谁能给我介绍一些黑客书

给你推荐几本书《黑客防线》 《非安全黑客手册》《计算机病毒与木马程序剖析》《网络安全从入门到精通》《黑客大曝光 第五版》《密码学》等

在一个推荐几个网站

www.hackbase.com

www.hackp.com

www.mvphack.com

这是什么加密方式？？

7种html加密方式介绍2009-11-26 12:35一：最简单的加密解密

二：转义字符""的妙用

三：使用Microsoft出品的脚本编码器Script Encoder来进行编码 （自创简单解码）

四：任意添加NUL空字符（十六进制00H） （自创）

五：无用内容混乱以及换行空格TAB大法

六：自写解密函数法

七：错误的利用 （自创） 在做网页时（其实是网页木马呵呵），最让人烦恼的是自己辛辛苦苦写出来的客户端IE运行的JAVASCRIPT代码常常被别人轻易的拷贝，实在让自己的心里有点不是滋味，要知道自己写点东西也挺累的......^*^

但我们也应该清楚地认识到因为JAVASCRIPT代码是在IE中解释执行，要想绝对的保密是不可能的，我们要做的就是尽可能的增大拷贝者复制的难度，让他知难而退（但愿~!~），下面我结合自己这几年来的实践，及个人研究的心得，和大家一起来探讨一下网页中JAVASCRIPT代码的加密解密技术。

以加密下面的JAVASCRIPT代码为例：

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

alert("黑客防线");

/SCRIPT一：最简单的加密解密

大家对于JAVASCRIPT函数escape()和unescape()想必是比较了解啦（很多网页加密在用它们），分别是编码和解码字符串，比如例子代码用escape()函数加密后变为如下格式：

以下是代码片段：

alert%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B

如何？还看的懂吗？当然其中的ASCII字符"alert"并没有被加密，如果愿意我们可以写点JAVASCRIPT代码重新把它加密如下：

以下是代码片段：

%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B呵呵！如何？这次是完全都加密了！

当然，这样加密后的代码是不能直接运行的，幸好还有eval(codeString)可用，这个函数的作用就是检查JavaScript代码并执行，必选项 codeString 参数是包含有效 JavaScript 代码的字符串值，加上上面的解码unescape()，加密后的结果如下：

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

var code=unescape("%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B");

eval(code)

/SCRIPT

是不是很简单？不要高兴，解密也就同样的简单，解密代码都摆给别人啦（unescape()）！呵呵

二：转义字符""的妙用

大家可能对转义字符""不太熟悉，但对于JavaScript提供了一些特殊字符如：n （换行）、 r （回车）、' （单引号 ）等应该是有所了解的吧？其实""后面还可以跟八进制或十六进制的数字，如字符"a"则可以表示为："141"或"x61"（注意是小写字符"x"），至于双字节字符如汉字"黑"则仅能用十六进制表示为"u9ED1"（注意是小写字符"u"），其中字符"u"表示是双字节字符，根据这个原理例子代码则可以表示为：

八进制转义字符串如下:

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

eval("1411541451621645042u9ED1u5BA2u9632u7EBF425173")

/SCRIPT十六进制转义字符串如下:

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

eval("x61x6Cx65x72x74x28x22u9ED1u5BA2u9632u7EBFx22x29x3B")

/SCRIPT这次没有了解码函数，因为JavaScript执行时会自行转换，同样解码也是很简单如下：

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

alert("x61x6Cx65x72x74x28x22u9ED1u5BA2u9632u7EBFx22x29x3B")

/SCRIPT

就会弹出对话框告诉你解密后的结果！

三：使用Microsoft出品的脚本编码器Script Encoder来进行编码

工具的使用就不多介绍啦！我是直接使用JavaScript调用控件Scripting.Encoder完成的编码！代码如下：

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

var Senc=new ActiveXObject("Scripting.Encoder");

var code='SCRIPT LANGUAGE="JavaScript"rnalert("黑客防线");rn/SCRIPT';

var Encode=Senc.EncodeScriptFile(".htm",code,0,"");

alert(Encode);

