大家好，我是小豆豆，我来为大家解答以上问题。冰刃 英文，冰刃怎么用啊都是英文很多人还不知道，现在让我们一起来看看吧！

1、冰刃（IceSword）的使用方法（高级篇） 第一部分：冰刃杀毒流程。

2、 在基础篇里面，我向大家介绍了有关所有冰刃的基础使用方法，那么怎么用冰刃来杀毒呢？这个写一下大概的流程。

3、 第一步：禁止运行进程。

4、打开所有需要的软件和文件夹后，可以通过菜单里面禁止进线程建立，具体方法看基础篇，里面有详细介绍。

5、 第二步：结束病毒进程。

6、结束所有与病毒有关的进程，还要结束某些与系统进程无关的进程，可能包括一些额外的应用程序，包括桌面文件等等。

7、这个为了保持病毒不会因为某些进程而重新被调用。

8、 第三步：处理启动项目，处理服务、注册表等启动项目，分别在冰刃查看——服务、注册表、文件中处理。

9、具体方法可以看基础篇。

10、 第四步：删除病毒文件。

11、删除所有可能的病毒进程，当然如果要备份，可以利用冰刃的复制功能，把病毒副本复制出来。

12、如果复制病毒样本，需要一些技术，因为很多病毒如果处理不当，在重新启动后还会恢复回来。

13、 第五步：重新启动计算机，你可以利用冰刃的重启并监视这个功能，我会下面的部分介绍。

14、也可以利用计算机系统的重新启动功能，但是要把禁止进程建立的对勾去掉，并且在运行冰刃的前提下重新启动。

15、这一步的目的为了防止某些潜入式DLL潜入到系统进程中作乱，而且无法删除。

16、比如潜入到Winlogon中的DLL用基础篇里面的方法可能会出现蓝屏。

17、 第六步：做进一步检查，检查文件删除情况，注册表删除情况。

18、 第七步：检查应用程序。

19、很多病毒会修改应用程序，达到保护自己的目的，比如：盗取QQ的软件，会修改QQ.exe，当运行QQ软件的时候病毒会重新被加载，所以要通过冰刃的线程监控，还有文件进行进一步的监控。

20、 第八步：处理可疑文件。

21、在以上所有步骤过程中，一般都会出现一些不认识的或者不知道的程序，对这些程序我们做的就是最后处理，重点在于分析这些程序到底有无用处。

22、到底是什么软件释放的，或者病毒释放的。

23、这个一般要高手才能进行。

24、 最后一步：特别处理，重点处理病毒修改的系统设置，比如隐藏文件的设置、HOST文件的修改、主页等IE项目的修改、文件关联的修改等等。

25、这些修改一般都要等杀毒结束后进行。

26、 这个杀毒过程只是最基本的，和我自己给人解决问题时候套用的一个格式有一些关系。

27、看过这个以后，对于我的删除方法会有一定了解 第二部分：删除顽固病毒文件 这一部分在基础篇中提到，但是当时我没有测试，小聪给我的结果让我很惊讶，怎么会不能成功，我就想了想做进一步的实验。

28、此实验在虚拟机下进行，如果没有虚拟机请不要模仿。

29、 因为我没有释放顽固病毒的样本，只能运用计算机系统中最基础的文件，考虑到非常难删除的病毒文件都是SYS文件，我选择了C:\WINDOWS\system32\drivers\acpi.sys文件进行进一步测试，这个文件是系统基础文件，不要轻易删除（如图一所示）。

30、 此文件很像某些病毒，删除它还会重新生成一个新的文件，我们就用它来进行新的测试。

31、第一次测试是在正常模式下，在c:\建立一个名称为acpi.sys的文件，并设置了只读、系统、隐藏三个属性，用冰刃强制删除此文件，再以最快速度考入，观察，确实可以达到2分钟的目的，也就是说2分钟后系统会自动把此文件修改会上面的样子，并且大小相同。

32、第二次测试是根据基础篇叙述禁止了进线程创建（方法详见基础篇最后部分的一）的模式下进行，利用冰刃可以删除文件，并且保证在此模式的前提条件下并不被删除，也不会被覆盖，但是当模式改变，就会被快速替换。

33、猜想，测试到此发现，顽固病毒文件冰刃删除不了，但是它真的无能为力，我觉得不会，禁止进线程建立只是禁止了全部的进线程建立，那么我们可不可以用冰刃禁止一部分呢？等待我们的是进一步测试，如果成功，那么冰刃也可以删除顽固文件了。

34、 第三部分 冰刃的运行原理 在这一部分，我主要讲的是为什么冰刃可以检查隐藏进程、可以那么强大。

35、我们现在知道，有很多免费软件都可以进行进程、端口、注册表的检查，但是为什么冰刃的功能会比其他软件好呢？下面就看看以下回答吧。

36、 第一，绝大多数所谓的进程工具都是利用Windows的Toolhlp32或者psapi再或者ZwQuerySystemInformation系统调用来编写的，随便一个ApiHook就可以轻松的干掉它们了，更不用说那些内核级别的后门了。

37、此外还有极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，这不仅因不同版本的系统而各异，而且打个补丁也可能需要升级程序，并且现在还有人提出过防止此种查找的方法。

38、而IceSword的进程查找核心态方案是目前比较特殊的，并且充分考虑到内核后面可能的隐藏手段，可以查到目前大部分隐藏进程。

39、 第二，绝大多数工具查找进程路径名也通过Toolhlp32和psapi，前者会调用RtlDebug函数向目标注入远线程，后者会调用api读取目标进程内存，其本质上都是对PEB的枚举，因此，通过修改PEB就可以轻易让这些工具失灵。

40、而IceSword的核心态方案采用全路径展示，运行时剪切到的其他路径也会显示出来。

41、 第三，进程dll模块与前一种情况一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错，如果系统不支持，这时候会采用枚举PEB。

42、 第四，IceSword的进程杀除功能强大且方便，可轻易将选中的多个进程一并杀除，其中包括系统进程（除idle进程、System进程、csrss进程），此时系统可能会出现蓝屏、重启等状况。

43、 注：以上内容参考《计算机病毒分析与防范大全》278页 根据以上叙述，我们可以看出，一般病毒不会轻易结束掉冰刃的进程，但是某些病毒为了保护自己，根据进程名称结束了冰刃，这时只要修改冰刃主程序（IceSword.exe）的名称就可以了。

44、 原帖地址：http://bbs.kafan.cn/viewthread.php?tid=80334&extra=page=24。

本文到此讲解完毕了，希望对大家有帮助。