目前一些流氓軟件采取的手段無所不用其極：線程注入，進程隱藏，文件隱藏，驅(qū)動保護，普通用戶想把文件給刪了或者找出進程來，是非常困難的。有的是看到了，刪不掉，殺不掉，干著急，實在不行，還需要從另外的作系統(tǒng)去刪除文件。比如采取驅(qū)動保護的流氓軟件如CNNIC，雅虎助手之類，.sys驅(qū)動加載的時候，它過濾了文件和注冊表作，直接返回一個true,Windows提示文件刪了，但一看，它還在那里。象一些文件刪除工具如unclocker都無效。IceSword是目前所知唯一可以直接刪除這類已經(jīng)加載的驅(qū)動和采取注冊表保護的工具。象清除CNNIC這類流氓軟件，不需要重啟也可以完成了。
　　
　　
　　 查看進程 
　　 包括運行進程的文件地址、各種隱藏的進程以及優(yōu)先級。用它也可以輕易殺掉用任務(wù)管理器、Procexp等工具殺不掉的進程。還可以查看進程的線程、模塊信息，結(jié)束線程等。

線程創(chuàng)建和線程終止監(jiān)視 
　　
　　　　“監(jiān)視進線程創(chuàng)建”將IceSword運行期間的進線程創(chuàng)建調(diào)用記錄在循環(huán)緩沖里，“監(jiān)視進程終止”記錄一個進程被其它進程Terminate的情況。舉例說明作用：一個木馬或病毒進程運行起來時查看有沒有殺毒程序如norton的進程，有則殺之，若IceSword正在運行，這個作就被記錄下來，你可以查到是哪個進程做的事，因而可以發(fā)現(xiàn)木馬或病毒進程并結(jié)束之。再如：一個木馬或病毒采用多線程保護技術(shù)，你發(fā)現(xiàn)一個異常進程后結(jié)束了，一會兒它又起來了，你可用IceSword發(fā)現(xiàn)是什么線程又創(chuàng)建了這個進程，把它們一并殺除。中途可能會用到“設(shè)置”菜單項：在設(shè)置對話框中選中“禁止進線程創(chuàng)建”，此時系統(tǒng)不能創(chuàng)建進程或者線程，你安穩(wěn)的殺除可疑進線程后，再取消禁止就可以了。 



文件操作 
　

最新評論