實驗?zāi)康?/strong>
（1）學(xué)習(xí)冰刃的基本功能；

（2）掌握冰刃的基本使用方法；

預(yù)備知識
????? windows操作系統(tǒng)的基本知識，例如：進程、網(wǎng)絡(luò)、服務(wù)和文件等的了解。

????? 冰刃是一款廣受好評的ARK工具。ARK工具全稱為Anti Rootkit工具，可以理解為輔助殺毒工具，在具有一定操作系統(tǒng)知識后，完全可以利用該工具手動殺毒！冰刃適用于Windows 2000/XP/2003?操作系統(tǒng)，界面雖然看起來比較的粗糙，但是其內(nèi)部功能是十分強大，用于查探系統(tǒng)中的幕后黑手—木馬后門，并作出處理。一般都可輕而易舉地隱藏進程、端口、注冊表、文件信息，一般的工具根本無法發(fā)現(xiàn)這些 "幕后黑手"。目前最新版本為1.22。

實驗環(huán)境
Windows XP SP3 操作系統(tǒng)（最好是虛擬機環(huán)境）。

實驗內(nèi)容和步驟
打開 Windows XP SP3虛擬機，運行桌面上的冰刃軟件。

任務(wù)一：了解程序主界面
????? 打開軟件，顯示在系統(tǒng)任務(wù)欄或軟件標題欄的都只是一串隨機字“abv12D840C”，而不是常見的窗口名，這是IceSword自我保護的方式之一：隨機字串標題欄。每次打開出現(xiàn)的字串都是隨機生成，這樣那些通過標題欄來關(guān)閉程序的病毒木馬就無用了。
? ? ?
????? 文件菜單里面有個設(shè)置創(chuàng)建進線程規(guī)則的選項,可以看看。

任務(wù)二：了解進程管理模塊
????? 點擊窗口左側(cè)的“進程”，查看系統(tǒng)當(dāng)前進程。顯示為紅色的為隱藏進程，系統(tǒng)默認是沒有的（系統(tǒng)自帶的“任務(wù)管理器”是看不到的，有時另一款功能強大的進程查看軟件Process Explorer也無法查到），因此紅色項應(yīng)全部結(jié)束（當(dāng)然主程序IceSword.exe除外）。
? ? ?
????? 按Ctrl鍵選擇多個項目，然后再點開右鍵菜單中的“結(jié)束進程”，可一次搞定所有需結(jié)束的進程。記錄源文件地址，到時候一并刪除。

????? IceSword可結(jié)束除Idle進程、System進程、csrss進程這三個進程外的所有進程，這一點，很多同類軟件是做不到的。但是有些進程也不是隨便可以結(jié)束的，如系統(tǒng)的winlogon.exe進程，一旦殺掉后系統(tǒng)就崩潰了。

????? 很多木馬程序都喜歡插入explorer.exe，來執(zhí)行需要的操作，對于這些插入的DLL文件怎么辦呢，選中explorer.exe進程，然后點右鍵菜單中的“模塊信息”，會看到所嵌入進程的所有DLL文件，找到病毒模塊，點擊卸載即可結(jié)束掉這個DLL，如果病毒程序比較厲害可能無法卸載，強制解除就起了作用，一般的DLL包括系統(tǒng)DLL都可以強制解除掉，所以慎用這個功能。此外，進程里還有其他功能，如強制結(jié)束線程，包括右鍵菜單中還有線程信息、內(nèi)存讀寫等。

任務(wù)三：了解端口管理模塊
????? 端口管理模塊還可以知道哪些進程有聯(lián)網(wǎng)行為，不過美中不足的是不能在這里結(jié)束相關(guān)進程，端口管理模塊如下圖所示。
? ?
????? 這里的連接狀態(tài)大概分為：

????? LISTEN：正在監(jiān)聽中,隨時準備連接某一個目標

????? SYN_SENT：客戶端通過應(yīng)用程序調(diào)用connect進行active?open，于是客戶端tcp發(fā)送一個SYN以請求建立一個連接，之后狀態(tài)置為SYN_SENT

????? SYN_RECV：服務(wù)端應(yīng)發(fā)出ACK確認客戶端的?SYN，同時自己向客戶端發(fā)送一個SYN，之后狀態(tài)置為SYN_RECV

