作者：网络安全日志(www.nslog.cn)
    日期：2006/9/27   （ 转载请保留此申明) 

      清除流氓软件，很多时候就会发觉文件没有办法删除，平常的情况下也会遇到，删除文件的时候会提示“文件正在被使用”，或者提示删除了，但是一刷新，它又在那里了。而有一些文件根本就看不见，无论是通过资源管理器还是其它方式都看不到，更就没有办法删除了。下面我们就来探讨一下这个问题。

     首先分析一下，在windows下，一个正常共享打开或被使用的文件，是不能被删除的。当删除的时候，会提示“无法删除，文件正在被使用”。常见的就是流氓软件的各种.dll或者.exe进程或者.sys驱动文件。所以删除文件之前，需要解除使用这个文件的句柄或者加载它的.exe进程。

    下面就介绍今天的主角上场：unlocker和icesword，看看它们都有什么绝招：

一、unlocker
       下载地址： http://umipku.googlepages.com/Unlocker.rar   44K
        安     装：   解开到一个目录，然后运行一下里面那个install.bat便可。
        介    绍：   这是一个非常优秀、小巧，功能强大的文件删除工具。大部分正常情况下都可以把.dll, exe等文件删除掉。它可以关掉使用文件的句柄(正常文件），杀掉进程(.dll)，Unload DLL,.还有一点，它是免费的。         
        使    用：    安装完了之后，以后要使用的时候，在需要删除的文件或者目录上点右键，在菜单中选择“Unlocker”。这时如果它检测到文件/目录被其它进程锁了，就会有一个列表的窗口出来，显示当前锁定或使用这个文件/目录的进程。那个Action动作选择“删除”，再点一下那个“Unlock All”就可以了。是不是很简单？
        如果这个文件被一些核心进程占用或者保护，它会提示要等下一次启动的时候再删除，这时点确定就可以了。大多数情况下，是不需要重启的。

二、IceSword （冰刀）
       此软件在“清除流氓软件的第一利器(IceSword)”（http://hi.baidu.com/nslog/blog/item/14bc35dbac337866d1164e21.html）已经介绍得非常清楚了。这里主要强调它的一个功能：文件操作功能。

       现在很多流氓软件都是通过内核来加载，象CNNIC中文上网的cdnprot.sys,3721的CnsMinKP.sys，它加载后，为了保证软件不被删除，就监视所有的文件、注册表删除操作，如果发现是删除这些文件，就直接返回一个true,这样Windows以为已经删除了，但是文件还在那里。

       再有一些做得更绝，它会把文件隐藏起来。这个隐藏是基于内核级的，不是通过打开资源管理器里面的“显示隐藏文件”选项就能看到的。象TotalCommand有时也发现不了。针对这些文件，Unlocker也是无药可施的。即使是Windows提供的重启删除机制，也被这些流氓软件给破了。

      好在“魔高一尺，道高一丈”。现在有IceSword这个利器，目前是这类软件中最有效的，也是我所知唯一能删除各种驱动保护文件的，而不需要重启操作系统或者装一个DOS之类多操作系统来完成。

      使用方法： 很简单，通过它的“文件”，然后象资源管理器一样，找到相应的文件，然后点右键——删除便可。如果是.exe的文件本身在运行，要先通过它的进程管理器来杀掉，然后再删除。

      删除顽固文件千千万，拥有unlocker和icesword，别无所求！其它类似软件象CopyLock, KillBox等都试过，但都有这样那样的缺点。Unlocker和IceSword分工协作，可以完成目前所知的所有流氓软件清除工作。我在以后写的所有清除流氓软件的文件，都会使用到这两个软件。

     用一下，很简单，流氓不可怕！如果有删不掉的文件或者其它方法，请留言。
     （本文主要针对流氓软件的特征，并没有太多考虑如Windows系统漏洞等特殊情况。）