/SCRIPT编码后的结果如下：

以下是代码片段：

SCRIPT LANGUAGE="JScript.Encode"#@~^FgAAAA==@#@ls DD`J黑客防线r#p@#@FgMAAA==^#~@/SCRIPT够难看懂得吧？但相应的解密工具早已出来，而且连解密网页都有！因为其解密网页代码过多，我就不多说拉！给大家介绍一下我独创的解密代码，如下：

以下是代码片段：

SCRIPT LANGUAGE="JScript.Encode"

function decode()

alert(decode.toString());

/SCRIPT咋样？够简单吧？它是原理是：编码后的代码运行前IE会先对其进行解码，如果我们先把加密的代码放入一个自定义函数如上面的decode()中，然后对自定义函数decode调用toString()方法，得到的将是解码后的代码！

如果你觉得这样编码得到的代码LANGUAGE属性是JScript.Encode，很容易让人识破，那么还有一个几乎不为人知的window对象的方法execScript()，其原形为：

window.execScript( sExpression, sLanguage )

参数：

sExpression:　 必选项。字符串(String)。要被执行的代码。

sLanguage　:　 必选项。字符串(String)。指定执行的代码的语言。默认值为 Microsoft JScript

使用时，前面的"window"可以省略不写！

利用它我们可以很好的运行编码后的JavaScript代码，如下：

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

execScript("#@~^FgAAAA==@#@ls DD`J黑客防线r#p@#@FgMAAA==^#~@","JScript.Encode")

/SCRIPT

你可以利用方法二对其中的""号内的字符串再进行编码，使得"JScript.Encode"以及编码特征码"#@~^"不出现，效果会更好！

四：任意添加NUL空字符（十六进制00H）

一次偶然的实验，使我发现在HTML网页中任意位置添加任意个数的"空字符"，IE照样会正常显示其中的内容，并正常执行其中的JavaScript 代码，而添加的"空字符"我们在用一般的编辑器查看时，会显示形如空格或黑块，使得原码很难看懂，如用记事本查看则"空字符"会变成"空格"，利用这个原理加密结果如下：（其中显示的"空格"代表"空字符"）

以下是代码片段：

S C RI P T L ANG U A G E =" J a v a S c r i p t "

a l er t (" 黑 客 防 线") ;

/ SC R I P T

如何？是不是显得乱七八糟的？如果不知道方法的人很难想到要去掉里面的"空字符"（00H）的！

五：无用内容混乱以及换行空格TAB大法

在JAVASCRIPT代码中我们可以加入大量的无用字符串或数字，以及无用代码和注释内容等等，使真正的有用代码埋没在其中，并把有用的代码中能加入换行、空格、TAB的地方加入大量换行、空格、TAB，并可以把正常的字符串用""来进行换行，这样就会使得代码难以看懂！如我加密后的形式如下：

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

"xajgxsadffgds";1234567890

625623216;var $=0;alert//@$%%*()((^%^

//cctv function//

(//hhsaasajx xc

/*

asjgdsgu*/

"黑客防线"//ashjgfgf

/*

@#%$^%$96667r45fggbhytjty

*/

//window

)

;"#@$#%@#432hu";212351436

/SCRIPT

至少如果我看到这样的代码是不会有心思去分析它的，你哪？

六：自写解密函数法

这个方法和一、二差不多，只不过是自己写个函数对代码进行解密，很多VBS病毒使用这种方法对自身进行加密，来防止特征码扫描！下面是我写的一个简单的加密解密函数，

加密代码如下（详细参照文件"加密.htm"）：

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

function compile(code)

{

var c=String.fromCharCode(code.charCodeAt(0)+code.length);

for(var i=1;icode.length;i++){

c+=String.fromCharCode(code.charCodeAt(i)+code.charCodeAt(i-1));

