冰刃（IceSword）的使用方法（转）.doc

冰刃（IceSword）的使用方法（转）
第一部分：冰刃杀毒流程
在基础篇里面，我向大家介绍了有关所有冰刃的基础使用方法，那么怎么用冰刃来杀毒呢？这个写一下大概的流程。
第一步：禁止运行进程。打开所有需要的软件和文件夹后，可以通过菜单里面禁止进线程建立，具体方法看基础篇，里面有详细介绍。
第二步：结束病毒进程。结束所有与病毒有关的进程，还要结束某些与系统进程无关的进程，可能包括一些额外的应用程序，包括桌面文件等等。这个为了保持病毒不会因为某些进程而重新被调用。
第三步：处理启动项目，处理服务、注册表等启动项目，分别在冰刃查看——服务、注册表、文件中处理。具体方法可以看基础篇。
第四步：删除病毒文件。删除所有可能的病毒进程，当然如果要备份，可以利用冰刃的复制功能，把病毒副本复制出来。如果复制病毒样本，需要一些技术，因为很多病毒如果处理不当，在重新启动后还会恢复回来。
第五步：重新启动计算机，你可以利用冰刃的重启并监视这个功能，我会下面的部分介绍。也可以利用计算机系统的重新启动功能，但是要把禁止进程建立的对勾去掉，并且在运行冰刃的前提下重新启动。这一步的目的为了防止某些潜入式DLL潜入到系统进程中作乱，而且无法删除。比如潜入到Winlogon中的DLL用基础篇里面的方法可能会出现蓝屏。
第六步：做进一步检查，检查文件删除情况，注册表删除情况。
第七步：检查应用程序。很多病毒会修改应用程序，达到保护自己的目的，比如：盗取QQ的软件，，当运行QQ软件的时候病毒会重新被加载，所以要通过冰刃的线程监控，还有文件进行进一步的监控。
第八步：处理可疑文件。在以上所有步骤过程中，一般都会出现一些不认识的或者不知道的程序，对这些程序我们做的就是最后处理，重点在于分析这些程序到底有无用处。到底是什么软件释放的，或者病毒释放的。这个一般要高手才能进行。
最后一步：特别处理，重点处理病毒修改的系统设置，比如隐藏文件的设置、HOST文件的修改、主页等IE项目的修改、文件关联的修改等等。这些修改一般都要等杀毒结束后进行。

这个杀毒过程只是最基本的，和我自己给人解决问题时候套用的一个格式有一些关系。看过这个以后，对于我的删除方法会有一定了解

第二部分：删除顽固病毒文件
这一部分在基础篇中提到，但是当时我没有测试，小聪给我的结果让我很惊讶，怎么会不能成功，我就想了想做进一步的实验。此实验在虚拟机下进行，如果没有虚拟机请不要模仿。
因为我没有释放顽固病毒的样本，只能运用计算机系统中最基础的文件，考虑到非常难删除的病毒文件都是SYS文件，我选择了C:\WINDOWS\system32\drivers\，这个文件是系统基础文件，不要轻易删除（如图一所示）。
图一
此文件很像某些病毒，删除它还会重新生成一个新的文件，我们就用它来进行新的测试。第一次测试是在正常模式下，在c:\，并设置了只读、系统、隐藏三个属性，用冰刃强制删除此文件，再以最快速度考入，观察，确实可以达到2分钟的目的，也就是说2分钟后系统会自动把此文件修改会上面的样子，并且大小相同。第二次测试是根据基础篇叙述禁止了进线程创建（方法详见基础篇最后部分的一）的模式下进行，利用冰