瑞星卡卡安全论坛

我正在写冰刃（IceSword）的使用方法，很多人都在问我什么时候出来，我正在写，配合我的置顶贴子，下个星期写完后，发布到卡卡上面。
我已经把一部分更新发布在我的blog里面
请到我的blog里面察看，今天写一部分，明天写完，收集意见

请斑竹，高手（阳光、兔子、鸟儿等）帮我把把关，谢谢你们了。辛苦

更新位置：http://blog.sina.com.cn/ufovirus
具体位置：http://blog.sina.com.cn/myblog/article/article_reader.php?blog_id=56b232db010007xt

已完成

我就等着学习咯

蛮有用的～～顶下

自己顶一下，还在更新，晚上继续写，先去吃饭 哈哈哈哈哈哈

为什么没有人顶，我写得不好，直接说

ding

热心人 啊!感谢之情,无以言表.

想来想去,楼主的贴我还得顶!现在这样的热心人太少了.至少比很多所谓的专家要强的多啦

引用:

【UFO不幸外人的贴子】为什么没有人顶，我写得不好，直接说 ………………

您写的东西，这里的几位版主以前都写过，有的还有图形教程。精华帖里（“本版精华”里或者“搜索”版主们的名字）都有。辛苦了，您，佩服！

楼主热心助人，版主们大概谦虚，也不便多说。

该用户帖子内容已被屏蔽

其实我已经会了。

我也帮你顶一下吧。

引用:

【两个铁球的贴子】 您写的东西，这里的几位版主以前都写过，有的还有图形教程。精华帖里（“本版精华”里或者“搜索”版主们的名字）都有。辛苦了，您，佩服！ 楼主热心助人，版主们大概谦虚，也不便多说。 ………………

关于你说的问题，确实有，我也仔细看了一下，如下帖子是写了冰刃的
http://forum.ikaka.com/topic.asp?board=28&artid=7259392帖子，写得只是最基本的操作，没有写一些复杂的，我会写得更具体
http://forum.ikaka.com/topic.asp?board=28&artid=7168178帖子，斑竹写得，适合新手阅览，我写得也就是对它的一个补充吧，想全面了解一下冰刃的可以看我的帖子了
在精华区里我没有看到其他的

谢谢你的提醒，我是按照我学习的，和简单用法结合，使用方法应该比较具体。希望提出新的使用方法来

顶一下
谢谢baohe的提醒，我会努力写好这一部分的

自己顶，已经完成

自己顶，已经完成

BHO视图没有提
在“服务”视图中对“自动”这个启动类型的提法是否有错（系统加载时启动此服务）
那个通过复制文件来删除顽固病毒文件的方法，我试过，不太好用，基本上强制删除删不掉的文件，用这种方法也应该删不了。
运行IceSword需要管理员权限。但是只在开机第一次运行IceSword时检测是否当前用户有管理员权限。所以，如果一台机有多个人使用，管理员使用过IceSword之后要交给低权限用户使用计算机时，最好先重启，如果只是注销的话，可能出现低权限用户可以启动IceSword的情况。
IceSword对注册表拥有全部权限，所以一些系统原本不允许用户直接访问的注册表位置如SAM项目，IceSword也可以访问到，甚至可以删改这些关键项目而导致系统崩溃。这也是要慎用IceSword的原因之一，因为它的权限实在太高了。
卸除进程中的dll时，有可能导致此进程崩溃。当被插入的进程是winlogon.exe等系统核心进程时，卸除dll可能导致系统崩溃重启，在这种情况下要慎用。
禁止进线程创建之后，杀毒结束之后记得再取消这个钩，否则连正常关机都不行了。

以上是对基础篇一些内容的补充建议。其实这些使用方法的内容，已在IceSword自带的帮助文件里说得很多，建议大家拿到一个工具后，先看看作者写的帮助文件，这样可以避免走很多弯路。

高级篇可以写一下其他视图，如通过查看SSDT（系统服务分派表）中的红色内容，来发现以驱动方式加载的，进行系统核心API挂钩的rootkit

BHO视图没有提
在“服务”视图中对“自动”这个启动类型的提法是否有错（系统加载时启动此服务）
那个通过复制文件来删除顽固病毒文件的方法，我试过，不太好用，基本上强制删除删不掉的文件，用这种方法也应该删不了。
运行IceSword需要管理员权限。但是只在开机第一次运行IceSword时检测是否当前用户有管理员权限。所以，如果一台机有多个人使用，管理员使用过IceSword之后要交给低权限用户使用计算机时，最好先重启，如果只是注销的话，可能出现低权限用户可以启动IceSword的情况。
IceSword对注册表拥有全部权限，所以一些系统原本不允许用户直接访问的注册表位置如SAM项目，IceSword也可以访问到，甚至可以删改这些关键项目而导致系统崩溃。这也是要慎用IceSword的原因之一，因为它的权限实在太高了。
卸除进程中的dll时，有可能导致此进程崩溃。当被插入的进程是winlogon.exe等系统核心进程时，卸除dll可能导致系统崩溃重启，在这种情况下要慎用。
禁止进线程创建之后，杀毒结束之后记得再取消这个钩，否则连正常关机都不行了。

以上是对基础篇一些内容的补充建议。其实这些使用方法的内容，已在IceSword自带的帮助文件里说得很多，建议大家拿到一个工具后，先看看作者写的帮助文件，这样可以避免走很多弯路。

高级篇可以写一下其他视图，如通过查看SSDT（系统服务分派表）中的红色内容，来发现以驱动方式加载的，进行系统核心API挂钩的rootkit

帮顶 过去学习下

写的不错 继续努力哦
提几个建议
终止插入的dll 文件一栏 应该注意标明 如果是插入winlogon等系统关键进程的 不建议用此方法强行卸载
还有 禁止进线程创建一项 应该写明 此法对付进程守护型病毒十分有效 也就是说如果病毒有几个进程 或者有dll保护进程(Worm.pabug)则可以用此方法 可以阻止创建新的进程或者阻止新的dll插入其他进程
还有SSDT一项没有说明 那个主要用于检测某些hook API函数的rootkit 里面的红色项目应该予以注意 但是某些杀毒软件也会呈现红色 如卡巴的klif.sys 江民的ksysmon.sys 瑞星的hookbase.sys

感谢小聪和阳光提出的建议。我会在下个星期我回家来后修改基础篇文章并写高级篇，并且把基础篇转载过来

可以放心用了，谢谢

顶一下

为什么没有人顶贴。。。。。。。。。。。

谢谢版主和几位高手的补充。SSDT项正是搞不太明白的；而且，记得好像SSM会造成这里满盘皆红色。