}

alert(escape(c));

}

compile('alert("黑客防线");')

/SCRIPT运行得到加密结果为：o%CD%D1%D7%E6%9CJ%u9EF3%uFA73%uF1D4%u14F1%u7EE1Kd

相应的加密后解密的代码如下：

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

function uncompile(code)

{

code=unescape(code);

var c=String.fromCharCode(code.charCodeAt(0)-code.length);

for(var i=1;icode.length;i++){

c+=String.fromCharCode(code.charCodeAt(i)-c.charCodeAt(i-1));

}

return c;

}

eval(uncompile("o%CD%D1%D7%E6%9CJ%u9EF3%uFA73%uF1D4%u14F1%u7EE1Kd"));

/SCRIPT

七：错误的利用

利用try{}catch(e){}结构对代码进行测试解密，虽然这个想法很好（呵呵，夸夸自己），因为实用性不大，我仅给个例子

以下是代码片段：

SCRIPT LANGUAGE="JavaScript"

var a='alert("黑客防线");';

var c="";

for(var i=0;ia.length;i++){

c+=String.fromCharCode(a.charCodeAt(i)^61);}

alert(c);//上面的是加密代码，当然如果真正使用这个方法时，不会把加密写上的

//现在变量c就是加密后的代码

//下面的函数t()先假设初始密码为０，解密执行，

//遇到错误则把密码加１，然后接着解密执行，直到正确运行

以下是代码片段：

var d=c; //保存加密后的代码

var b=0; //假定初始密码为0

t();

function t()catch(e){

c="";

for(var i=0;id.length;i++){

c+=String.fromCharCode(d.charCodeAt(i)^b);}

b+=1;

t();

//setTimeout("t()",0);

}

}

/SCRIPT

如何学好网络安全

经常看到一些网友在论坛发帖问该如何学习网络安全技术，说的直接一点就是想学习黑客攻防技术，最近有网友加我qq又谈到这个问题，今天就整理一下我的一些看法，希望对大家能有所帮助。

从98年开始接触网络安全技术到现在已经10多年了，那时候的个人电脑的系统基本都是win98，服务器基本是winnt，上网都是通过猫拨号上网，记得上网一小时4.2元。攻击方法基本就是远程控制，远程蓝屏，暴力破解密码，拒绝服务攻击等，还没有出现sql注入和社工，安全书籍中的文章大多数都是对一些软件的使用方法做介绍，用的木马基本就两个，美国死牛之祭组织出的bo2000和国产的冰河。冰河我用了很长一段时间，直到现在看到7626这个数字还觉得亲切，因为这是冰河被控制端开启的端口，手工删除冰河也很简单，找到进程中的g_server.exe关闭删除就可以了。还有个破解win98共享文件夹的软件印象也比较深刻，图标是个卡通公鸡头，破解速度很快，破解原理是系统密码认证有问题，对密码的识别不是整个字符串识别的，而是一个字符一个字符的识别，破解软件就可以根据系统返回的yes、no进行尝试。

网上不少人说要学网络安全一定要会c和c++语言，我觉得完全没必要，不是说学了没用，而是在初学阶段用处不大，甚至枯燥的学习会扼杀你的兴趣，等到技术达到了一定程度再学，会事半功倍，不少从事信息安全多年的专业人士都没有写过一行代码，一样被人称为大牛。还有人说学网络安全英语一定要好，其实你只要能认识那些常用的计算机单词就行了，当然你要考cissp除外。还有人说学网络安全一定要会unix和linux，我觉得windows就够学的了，人的精力总是有限的，不可能把所有的领域都搞得很精通，与其样样通，样样松，何不做精，在某一领域有所专长。

