辅助杀毒工具不完全手册（一）——冰刃

SONGBOWEN

本文出自点饭论坛（http://www.mpfans.org/），转载请注明出处！

前言：

现在的病毒越来越难缠，会导致很多的杀毒软件失效，在我们遇到这种情况的时候，该如何解决呢？

当然要自己动手啦！

自己动手，没有工具怎么行？

在这里，我来给大家介绍几款不错的手工查毒、杀毒的工具！

一、首当其冲的，自然史国产大牌之一的冰刃啦！

冰刃有很多版本，常用的有1.20和1.22，又有中文版和英文版的区别，1.20比较老了，该被淘汰了，所以来介绍一下1.22吧！

注：我这里以1.22英文版为例，1.22中文版与英文版的布局完全相同，操作可以参照1.22英文版！

先来看一下主界面的截图



冰刃1.22的标题栏和左下角的一个文本框中的内容全部是随机生成的，防止病毒利用这些特征而找到冰刃的窗口！

小知识：冰刃1.20的标题栏也是随机字符，但是左下角的文本框中，显示的是作者的名字pjf，导致很多病毒利用此特征干掉冰刃，所以，升级为1.22后，该文本框中的字符也变为随机的了！

来看一下冰刃的主要功能，很明显，冰刃的作者将其分为3大部分——“Functions”、“Registry”和“File”。

1.Functions
我们从上到下来看，第一个来了解Functions！

Functions中，分为Process、Port、Kernel Module、Startup、Win32 Services、SPI、BHO、SSDT等，我们来逐个介绍一下常用的功能！

(1)Process
第一个，也是最重要的一个！“Process”顾名思义，就是“进程”，用来管理正在运行的进程（及其线程、模块）。



如果在这里，遇到了红色显示的进程，就要格外注意了，因为，冰刃会自动将隐藏的进程标注为红伞，这些进程在任务管理器（taskmgr）中是看不到的！

右击一个进程，可以看到这个菜单：



从上到下，依次是Refresh、Terminate Process、Thread Information、Module Information、Read/Write Memory和Find Modules，

①Refreah（刷新），刷新当前显示的进程列表

②Terminate Process（结束进程），结束选中的进程（可以按住Ctrl或Shift键，一次性选择多个进程）

③Thread Information（线程信息），查看选中进程的线程列表，并且可以终止线程

④Module Information（模块信息），查看选中进程的模块列表，并且可以卸载模块

⑤Read/Write Memory（读写内存），直接操作选中进程的内存，本文不涉及

⑥Find Modules（查找模块），在所有的进程中，搜索指定的模块（不限于选中的进程），模块名称需要单独输入

(2)Port
Port，就是端口，查看本机打开的所有端口，主要用于查找远程控制类木马。



一共6列，分别是协议、本地地址（及端口）、远程地址（及端口）、状态、打开这个端口的进程的PID和对应文件的完整路径。

右键菜单中只有刷新一项，如果想断开一个连接，可以杀死对应的进程。

(3)Kernel Module
Kernel Module（内核模块），已经加载到内存中的驱动全部显示在这里，右键菜单中，也只有刷新一项，如果需要干掉某个内核模块的话，只好删掉对应他的驱动，然后重启系统。。。。

(4)Startup
显示系统中的启动项，右击也只有刷新一项，需要去掉某个的话，你需要在文件或注册表中自行操作删除，功能有限，不再详细介绍。



(5)Win32 Services
显示系统中已安装的服务，可以停止和禁用可疑的服务。

(6)SPI
本文不涉及

(7)BHO
BHO是Browser Helper Object（浏览器辅助对象）的缩写，现在的某些木马、病毒，利用此方法隐藏自身，很难发现，可以用冰刃查找并删除（在右键菜单中，有Delete）。

(8)SSDT
SSDT是System Service Descriptor Table（系统服务描述符表）的缩写，有些病毒、木马利用HOOK技术，达到隐藏自身文件和注册表项的目的，可以在这里将其Hook的项目Restore，使其失效！

注意：很多杀毒软件也会Hook SSDT表，达到保护自身的目的，Restore时，需要注意不要伤及无辜！！！

(9)Message Hooks
Message Hooks（消息钩子），很多盗号木马会在这里留下痕迹，可以从这里找到他的文件所在位置。

(10)Log Process/Thread Creation
进程、线程创建记录，可以保存冰刃启动以来，由哪些进程，启动了哪些程序，新建了哪些线程等操作，对付双进程互相监控型的病毒尤为有效。

(11)Log Process Termination
进程终止记录，有些病毒会尝试结束安全软件的进程，在这里会暴露无遗。

(12)Advanced Scan
高级扫描，没什么用途，本文不再介绍。

2.Registry
看名字就知道了，这个是一个注册表编辑器，可以添加、修改和删除注册表项和子健。



来看一下使用方法，和系统自带的regedit差不多，很快就能上手，左边显示的是根键及其子键，右边显示的是键值项、它的类型以及它的数据。

右击任意一个子项，弹出的菜单中，有刷新、新建、删除、查找和查找下一个几个菜单，

而新建的子菜单中，有项、字符串值、二进制值和双字节值几个，了解注册表的人大概都知道是做什么的了吧！



而右击一个键值项，弹出的菜单中，则有编辑和删除两个可选的东东，不在细说了！



额外说一句，冰刃的注册表编辑器，拥有SYSTEM权限，如图！



3.File
这个东西和系统的资源管理器差不多，也很容易上手！



我们注意到，冰刃不受desktop.ini文件的影响，可以打开回收站文件夹！

另外，冰刃的文件管理还有两个实用的功能——Force Delete（强制删除）和Enum ADS（枚举数据流(仅限于NTFS分区有效)）

强制删除的威力巨大，几乎所有的文件都可以删除（包括系统的核心文件Winlogon等，不过会出现死机、黑/蓝屏、重启、无法进系统等一系列问题。。。）

而枚举数据流可以对付一些利用数据流隐藏自身的病毒！

右击文件，还有一个“复制到...”功能，可以强制覆盖目标文件，用来粉碎一些驱动级别的病毒十分有效！

好了，冰刃就到介绍这里了，后续我会继续介绍SREng、Autoruns、RKU、狙剑等工具的使用方法的！

附上手工杀毒工具包，内含冰刃（中、英文）、SREng（中、英文）、Autotuns（中文）、狙剑（中文）等工具，非常实用！

下载地址一：http://www.leilei365.com/%76%69%72%75%73/Anti%2DVirus%20Tools.rar
下载地址二：http://microalex.song.googlepages.com/Anti-VirusTools.rar

[ 本帖最后由 SONGBOWEN 于 2008-1-14 17:44 编辑 ]

hlhlhl1986

支持楼主~~~

伊の星

小宋，图图~~~~

SONGBOWEN

图出来了

刚才没弄好。。。。。。

足不出户

没用过我下了,学习学习

fang4501

看看,除了冰刃,别的没用过,正好试试.
感谢老大

vzone

楼主，我下载你提供的Anti-VirusTools，其他都可以运行，就是IS提示错误...

caomusag

收藏先，冰刃的拥趸

sxw9527

这种东西都是高手用的~~~