????? ESTABLISHED：代表一個打開的連接，雙方可以進行或已經(jīng)在數(shù)據(jù)交互了

????? CLOSE_WAIT：連接正在準備跟對方斷開

????? TIME_WAIT：表示系統(tǒng)在等待對方的響應(yīng)，讓對方回復(fù)到底連還是不連

????? CLOSING：比較少見

????? CLOSED：連接被關(guān)閉

任務(wù)四：了解內(nèi)核模塊
?? ?? 內(nèi)核模塊是加載到系統(tǒng)地址空間的PE模塊，內(nèi)核程序是通過ntkrnlpa.exe等程序啟動，基本上是C:\windows\system32\drivers\下的驅(qū)動程序 *.sys文件，當(dāng)然也有少部分C:\windows\system32\目錄下的sys文件，僅有很少的幾個dll文件。冰刃中的內(nèi)核模塊只能察看簡單的內(nèi)核信息，靠知識去分析正常和不正常的內(nèi)核。
? ? ?
任務(wù)五：了解啟動組模塊
????? 和內(nèi)核模塊一樣，只能查看，無法作任何處理。只顯示以下幾個地方的啟動項目，不全面，可用冰刃的注冊表刪除可疑啟動。

????? 注冊表中，僅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run兩個項目。

????? 文件夾包括C:\Documents and Settings\您所使用的用戶名稱\「開始」菜單\程序\啟動和C:\Documents and Settings\All Users\「開始」菜單\程序\啟動

?? ?
任務(wù)六：了解服務(wù)管理模塊
????? 與windows自身提供的服務(wù)管理差不多，稍微多點功能：
? ? ?
????? （1）顯示隱藏服務(wù)

????? 服務(wù)中可以顯示隱藏服務(wù)，用紅色表示，和進程一樣

????? （2）修改服務(wù)狀態(tài)（啟動、停止等）

????? 打開服務(wù)，選中要進行操作的服務(wù)，按Ctrl鍵可以選擇多個項目，在右鍵菜單里面選擇要作的操作，比如停止、啟動、暫停、恢復(fù)。

????? （3）修改服務(wù)的啟動類型（禁用、自動、手動）

????? 打開服務(wù)，選中要進行操作的服務(wù)，按Ctrl鍵可以選擇多個項目，在右鍵菜單里面選擇要作的操作，比如禁用、自動、手動。這個修改的是啟動類型，所以修改后，不可能修改當(dāng)前狀態(tài)。

任務(wù)七：了解SPI模塊
????? SPI簡單地說就是現(xiàn)實計算機目前所有的硬件接口和設(shè)備，同樣也只能查看
? ? ?
任務(wù)八：了解BHO模塊
?????? BHO為瀏覽器插件，瀏覽器的插件，很多軟件安裝完畢或者流氓軟件都會在瀏覽器里駐足，過多的插件會給瀏覽器帶來不穩(wěn)定。不過冰刃只能查看。
? ? ?
任務(wù)九：了解SSDT模塊
????? SSDT即系統(tǒng)服務(wù)表，一些 "rootkit" 經(jīng)常通過hook截獲你系統(tǒng)的服務(wù)函數(shù)調(diào)用，以實現(xiàn)注冊表、文件的隱藏。被修改的值以紅色顯示，不過，當(dāng)然有些安全程序也會修改，如windows\\System32\\drivers\\klif.sys 就是卡巴斯基內(nèi)核驅(qū)動.

?????
任務(wù)十：了解消息鉤子模塊
????? 簡單地說就是攔截各種系統(tǒng)命令的動作,比如我們右擊刪除一個文件，那么就會給系統(tǒng)發(fā)出一個“我要刪除這個文件”的命令。收到后windows再轉(zhuǎn)給系統(tǒng)中專門負責(zé)刪除職能的那個人，由他去具體執(zhí)行,而如果病毒采用了鉤子，則會監(jiān)視這些操作，將所有命令先經(jīng)過自己手。如果發(fā)現(xiàn)刪除命令的對象是自己，那么就把這個命令拋棄掉，如果是其他的就繼續(xù)交給那個人來執(zhí)行。不過并不是所有鉤子都是病毒的杰作，安全軟件基本都會有，如何辨別就需要對文件名字有一定了解或上網(wǎng)查閱。
? ??
任務(wù)十一：了解注冊表管理模塊
????? 冰刃對注冊表有非常高的權(quán)限（管理員權(quán)限），可以看到某些系統(tǒng)注冊表編輯器中不可見的項目，所以在進行操作的時候要有十足把握，不要因為錯刪、錯改某些系統(tǒng)關(guān)鍵項目，使計算機系統(tǒng)崩潰。
? ? ?
任務(wù)十二：了解文件管理模塊
????? 文件是一個瀏覽計算機所有文件的地方，可以看到任何隱藏的文件，對付無法刪除的文件，也可以使用強制刪除等特殊方法刪除。