目前一些流氓軟件采取的手段無(wú)所不用其極：線程注入，進(jìn)程隱藏，文件隱藏，驅(qū)動(dòng)保護(hù)，普通用戶想把文件給刪了或者找出進(jìn)程來(lái)，是非常困難的。有的是看到了，刪不掉，殺不掉，干著急，實(shí)在不行，還需要從另外的作系統(tǒng)去刪除文件。比如采取驅(qū)動(dòng)保護(hù)的流氓軟件如CNNIC，雅虎助手之類，.sys驅(qū)動(dòng)加載的時(shí)候，它過(guò)濾了文件和注冊(cè)表作，直接返回一個(gè)true,Windows提示文件刪了，但一看，它還在那里。象一些文件刪除工具如unclocker都無(wú)效。IceSword是目前所知唯一可以直接刪除這類已經(jīng)加載的驅(qū)動(dòng)和采取注冊(cè)表保護(hù)的工具。象清除CNNIC這類流氓軟件，不需要重啟也可以完成了。
　　
　　
　　 查看進(jìn)程 
　　 包括運(yùn)行進(jìn)程的文件地址、各種隱藏的進(jìn)程以及優(yōu)先級(jí)。用它也可以輕易殺掉用任務(wù)管理器、Procexp等工具殺不掉的進(jìn)程。還可以查看進(jìn)程的線程、模塊信息，結(jié)束線程等。

線程創(chuàng)建和線程終止監(jiān)視 
　　
　　　　“監(jiān)視進(jìn)線程創(chuàng)建”將IceSword運(yùn)行期間的進(jìn)線程創(chuàng)建調(diào)用記錄在循環(huán)緩沖里，“監(jiān)視進(jìn)程終止”記錄一個(gè)進(jìn)程被其它進(jìn)程Terminate的情況。舉例說(shuō)明作用：一個(gè)木馬或病毒進(jìn)程運(yùn)行起來(lái)時(shí)查看有沒(méi)有殺毒程序如norton的進(jìn)程，有則殺之，若IceSword正在運(yùn)行，這個(gè)作就被記錄下來(lái)，你可以查到是哪個(gè)進(jìn)程做的事，因而可以發(fā)現(xiàn)木馬或病毒進(jìn)程并結(jié)束之。再如：一個(gè)木馬或病毒采用多線程保護(hù)技術(shù)，你發(fā)現(xiàn)一個(gè)異常進(jìn)程后結(jié)束了，一會(huì)兒它又起來(lái)了，你可用IceSword發(fā)現(xiàn)是什么線程又創(chuàng)建了這個(gè)進(jìn)程，把它們一并殺除。中途可能會(huì)用到“設(shè)置”菜單項(xiàng)：在設(shè)置對(duì)話框中選中“禁止進(jìn)線程創(chuàng)建”，此時(shí)系統(tǒng)不能創(chuàng)建進(jìn)程或者線程，你安穩(wěn)的殺除可疑進(jìn)線程后，再取消禁止就可以了。 



文件操作 
　

最新評(píng)論