BlackIce

blackice病毒(病毒特征： 删除过程：)

BLACK·ICE（攻性防壁）

BlackIce

是一个入侵检测系统，它能将一些现象文件以其它的协议分析器可以读取的格式写到硬盘上。因此在运用到一个安全的环境时，这种用法比一般的sniffering程序更加有用。然而，它是非混杂模式的，因此，仅仅监听进入计算机的数据包。

这个软件在九九年获得了PC Magazine的技术卓越大奖，专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施--它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别200多种入侵技巧，给你全面的网络检测以及系统防护，它还能即时监测网络端口和协议，拦截所有可疑的网络入侵，无论黑客如何费尽心机也无法危害到你的系统。而且它还可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来，以便你采取进一步行动。封言用过后感觉，该软件的灵敏度和准确率非常高，稳定性也相当出色，系统资源占用率极少，是每一位上网朋友的最佳选择。

blackice病毒

病毒特征：

在%systemroot%\\system32下生成blackice.exe和kernel.dll文件，二者相互保护。加载在启动项里面的是blackice.exe。一旦打开office文档如word、excel等，均会在进程中添加blackice.exe的进程，同时在\\Documents and Settings\\*username*\\LocalSettings\\Temp文件夹下生成bk_*.tmp，其中*为数字和字母，按照现有文件名递增。一位为数字或字母，两位的话是数字+字母形势，大小均为33kb，同时注入系统进程且无法中止。使用杀毒软件可以查杀，病毒分类为Worm.win32.Whiteice.a，一般杀毒软件(我用的kaspersky)均可结束blackice进程但无法直接删除该文件，可以删除kernel.dll，可以删除bk_*.tmp，提示需要重启才能杀掉blackice。但重启之后开机提示系统找不到%systemroot%\\system32\\blackice.exe，而且再次打开office文档还会重复上面的过程；也就是杀毒软件无法根除。

删除过程：

安全模式下，用kaspersky添加病毒文件的两个关键区域和office所在的文件夹即\\Documents and Settings\\*username*\\Application Data\\Microsoft，然后扫描杀毒杀毒完成后，运行msconfig取消blackice的启动项，然后运行regedit搜索blackice相关键值并全部删除。重启之后，进入正常模式，在%systemroot%\\system32文件夹下新建两个空白txt文件并修改为blackice.exe和kernel.dll，修改其属性为只读。重启。再次进入正常模式后对上述关键区域杀毒，同时运行regedit删除相关键值。删除及杀毒完毕后再次重启，进入正常模式后卸载office。至此病毒再也不会出现。重新安装office后，再次打开office文档也不会再出现病毒了。

特别提下，就算你没中毒，使用“在%systemroot%\\system32文件夹下新建两个空白txt文件并修改为blackice.exe和kernel.dll，修改其属性为只读”这个方法也可以防止病毒在%systemroot%\\system32下生成blackice.exe和kernel.dll文件，起到一定的预防作用。

BLACK·ICE（攻性防壁）

BALDR系列游戏下的特有名词，是一种对电子体或者病毒体使用的攻击性武器，大多是军方、政府部门、高等级的金融体系等使用

与一般的防御壁不同，攻性防壁是以杀伤为目的而制作的，如果一般人的电子体进入攻性防壁，会对人的脑内芯片发出大量的垃圾信息让芯片过负荷烧毁，因为脑内芯片已经跟使用者一体化，接近于大脑的一部分，所以芯片烧毁的话很可能导致使用者‘脑死’——BALDR SKY的主角门仓甲，就因为被论理爆弹（一种类似于攻性防壁的攻击手段，不过不同的是这个完全是主动攻击）的余波命中，要不是脑内芯片带有安全装置，当过负荷的时候自动断开，门仓甲也会跟他的队员一样命运直接脑死，但是虽然说有安全装置，实际上门仓甲也因为这次的攻击导致脑内芯片半毁，可见这种攻击的恐怖；而一般的病毒体一旦进入攻性防壁几乎会直接毁灭