四、其他功能
进程里面还有某些其他功能,比如强制结束线程,包括右键菜单中还有线程信息、内存读写等,这些对我们的杀毒工作用处不大,所以不进行具体介绍了。
其次,我们看内核的使用方法
内核程序是通过C:\windows\system32\ntkrnlpa.exe等程序启动,基本上是C:\windows\system32\drivers\下的sys文件,当然也有少部分C:\windows\system32\目录下的sys文件,仅有很少的几个dll文件,我计算机有3个。冰刃中的内核模块只能察看简单的内核信息,靠知识去分析正常和不正常的内核。
第三,我们看启动组
这里和内核程序一样,只能查看,无法作任何处理。这个启动组里面只显示几个地方的启动项目,非常不全面,我了解得是以下项目:
注册表中,仅包括HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run两个项目,文件夹包括C:\Documents and Settings\您所使用的用户名称\「开始」菜单\程序\启动和C:\Documents and Settings\All Users\「开始」菜单\程序\启动
等我的下一个文章的更新后,就知道这个启动组是多么的不全面了。
第四,我们看服务
一、显示隐藏服务
服务中可以显示隐藏服务,用红色表示,和进程一样
二、修改服务的当前状态(启动、停止等)
打开服务,选中要进行操作的服务,按Ctrl键可以选择多个项目,在右键菜单里面选择要作的操作,比如停止、启动、暂停、恢复。这里面要注意一个问题,就是系统的关键服务是不能停止的,否则系统会自动重新启动计算机。这个仅修改当前状态,而重新启动计算机后,如果服务的启动类型是自动,还会启动该服务。
三、修改服务的启动类型(禁用、自动、手动)
打开服务,选中要进行操作的服务,按Ctrl键可以选择多个项目,在右键菜单里面选择要作的操作,比如禁用、自动、手动。这个修改的是启动类型,所以修改后,不可能修改当前状态。
第五,我们看注册表
冰刃对注册表有非常高的权限,可以看到某些系统注册表编辑器中不可见的项目,所以在进行操作的时候要有十足把握,不要因为错删、错改某些系统关键项目,使计算机系统崩溃。
一、查找项
按照图六中“+”“-”符号的说明,点击“+”可以快速在左边查找到对应的项目,选中即可在右面查看该项下面的键值
二、删除项
在左面选中要删除的项,在右键菜单中选择“删除”,即可。
三、新建项
通过查找项,找到要新建项的位置,然后在左面窗口右键菜单中的新建下选择“项”,即可弹出新建项的对话框(图九),输入名称,点确定即可。
图九
