wsyscheck是一款非常好用的系統(tǒng)檢測軟件�,有了它以后��,用戶就可以對正在運行的程序和進(jìn)程進(jìn)行檢測和管理了���,還可以進(jìn)行病毒的檢測與文件的刪除,歡迎有需要的朋友到綠色資源網(wǎng)下載使用!
官方介紹
Wsyscheck一款強大的系統(tǒng)檢測維護(hù)工具�,進(jìn)程和服務(wù)驅(qū)動檢查�����,SSDT強化檢測��,注冊表操作�,文件查詢��,DOS刪除等一應(yīng)俱全���。Wsyscheck為wangsea近期的主打作品����,深山紅葉系出自他之手�����。其他比較好的作品還有系統(tǒng)安全盾��、syscheck�,大家應(yīng)該不會陌生。一般來說��,對病毒體的判斷主要可以采用查看路徑,查看文件名����,查看文件創(chuàng)建日期��,查看文件廠商�,微軟文件校驗,查看啟動項等方法���,syschck在這些方面均盡量簡化操作���,提供相關(guān)的數(shù)據(jù)供您分析。最終判斷并清理木馬取決際您個人的分析及對Wsyscheck基本功能的熟悉程度���。
軟件功能特色
1.軟件設(shè)置中的模塊����、服務(wù)簡潔顯示
簡潔顯示會過濾所微軟文件�����,但在使用了“校驗微軟文件簽名”功能后��,通不過的微軟文件也會顯示出來。
SSDt右鍵“全部顯示”是默認(rèn)動作����,當(dāng)取消這個選項后,則僅顯示SSDT表中已更改的項目��。
2.SSDT管理頁:
默認(rèn)顯示全部的SSDT表�����,紅色表示內(nèi)核被HOOK的函數(shù)�����。查看第三方模塊�����,可以點擊兩次標(biāo)簽“映像路徑”排序�����,則第三方HOOK的模塊會排在一起列在最前面����。也可以取消“全部顯示”,則僅顯示入口改變了的函數(shù)。
SSDT頁的“代碼異常”欄如顯示“YES”,表明該函數(shù)被Inline Hook�。如果一個函數(shù)同時存在代碼HOOK與地址HOOK,則對應(yīng)的模塊路徑顯示的是Inline Hook的路徑,而使用“恢復(fù)當(dāng)前函數(shù)代碼”功能只恢復(fù)Inline Hook�,路徑將顯示為地址HOOK的模塊路徑,再使用“恢復(fù)當(dāng)前函數(shù)地址”功能就恢復(fù)到默認(rèn)的函數(shù)了���。
使用“恢復(fù)所有函數(shù)”功能則同時恢復(fù)上述兩種HOOK��。
發(fā)現(xiàn)木馬修改了SSDT表時請先恢復(fù)SSDT,再作注冊表刪除等操作�����。
3.關(guān)于Wsyscheck的顏色顯示
進(jìn)程頁:
紅色表示非微軟進(jìn)程,紫紅色表示雖然進(jìn)程是微軟進(jìn)程,但其模塊中有非微軟的文件�。
服務(wù)頁:
紅色表示該服務(wù)不是微軟服務(wù),且該服務(wù)非.sys驅(qū)動。(最常見的是.exe與.dll的服務(wù)�,木馬大多使用這種方式)。
使用“檢查鍵值”后�����,藍(lán)色顯示的是有鍵值保護(hù)的隨系統(tǒng)啟動的驅(qū)動程序�����。它們有可能是殺軟的自我保護(hù),也有可能是木馬的鍵值保護(hù)���。
在取消了“模塊�����、服務(wù)簡潔顯示”后��,查看第三方服務(wù)可以點擊標(biāo)題條”文件廠商”排序�,結(jié)合使用“啟動類型”�����、“修改日期”排序更容易觀察到新增的木馬服務(wù)��。
進(jìn)程頁中查看模塊與服務(wù)頁中查看服務(wù)描述可以使用鍵盤的上下鍵控制����。
在使用“軟件設(shè)置”-“校驗微軟文件簽名”后,紫紅色顯示未通過微軟簽名的文件���。同時�����,在各顯示欄的"微軟文件校驗"會顯示Pass與no pass��。(可以據(jù)此參考是否是假冒微軟文件�,注意的是如果紫紅色顯示過多,可能是你的系統(tǒng)是網(wǎng)上常見的ghost精簡版��,這些版本可能精簡掉了微軟簽名數(shù)據(jù)庫所以結(jié)果并不可信)
活動文件頁:
紅色顯示的常規(guī)啟動項的內(nèi)容��。
使用說明
1.關(guān)于卸載模塊
對HOOK了系統(tǒng)關(guān)鍵進(jìn)程的模塊卸載可能導(dǎo)致系統(tǒng)重啟��,這與該模塊的寫法有關(guān)系��,所以卸載不了的模塊不要強求卸載���,可以先刪除該模塊的啟動項或文件(驅(qū)動加載情況下使用刪除后重啟文件即消失)。