忘记unicode漏洞是哪年被发现了，感觉很震撼，没想到通过这种方式可以控制计算机，当时有这种漏洞的服务器到处都是，原因很简单，服务器管理者对系统补丁的重要性认识不足，没有及时安装补丁。这种漏洞的利用方式简单的讲就是通过浏览器就可以对目标计算机执行cmd命令，用的最多的命令就是dir、copy、type，用dir浏览服务器的文件目录，看到感兴趣的文件copy到虚拟目录下，然后通过浏览器下载，看到文本文件用type阅读。也可以通过tftp上传文件。

还有输入法漏洞，同样的震撼，入侵者通过远程桌面连接到目标计算机上，调出输入法，通过输入法的帮助功能，执行cmd命令，尽管是老漏洞，但同样适用于目前的一些远程接入程序，学网络安全必须做到举一反三，条条大路通罗马。

印象最深刻的远程溢出漏洞是在05年，ms05039漏洞，溢出后，用nc可以直接连上某个溢出后开启的端口，获得系统的shell权限，在互联网上成功率很高，在局域网成功率基本是99%。

没头没脑说这么多，又不能混稿费，就此打住，进入正题。初学者可以在计算机上安装vm虚拟机，vm的功能很多，需要注意的就这么几个：制作恢复快照，通过Ctrl+Alt释放虚拟机中的鼠标，安装完vm后，接着安装VMwareTools 其他就不做详细介绍了。在虚拟机中安装个win2003，安装完成后，默认设置下是可以ping通本地机的，这样一个小的网络环境就搭建好了，如果硬件允许，可以同时运行多个虚拟机，用虚拟系统进行攻防测试，不会影响到真实系统。至于都做哪些攻防测试，我觉得可以先做系统漏洞攻防，下载使用各种漏洞扫描器，进行全面扫描，根据存在的漏洞，用各种方法做入侵测试，还可以试试各种溢出攻击，掌握各种常用的cmd命令。接下来可以开启系统的iis服务，在虚拟目录中放一个漏洞百出的整站系统做web漏洞攻防，sql注入、跨站、脚本入侵等，根据获得的webshell进行提权测试。还可以在系统中安装各种应用软件，对应用软件存在的漏洞进行攻防测试。喜欢看书的朋友还可以看看《黑客x档案》、《黑客手册》、《黑客防线》，网上有部分电子版，前两本相对简单写，《黑客防线》系统底层的文章相对多些。等到各种攻防测试都做完了，可以看看一些网络基础方面的书籍，你会发现之前苦涩难懂的理论知识理解起来不是那么困难了。《TCP/IP

详解》这本书不错，卷一详细描述协议栈，同样的一本书，每个阶段看，收获是完全不一样的。《欺骗的艺术》这本书也不错，网上有电子版，看完后你会发现，社会工程学原来是门艺术。当你掌握的技术越多，就越觉得不懂的更多。

黑客工具有成千上万个，这里给大家介绍几款个人感觉不错的。x-scan，国产漏洞扫描器，优点是稳定，可扩展性强，缺点是很久没更新了，漏洞库不够新；Acunetix

Web Vulnerability

Scanner，简写wvs，是款web扫描器，优点是web漏洞扫描全面，缺点是运行速度太慢；ssport，小巧的端口扫描器，优点是扫描速度快，可以在运行中调节扫描速度，号称无级变速，缺点是有漏扫情况，占用网络资源很厉害，运行后，基本不用上网了，甚至拖垮你的局域网。不少人用s扫描器，ssport的端口扫描速度不如s扫描器，但整体来说不比s扫描器差。cain，很不错的嗅探工具，功能太多了，操作稍微有点复杂，用了cain你会发现，网络中到处都是明文密码。

