关于“IceSword”不能运行的原因(初步观察结果)
最近,有朋友反应——IceSword莫名其妙的不能运行(提示“初始化失败[3])。今天升级SSM后(由2.0.0.555升级至2.0.0558),我也遇到同样问题。
事情的经过是这样的:
1、SSM升级后,重启系统。重启后,TPF2005报警(见图1)。运行IceSword,提示“初始化失败[3]。因此开始怀疑这可能是SSM2.0.0.558造成的。
2、点击“我的电脑”、“属性”、“硬件”、“设备管理”,再点“查看”、“显示隐藏的设备”。最后,点击“非即插即用驱动程序”,果然发现了SSM2.0.0.558的驱动(图2)。
3、既然如此,先停用这个驱动,重启系统,看看IceSword是否可以运行。
重启后,运行IceSword——OK!没任何问题(图3)。至此,初步断定:SSM2.0.0558与IceSword间的驱动程序有冲突。
4、问题是:停用SSM2.0.0558的驱动后,SSM2.0.0558还能否运行?试试看。运行SSM2.0.0558,提示如图4。看来SSM2.0.0558可以运行,但功能不全了。鉴于目前rootkit木马流行,SSM2.0.0558的这个驱动很可能与rootkit的防护有关(猜测而已)。如果真是如此,想同时使用IceSword和SSM的朋友就得作出痛苦的选择了——要么,用较低版本的SSM; 要么,不用IceSword了(但我不忍心丢掉这把“利刃)。
5、至于图1所示的TPF2005报警问题,比较容易解决——将SSM2.0.0558的主程序收入“Trusted”组即可(图5)。别忘了SSM2.0.0558的主程序要选择MD5+路径的双重完整性保护。
注意:据我观察,自SSM2.0.0.555开始,就观察到在SSM运行状态下,可以右键删除C:\WINDOWS\system32\drivers\safemon.sys!这个问题在558仍未解决。汗!还不如病毒作者考虑的周全。图1