2.關(guān)于Wsyscheck啟動后狀態(tài)欄的提示“警告!程序驅(qū)動未加載成功�����,一些功能無法完成��?���!?/strong>
多數(shù)情況下是安全軟件阻止了Wsyscheck加載所需的驅(qū)動�����,這種情況下Wsyscheck的功能有一定減弱�,但它仍能用不需要驅(qū)動的方法來完成對系統(tǒng)的修復(fù)����。
驅(qū)動加載成功的情況下,對于木馬文件可以直接使用Wsyscheck中各頁中的刪除文件功能,本功能帶有“直接刪除”運行中的文件的功能。
3.關(guān)于文件刪除
驅(qū)動加載的情況下,Wsyscheck的刪除功能已經(jīng)夠用了,大多數(shù)文件都可以立即刪除(進(jìn)程模塊可以直接使用右鍵下帶刪除的各項功能),加載的dll文件刪除后雖然文件仍然可見����,但事實上已刪除,重啟后該文件消失�����。
文件管理頁的“刪除”操作是刪除文件到回收站����,支持畸形目錄下的文件刪除。應(yīng)注意的是如果文件本身在回收站內(nèi)��,請使用直接刪除功能��?��;蛘呤褂眉羟泄δ軐⑺鼜?fù)制到另一個地方�����。否則你可能看到回收站內(nèi)的文件刪除了這個又添加了那個��。
Wsyscheck的或“dos刪除功能”需要單獨下載Wsyscheck的附加模塊文件WDosDel.dat,將此文件與Wsyscheck放在一起會顯示出相關(guān)頁面����,添加待刪除文件并重啟,啟動菜單中將出現(xiàn)“刪除頑固文件”字樣�,選擇后轉(zhuǎn)入Dos刪除文件。在某些機(jī)器上���,若執(zhí)行“dos刪除”重啟后系統(tǒng)報告文件損壞要修復(fù)(此時修復(fù)會造成文件系統(tǒng)的真正損壞)�,此時請不要修復(fù)而是立即關(guān)閉主機(jī)電源�,重新開機(jī)����。(這種情況是Dos刪除所帶的NTFS支持軟件本身的BUG造成的,并不需要真正的修復(fù)����,只需關(guān)閉電源重新開機(jī)即可����。)
“重啟刪除”與“Dos刪除”可以同時使用����。其列表都可以手動編輯,一行一個文件路徑即可。關(guān)閉程序時如果上述兩者之一存在刪除列表����,會問詢是否執(zhí)行。
注意���,為避免病毒程序守護(hù)�����,Wsyscheck可以在刪除某些文件時可能會采取0字節(jié)文件占位的方式來確保刪除���。這些0字節(jié)文件在Wsyscheck退出后會被自動清理。是否采用此方式依賴于“軟件設(shè)置”下的“刪除文件后鎖定”選項是否勾選�。
如果需要對刪除的文件備份,先啟用軟件設(shè)置下的“刪除文件前備份文件”,它將在刪除前將文件備份到%SystemDrive%\VirusBackup目錄中����,且將文件名添加.vir后綴以免誤執(zhí)行����。
4.關(guān)于進(jìn)程的結(jié)束后的反復(fù)創(chuàng)建
如果確系木馬文件,可選擇結(jié)束進(jìn)程并刪除文件,這樣的話Wsyscheck會將其結(jié)束并刪除文件�����。但有時因為木馬有關(guān)聯(lián)進(jìn)程未同時結(jié)束�����,會重新加載木馬文件�����。這時我們可以選擇“軟件設(shè)置”下的“刪除文件后鎖定”�����。這時當(dāng)結(jié)束進(jìn)程并刪除文件后Wsyscheck將創(chuàng)建0字節(jié)的鎖定文件防止木馬再生����。
也可以使用進(jìn)程頁的“禁止程序運行”�,這個功能就是流行的IFEO劫持功能,我們可以使用它來屏蔽一些結(jié)束后又自動重新啟動的程序�。通過禁用它的執(zhí)行來清理文件����。解除禁用的程序用“安全檢查”頁的“禁用程序管理”功能��,所以在木馬使用IFEO劫持后也可以“禁用程序管理”中恢復(fù)被劫持的程序�。
軟件設(shè)置下的“禁止進(jìn)程與文件創(chuàng)建”功能是針對木馬的反復(fù)啟動,反復(fù)創(chuàng)建文件�����,反復(fù)寫注冊表啟動項進(jìn)行監(jiān)視或阻止,使用本功能后能更清松地刪除木馬文件及注冊表啟動項�。開啟禁止“禁止進(jìn)程與文件創(chuàng)建”后會自動添加“監(jiān)控日志”頁,取消后該頁消失�����?�?梢杂^察一下日志情況以便從所阻止的動作中找到比較隱藏的木馬文件���。注意的是�,如果木馬插入系統(tǒng)進(jìn)程�����,則反映的日志是阻止系統(tǒng)進(jìn)程的動作,你需要自我分辨該動作是否有害并分析該進(jìn)程的模塊文件��。