如果你的时间和精力充足，又想学学编程，可以考虑学学delphi，上手快，不是有这么一句话吗:聪明的程序员用delphi，学编程对全面了解操作系统有一定的帮助。

当你学会了攻，也就明白怎么防了，防比攻更难，攻是单点突破，防是系统工程。网上不少人在收徒弟，这其中不少人是骗子，前不久看过一个所谓的黑客教学视频，制作者通过一个不带任何参数的ping命令+web扫描，只是web扫描，就击垮了一个SF服务器，看完后我也被他击垮了。最好的老师永远是你自己，只要有兴趣，多动手实践，多思考，一定会有所收获。路在何方？路永远在你脚下。最后还要说一句，不要去黑别人，因为中国有句老话：善有善报，恶有恶报。更不要以为做了几次跳板别人就找不到你了。

转载仅供参考，版权属于原作者

如何编辑黑客防线光盘的起始动画

《黑客X档案》、《黑客手册》、《黑客防线》 黑客营的 《黑客入门》： 附带黑客工具光盘~！包含76种黑客常用软件~！并带有黑客实战录象~！ 黑客使用手册~！从最基本的开始~！ 新华书店可买到~·28元一本~ 《黑客攻击技术大全》： 附带黑客工具光盘~！包含40多种最新黑客工具~工具使用讲解~黑客实战动画~ 新华书店可买到~·42元一本~ 网管员必读——教你如何巧解注册表的锁定 作者：来源：网管员世界 在上网浏览了恶意网页后，经常会遇到注册表被禁用的事情。注册表被加锁，其主要原理就是修改注册表。在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVerssion\Policies\System分支下，新建DWORD值“Disableregistrytools”，并设键值为“1”。这样，当有人运行注册表编辑器时就会出现“注册编辑已被管理员所禁止”的对话框（如图1），这样就可以达到限制别人使用注册表编辑器的目的。给注册表解锁的方法有很多，编辑REG文件导入注册表是最常用的。本文要介绍的是与众不同的七招，在此与您分享。 图1 用Word的宏来解锁 Word也可以给注册表解锁？没错！我们利用的是微软在Word中提供的“宏”，没想到吧？具体方法是：运行Word，然后编写如下面所示的这个“Unlock”宏，即可给注册表解锁： Sub Unlock() Dim RegPath As String RegPath = “HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\System” System.PrivateProfileString(FileName:=“”,Section:=RegPath,Key:=“Disableregistrytools”)=“OK!” End Sub 其实，这个方法一点都不神秘，只是利用了注册表的一个特性，即在同一注册表项下，不能有相同名字的字符串值和DWORD值，如果先前有一个DWORD值存在，则后建立的同名的字符串值会将其覆盖，这也就间接的删除了原值。在本例中就是DWORD值Disableregistrytools被同名的字符串值所覆盖删除。 修改Regedit.exe文件 修改Regedit.exe文件也可以给注册表解锁，前提条件是手头上要有十六进制文件编辑软件如UltraEdit或WinHex等。我们以UltraEdit为例，用Ultraedit打开注册表编辑器Regedit.exe。点击“搜索”菜单下的“查找”，在弹出的对话框中的“查找ASCII字符”前面打上“√”，在“查找什么”栏中输入：Disableregistrytools（如图2），点击“确定”开始查找。会找到仅有的一处结果，改成别的字符就可以了。不过长度一定要一样（20个英文字母），这样就可以解除对注册表编辑器的禁用。 图2 使注册表编辑器无法被禁用 给注册表编辑器Regedit.exe做个小手术，使之对注册表禁用功能具有“免疫力”，可以打造一个锁不住的注册表编辑器。这对防范恶意网页对注册表的禁用非常有好处。用十六进制文件编辑器Ultraedit打开Regedit.exe，查找74 1B 6A 10 A1 00，找到后，把74改为EB即可。现在，你就有了一个锁不住的注册表编辑器了。下次既使注册表被禁用也不用害怕了，只管运行之，保管恶意网页的修改无效。 用INF文件解锁 大家一定看到过在Windows中有一种后缀为INF的驱动安装文件，它实际上是一种脚本语言，通过解释执行。它包含了设备驱动程序的所有安装信息，其中也有涉及修改注册表的相关信息语句，所以我们也可以利用INF文件对注册表解锁。 INF文件是由各个小节(Section) 组成。小节的名字从中括号中起，且在此文件中必须是惟一的。小节的名字是它的入口点。后面是小节内容，形式上是“键名称=键值”。在文件中可以添加注释

