大家好，小良來為大家解答以上問題。冰刃軟件，IceSword的使用方法，詳細圖解很多人還不知道，現在讓我們一起來看看吧！

1、進入正題，我先通過以下圖片介紹一下冰刃。

2、說到一個軟件，就要先說一下它的運行環境，冰刃這個軟件，第一次運行必須在管理員帳戶下進行，當一臺計算機多個用戶，如果管理員用戶運行了冰刃，最好重新啟動后再交給低權限用戶使用計算機，否則低權限用戶就可以啟動冰刃這個軟件。

3、冰刃大菜單分為查看、注冊表、文件（圖一）查看里面又分為很多小部分，我這里只介紹常用的功能，包括進程（圖二）內核信息（圖三）啟動組（圖四）服務（圖五）注冊表（圖六）里面就是一個注冊表編輯器，方便使用，而且擁有管理員權限，可以查看、修改、刪除注冊表項目。

4、文件（圖七）是一個瀏覽計算機所有文件的地方，它可以看到任何隱藏的文件，對付無法刪除的文件，也可以使用強制刪除等特殊方法刪除，具體方法下面會有具體介紹。

5、上有一些使用方法，但是不具體，下面我就帶您一步一步地來用冰刃實現一些固定的操作。

6、我介紹的方法是從簡單到難，可能有些您還看不懂，不要緊，慢慢學習，共同進步。

7、首先，我們看進程這里可以做的事情一、顯示隱藏進程。

8、打開冰刃的進程選項后，里面紅色字顯示的就是隱藏的進程，這樣顯示可以方便查找隱藏的后門、木馬等二、結束進程點擊選中要結束的進程，按Ctrl鍵可以選擇多個項目，然后再點開右鍵菜單中的“結束進程”，就把選中的項目結束掉了。

9、三、終止插入的DLL文件現在很多木馬程序都插入桌面文件explorer.exe下面很多DLL文件，來執行木馬所需要的操作，那么對于這些插入的DLL文件怎么辦呢，用冰刃就可以解決好這個問題。

10、打開冰刃后，選中DLL所插入的進程，然后點右鍵菜單中的“模塊信息”，會看到所嵌入進程的所有DLL文件（圖八），找到病毒進程，點擊卸載即可結束掉這個DLL，如果病毒、木馬或者黑客程序比較厲害，可能無法卸載，那么強制卸載就起了作用，一般的DLL包括系統DLL都可以強制卸載掉，所以慎用這個功能。

11、其他功能進程里面還有某些其他功能，比如強制結束線程，包括右鍵菜單中還有線程信息、內存讀寫等，這些對我們的殺毒工作用處不大，所以不進行具體介紹了。

12、其次，我們看內核的使用方法內核程序是通過C:\windows\system32\ntkrnlpa.exe等程序啟動，基本上是C:\windows\system32\drivers\下的sys文件，當然也有少部分C:\windows\system32\目錄下的sys文件，僅有很少的幾個dll文件，我計算機有3個。

13、冰刃中的內核模塊只能察看簡單的內核信息，靠知識去分析正常和不正常的內核。

14、第三，我們看啟動組這里和內核程序一樣，只能查看，無法作任何處理。

15、這個啟動組里面只顯示幾個地方的啟動項目，非常不全面，我了解得是以下項目：注冊表中，僅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run兩個項目，文件夾包括C:\Documents and Settings\您所使用的用戶名稱\「開始」菜單\程序\啟動和C:\Documents and Settings\All Users\「開始」菜單\程序\啟動等我的下一個文章的更新后，就知道這個啟動組是多么的不全面了。

16、第四，我們看服務一、顯示隱藏服務服務中可以顯示隱藏服務，用紅色表示，和進程一樣二、修改服務的當前狀態（啟動、停止等）打開服務，選中要進行操作的服務，按Ctrl鍵可以選擇多個項目，在右鍵菜單里面選擇要作的操作，比如停止、啟動、暫停、恢復。

17、這里面要注意一個問題，就是系統的關鍵服務是不能停止的，否則系統會自動重新啟動計算機。

18、這個僅修改當前狀態，而重新啟動計算機后，如果服務的啟動類型是自動，還會啟動該服務。

19、三、修改服務的啟動類型（禁用、自動、手動）打開服務，選中要進行操作的服務，按Ctrl鍵可以選擇多個項目，在右鍵菜單里面選擇要作的操作，比如禁用、自動、手動。

20、這個修改的是啟動類型，所以修改后，不可能修改當前狀態。

21、第五，我們看注冊表冰刃對注冊表有非常高的權限，可以看到某些系統注冊表編輯器中不可見的項目，所以在進行操作的時候要有十足把握，不要因為錯刪、錯改某些系統關鍵項目，使計算機系統崩潰。

