要 Ctrl+Alt+D 才能关闭(使用三键前先按一下任意键)
假如最小化到托盘时托盘图标又消逝了:此时可以使用 Ctrl+Alt+S 将 IceSword 主界面唤出
假如无法在正常模式下运行,那么请进入安全模式查杀
使用前请先断网
(一)设置 IceSword 运行 IceSword
假如无法运行,如中了 av 终结者类,请先试着将文件名改个名字
如:188965
com 点击左上角的“文件”,再选择“设置”,勾选最下面的三项,点“确定”
注意:这样设置后是无法再打开任何新的程序的
假如要配合 SREng 等软件扫描出的日志,请先打开文件再设置
下载后可任意编辑二)结束可疑进程 红色项应全部结束(当然主程序 IceSword
exe 除外),是非正常的隐藏进程
系统默认是没有的
假如你确定哪些是正常的可以不管,比如你自己装的某个玩意或工具,但也要确认下此时是否你在主动的运行它
顺便结束这些进程:Explorer
exe、iexplore
exe、rundll32
exe 下载后可任意编辑(三)恢复 SSDT (SSDT-内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的下载后可任意编辑rootkit,其通过这种 hook 实现注册表、文件的隐藏
被修改的值以红色显示,有些安全程序也会修改,比如你使用的一些安全工具