简单的电脑病毒如何手动去除？

第一、全面检测计算机

对于新手，手动全面检测计算机是非常困难的，因为需要打开注册表，一项一项去检查，那我们就使用简单的方法——运用SRE这个软件，SRE全名System Repair Engineer。打开软件后，点击软件左边的智能扫描，再点击“扫描”，就可以对计算机进行较为全面的扫描了。

对于不想自己分析的新手，请把日志贴到论坛上，会有人帮你解决。

第二、分析扫描日志

这个是最关键的一步，对于很多新手，选择来论坛发布日志，让有经验的高手来分析，这样省时省力，但是如果大家学会分析日志，那么就可以有更多的人帮助新来的人，减少版主和论坛高人的劳动。分析日志学习起来很难，因为需要不断积累经验，在这里只介绍简单的方法

1、了解日志

SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目

2、看进程

看进程，看什么呢?看的就是，是否有除系统基本进程和软件产生进程外的其他进程，尤其注意进程路径是c:windows和C:windowssystem32下的文件，可能有些新手不知道那些是系统基本进程，那些是软件安装的进程，这就是需要经验积累的地方。

对于系统进程加载的DLL，这个需要具体分析，很多盗号木马运用了这个方式，那就要经过下面三步去完善。

3、看启动项(包括注册表启动项、启动文件夹、服务、驱动)

看了进程以后，对那些是可疑文件有了一定了解后，就可以来看启动项目。SRE这个日志非常适合新手使用，因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏，对于服务，驱动需要经验才能动，下面我一项一项的介绍。

4、对比

对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题，就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。当然，原因不只这一些，还是需要大家积累经验。实践是根本。

5、看其余项目

第一个要看的就是autorun.inf这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。

第一种：利用WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。

第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。

第三种：利用命令提示符。具体方法利用了DOS命令，具体命令如下：

Attrib –s –h –r –a X:autorun.inf

Attrib –s –h –r –a X:对应启动文件(EXE或者PIF)

Del X:autorun.inf

Del X: 对应启动文件(EXE或者PIF)

其中X代表感染的盘符。

说明可以删除彻底，需要懂一些DOS命令和CMD的使用方法。

第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，建议新手使用。

第二个要看的就是HOSTS文件，这里的看法是按照行，日志前面写的是网址对应的DNS解析的IP地址，如果所有IP地址都是同一个，或者和其他计算机解析的IP地址不同，那么就有问题，最主要的还是同一个或者同为127.0.0.1。处理方法很简单，利用记事本打开Host这个文件，路经在C:WINDOWSsystem32driversetc，这个处理最好是在病毒删除以后。

第三、处理所有可疑文件(清除病毒文件)

这个是最关键的一步，这一步就要删除病毒了，看到论坛以前有人光用SRE这类日志扫描程序删除，就非常气愤，因为这个程序无法完全解决问题。现在先来说明一下原因，第一，若病毒运行，病毒会不时的自动检测启动项是否被修改，你用SRE删除以后，病毒会立刻检测到，自动添加，当重新启动的时候就会重新回来，解决方法倒是有一个，这个可以在安全模式下进行，但是有部分病毒在安全模式下照样会运行，下一点就说明了这个。第二，有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动，这三类启动有一个共同特点，就是病毒在安全模式下也会运行，那么SRE对其根本没有效果。那我们怎么进行处理呢，最可靠的方法还是使用冰刃(IceSword)。

当然也有一点冰刃不是全能的，现在有病毒以进程来结束冰刃，以后会怎么样，《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞，利用这个漏洞，病毒可以结束掉冰刃。