要保留日志請在取消前Ctrl+A全選后復(fù)制���。注意,為防止日志過多,滿1000條后自動刪除前400條日志���。
對于反復(fù)寫注冊表啟動項無法修復(fù)的情況,可以先用“禁止進(jìn)程與文件創(chuàng)建”找出覆寫該注冊表項的進(jìn)程����,針對木馬插入的線程進(jìn)行掛起,再修復(fù)注冊表�。
懶于查看分析,不想太麻煩的話����,可以先刪除文件(直接刪除、重啟刪除)�����,待重啟之后再修復(fù)注冊表��。
5.關(guān)于批量處理
各頁中可嘗試用Ctrl,Shift多選再執(zhí)行相關(guān)的功能。
文件搜索中的“保存文件列表”導(dǎo)出搜索結(jié)果列表1�����,在PE啟動后再執(zhí)行一次得到結(jié)果2,將結(jié)果1與結(jié)果2相比較�����,可以用來對付某些Wsyscheck檢測不出深度隱藏的RootKit����。
6.:關(guān)于如何清理木馬的簡單方法:
1: 勾選“軟件設(shè)置”下的“刪除文件后鎖定”以阻止文件再生���。
2: 批量選擇病毒進(jìn)程�����,使用“結(jié)束進(jìn)程并刪除文件”��。
3: 插入到進(jìn)程中的模塊多不可怕��,全局鉤子在各進(jìn)程中通常都是相同的�,處理進(jìn)程的模塊即可���。建議采用“直接刪除模塊文件”���,本功能執(zhí)行后看不到變化����,但文件其實已經(jīng)刪除�。不建議使用“卸載模塊”功能(為保險也可以與“重啟刪除”聯(lián)用),原因是卸載系統(tǒng)進(jìn)程中的模塊時有可能造成系統(tǒng)重啟而前功盡棄�。
4: 執(zhí)行“清理臨時文件”、“清除Autorun.inf”
5:在安全檢查中可以修復(fù)的修復(fù)一下��。不強求����,重啟后再執(zhí)行二次清理。
6: 重啟機(jī)器��,大部份的病毒應(yīng)該可以搞定了�����。此時再次檢查����,發(fā)現(xiàn)還有少量的頑固病毒才使用“禁用”“線程”“卸載”“重啟刪除”“Dos刪除”等方法����。
7: 清理完后切換到文件搜索頁���,限制文件大小為50K左右,去除“排除微軟文件的勾”搜索最近一周的新增的文件�����,從中選出病毒尸體文件刪除�。
Wsyscheck可以使用的參數(shù)說明:
Wsyscheck可以帶參數(shù)運行以提高自身的優(yōu)先級
Wsyscheck 1 高于標(biāo)準(zhǔn) Wsyscheck 2 高 Wsyscheck 3 實時
例如需要實時啟動Wsyscheck,可以編輯一個批處理 RunWs.bat ,內(nèi)容為 Wsyscheck 3
將RunWs.bat與Wsyscheck放在一起,雙擊RunWs.bat即可讓W(xué)syscheck以實時優(yōu)先級啟動��。
Wsyscheck -f wsyscheck將恢復(fù)部份查詢類的SSdt表中的函數(shù),然后退出����。
Wsyscheck -s 在-f的基礎(chǔ)上執(zhí)行創(chuàng)建安全環(huán)境后退出。
如將Wsyscheck.exe更名����,則Wsyscheck啟動后先恢復(fù)執(zhí)行部份查詢類的SSdt表中的函數(shù),其恢復(fù)結(jié)果可以在SSdt顯示頁下面的Auto Restore中看到�����。不更名則不帶此功能。另外��,更名后Wsyscheck將使用隨機(jī)驅(qū)動名來釋放驅(qū)動���。
隨手工具說明(指菜單工具下的子菜單功能)
一般看其意即識其意,僅對部份子項說明:
清除臨時文件:刪除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件�。
禁用硬盤自動播放:本功能還包括磁盤無法雙擊打開故障�����。注意�,某些故障修復(fù)后可能需要注銷或重啟才能生效。
修復(fù)安全模式:某些木馬會破壞安全模式的鍵值導(dǎo)致無法進(jìn)入安全模式�����,本功能先備份當(dāng)前安全模式鍵值再恢復(fù)默認(rèn)的安全模式鍵值�����。
網(wǎng)友評分:8 