22、一、查找項按照圖六中“+”“-”符號的說明，點擊“+”可以快速在左邊查找到對應的項目，選中即可在右面查看該項下面的鍵值二、刪除項在左面選中要刪除的項，在右鍵菜單中選擇“刪除”，即可。

23、三、新建項通過查找項，找到要新建項的位置，然后在左面窗口右鍵菜單中的新建下選擇“項”，即可彈出新建項的對話框（圖九），輸入名稱，點確定即可。

24、修改鍵值通過查找項，找到要修改的鍵，雙擊此鍵，即可打開修改鍵值的對話框（圖十），輸入要修改的名字或者清空，點確定即可。

25、刪除鍵通過查找項，找到要刪除的鍵，按Ctrl鍵可以選擇多個項目，然后在右面窗口中的右鍵菜單中選擇“刪除所選”即可。

26、六、新建鍵通過查找項，找到要新建鍵的項，選中此項，在左面窗口中的右鍵菜單中的新建下選擇建立哪種類型的鍵，會彈出建立鍵的對話框，輸入鍵名稱和鍵值即可。

27、七、關于類型冰刃新建鍵值給了3種類型——字符串值、二進制值、雙字，這個在建立鍵的時候，按照需要選擇，下面我說的是如何看一個鍵值是什么類型，在冰刃右面顯示具體鍵的地方有類型，它顯示了此鍵是什么類型。

28、REG_SZ是字符串，BEG_BINARY是二進制，REG_DWORD是雙字（圖十一），除了這三項，還有其他類型，不經常使用，這里不列出了。

29、通過注冊表刪除啟動項查找列到固定的啟動項，在SRE中都顯示了每一個注冊表啟動項的具體位置，我也可能會寫一篇關于啟動項目的文章，那時候就可以查看了。

30、找到位置后，刪除不需要的鍵值即可。

31、九、通過注冊表清理服務和驅動項目在冰刃里面沒有給刪除服務和驅動項目的地方，對于服務，我們可以禁用，對于驅動，冰刃沒有給具體方法，我們可以通過刪除存放服務和驅動的注冊表值，來刪除服務和驅動。

32、存放服務的注冊表項是HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\里面每一個項都代表一個服務，這兩個項之間有一一對應關系，刪除時候請完全刪除服務或驅動所對應的項即可。

33、第六，我們看文件一、查找冰刃的文件夾按照圖七中“+”“-”符號的說明，點擊“+”可以快速在左邊查找到對應的文件夾，選中即可在右面查看該文件夾下面的文件了二、刪除文件夾在冰刃左面選擇“文件”，按照上面的方法，選擇要刪除的文件夾，在右鍵菜單中選擇“刪除”即可，但是這個文件夾還在冰刃中顯示，你只要把上一級文件夾的“-”收一下，再展看，就可以看到文件夾已經刪除。

34、如果刪除不了，請選擇右鍵菜單中的“強制刪除”。

35、三、刪除文件在冰刃左面選擇“文件”，按照上面的方法，選中要刪除的文件所在的文件夾，找到要刪除的文件。

36、找文件也有竅門，如果知道日期，你可以按照日期排列，然后再找對應文件，如果只知道文件名，按照文件名排列后，按所找文件的首字母，可以加快查找速度。

37、找到文件后，選中文件，然后在右鍵菜單中選擇“刪除”，如果刪除不了，選擇“強制刪除”即可，如果此兩種方法刪除不了文件，那么就看看第四項。

38、四、處理頑固的病毒文件（暫時沒有試驗可用性）文件經過冰刃的“刪除”和“強制刪除”都沒有辦法刪除，可以試下面的方法，我不知道可行性，因為沒有病毒樣本，只能介紹給大家，自己試驗了。

39、方法如下：在一個目錄建立一個與病毒同名的文件，包括擴展名，復制到病毒位置。

40、舉個例子，比如你不能刪除的文件是c:\windows\system32\下的1.sys，那么你可以在c:\建立一個記事本文件，里面隨便打兩個字母，保證文件大小不為0KB，修改其名稱為1.sys，然后打開冰刃，選中新建立的c:\1.sys， 在右鍵菜單中選擇“復制”，然后打開復制對話框，選擇病毒所在目錄——c:\windows\system32\，然后輸入文件名——1.sys，點復制，就可以了。

41、此方法沒有實踐過，不知道是否成功。

42、經過試驗，此方法無效，對付這種頑固病毒文件看來還需要更好的利器。

43、最后，我們了解菜單欄的一些功能禁止插入新進程點菜單欄中文件下面的“設置”，打開設置對話框，在“禁止進線程創建”前面打上對勾即可。

44、這樣計算機就無法建立任何進程（圖十二）。

45、到這里，冰刃的基本用法也就介紹得差不多了，教程到此結束。

本文到此結束，希望對大家有所幫助。