废话就说以上这么多，看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理，点击上方文件下的设置，选中禁止线程创建。然后就可以做下面的处理了

删除方法：

第一种情况，有确实的EXE进程。打开冰刃后，点击进程，结束此可疑进程，这样此进程不会创建，按照上面对比后的结果，如果是注册表中的，在冰刃下面可以看到注册表，直接进行修改，注意一点就是项目需要双击打开编辑框清空，其它的直接找到对应键值删除即可;如果是服务启动，在冰刃下进入服务，找到启动服务，点右键，改为已禁用即可;如果是驱动启动，可以打开注册表进入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices找到对应的删除即可，也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。

第二种情况，无确定的EXE进程，现在很多木马喜欢用DLL潜入方式，比如江湖木马，征途木马，这些木马对应的启动项目是一个EXE文件，而最终起作用的是一个潜入进程的DLL，找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件，打开冰刃，进入对应启动项，按照第一种情况所说方法先删除启动项。然后强制删除对应文件，最后强制删除DLL文件重新启动后即可完成杀毒，如果找不到对应的DLL，不删除也可以，此DLL会成为系统垃圾，放在它该存在的位置，而不在产生作用。

第三种情况，也是最难处理的一种情况，现象就是杀毒软件报告病毒，但是无法从日志中找到任何病毒踪迹，这里要先启动冰刃，在进程、内核程序、启动组和服务中进行一次彻底查找(后面对次问题有解释)，如果还是没有，就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件(若杀毒软件以成功删除就不用做这一步)，并且打开我的电脑，找到对应位置，建立一个同名的文件夹(包括扩展名)，这样病毒将不会再产生，然后运用Filemon这个文件监控软件，进行监控，在监控过程中，逐一运行软件，看看那个软件要创建前面用冰刃或者杀毒软件删除的文件，找到后，删除此软件里面的所有文件重新安装，即可。

注册表启动项

在SRE里面，这册表启动项包括了Winlogon启动，普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了，当然因为每一种系统(盗版方式不同或者正版等等)不同，可能扫描出来的不仅相同，剩下的需要大家经验积累。

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

[(Verified)Microsoft Corporation](启动输入法)

超级兔子、MSN Messenger等通过此项目启动

[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]

[N/A]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 [(Verified)Microsoft Corporation](微软输入法启动项)

[(Verified)Microsoft Corporation] (微软输入法启动项)

[(Verified)Microsoft Corporation] (微软输入法启动项)

暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]

[(Verified)Microsoft Corporation]

[(Verified)Microsoft Corporation](Winlogon启动项，逗号后面若有东西90%是病毒)

[(Verified)Microsoft Corporation]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]

[N/A](初始化动态链接库，若这里面有东西90%是病毒)

以上只进行了概述

启动文件夹

这个最好看，只有部分软件修改这里，典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少，早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。

服务

这个比较好看，第一看服务名称后面的状态，SRE日志扫描后的格式为(最新版本)[服务名称][当前运行状态/启动状态]，其中当前运行状态是表示扫描的时候计算机是否运行了此服务，Running表示运行、Stopped表示没有运行;启动状态，表示此服务是如何启动，Auto Start表示自动，Disabled表示已禁用，Manual Start表示手动启动。其中重点看Running和Auto Start的项目，如果此项目和你安装的软件和驱动程序无关，那就可能是病毒。

驱动

我经过5年的杀毒经验，也不敢轻易动这个项目，只能介绍一条经验，就是如果一个驱动全部为数字，可能为病毒文件。因为现在各种品牌的驱动都不一样，所以其他的就记不住了。

鉴于启动项确定比较困难，希望新手在安装计算机后，做一次扫描备份，可以通过对比的方法，来看是否增加了启动项，如果此期间没有安装任何驱动和软件，那么就可能不是正常文件，就要小心的进行检查了。