軟件介紹

Wsyscheck服務(wù)器版是一款可以支持多種Windows系統(tǒng)的系統(tǒng)檢測(cè)維護(hù)工具，我們可以通過(guò)這款軟件來(lái)對(duì)電腦的進(jìn)程、服務(wù)驅(qū)動(dòng)、注冊(cè)表等重要內(nèi)容進(jìn)行檢測(cè)，從而幫助你尋找到系統(tǒng)上的隱藏漏洞，快速進(jìn)行修復(fù)，讓系統(tǒng)能夠一直保持最佳狀態(tài)。

Wsyscheck服務(wù)器版軟件簡(jiǎn)介

Wsyscheck是一款強(qiáng)大的系統(tǒng)檢測(cè)維護(hù)工具,進(jìn)程和服務(wù)驅(qū)動(dòng)檢查,SSDT強(qiáng)化檢測(cè),文件查詢,注冊(cè)表操作,DOS刪除等一應(yīng)俱全.該作品為wangsea的主打作品,其他比較好的作品還有系統(tǒng)安全盾、syscheck,大家應(yīng)該不會(huì)陌生.特別說(shuō)明一下,SysCheck已經(jīng)不更新了,WSysCheck可以說(shuō)是SysCheck的升級(jí)版或強(qiáng)化版.

功能介紹

1.進(jìn)程管理。

2.內(nèi)核檢查。

3.服務(wù)管理。

4.安全檢查。

5.文件管理。

6.注冊(cè)表管理。

7.軟件設(shè)置/工具。

參數(shù)介紹

Wsyscheck可以帶參數(shù)運(yùn)行以提高自身的優(yōu)先級(jí)

Wsyscheck 1 高于標(biāo)準(zhǔn) Wsyscheck 2 高 Wsyscheck 3 實(shí)時(shí)

例如需要實(shí)時(shí)啟動(dòng)Wsyscheck,可以編輯一個(gè)批處理 RunWs.bat ,內(nèi)容為 Wsyscheck 3

將RunWs.bat與Wsyscheck放在一起，雙擊RunWs.bat即可讓W(xué)syscheck以實(shí)時(shí)優(yōu)先級(jí)啟動(dòng)。

Wsyscheck -f wsyscheck將恢復(fù)部份查詢類(lèi)的SSdt表中的函數(shù),然后退出。

Wsyscheck -s 在-f的基礎(chǔ)上執(zhí)行創(chuàng)建安全環(huán)境后退出。

如將Wsyscheck.exe更名，則Wsyscheck啟動(dòng)后先恢復(fù)執(zhí)行部份查詢類(lèi)的SSdt表中的函數(shù)，其恢復(fù)結(jié)果可以在SSdt顯示頁(yè)下面的Auto Restore中看到。不更名則不帶此功能。另外，更名后Wsyscheck將使用隨機(jī)驅(qū)動(dòng)名來(lái)釋放驅(qū)動(dòng)。

Wsyscheck服務(wù)器版使用說(shuō)明

1:關(guān)于Wsyscheck的顏色顯示

進(jìn)程頁(yè)：

紅色表示非微軟進(jìn)程,紫紅色表示雖然進(jìn)程是微軟進(jìn)程,但模塊中有非微軟的模塊。

服務(wù)頁(yè)：

紅色表示該服務(wù)一不是微軟服務(wù),而且該服務(wù)是非.sys驅(qū)動(dòng)。（最常見(jiàn)的是.exe與.dll的服務(wù)，木馬大多使用這種方式）。

在使用“校驗(yàn)微軟文件的簽名”后，紫紅色顯示未通過(guò)微軟簽名的微軟驅(qū)動(dòng)。(可以參考是否是假冒微軟驅(qū)動(dòng)，注意的是如果紫紅色如果顯示過(guò)多，可能是你使用的系統(tǒng)是網(wǎng)上通常見(jiàn)的Ghost精簡(jiǎn)版，這些版本可能精簡(jiǎn)掉了微軟簽名數(shù)據(jù)庫(kù)。)

使用“檢查鍵值”后，藍(lán)色顯示的是有鍵值保護(hù)的隨系統(tǒng)啟動(dòng)的驅(qū)動(dòng)程序。它們有可能是殺軟的自我保護(hù)，也有可能是木馬的鍵值保護(hù)。

關(guān)于如何將第三方服務(wù)排列在一起可以點(diǎn)擊標(biāo)題條”文件廠商”排一下序，結(jié)合使用“啟動(dòng)類(lèi)型”、“修改日期”排序更容易觀察到新增的木馬服務(wù)。

SSDT管理頁(yè)：紅色表示內(nèi)核被HOOK的函數(shù)。

2:關(guān)于Wsyscheck啟動(dòng)后狀態(tài)欄的提示“警告！程序驅(qū)動(dòng)未加載成功，一些功能無(wú)法完成。”

多數(shù)情況下是你的殺軟阻止了Wsyscheck加載所需的驅(qū)動(dòng)，這種情況下Wsyscheck的功能有一定減弱，但它仍能用不需要驅(qū)動(dòng)的方法來(lái)完成對(duì)系統(tǒng)的修復(fù)。

3:關(guān)于卸載模塊

對(duì)HOOK系統(tǒng)關(guān)鍵進(jìn)程的模塊卸載可能導(dǎo)致系統(tǒng)重啟，這與該模塊HOOK的函數(shù)有關(guān)系，所以卸載不了的可以先刪除該模塊的啟動(dòng)項(xiàng)（或直接使用Wsyscheck的Dos刪除功能），重啟后再刪除文件。某些有內(nèi)核HOOK保護(hù)的木馬請(qǐng)恢復(fù)SSDT后再作注冊(cè)表刪除操作。

4:關(guān)于文件刪除

進(jìn)程頁(yè)可以使用的方法有：

1、先禁止程序運(yùn)行，再手動(dòng)刪除文件（可以使用Wsyscheck內(nèi)置文件管理中的直接刪除功能）。

附帶說(shuō)一下，解除禁用的程序用“安全檢查”頁(yè)的“禁用程序管理”功能即可，這個(gè)功能就是流行的IFEO劫持功能,所以在木馬使用IFEO劫持后可以用“禁用程序管理”來(lái)恢復(fù)被劫持的程序。

2、使用"結(jié)束進(jìn)程并刪除文件”，Wsyscheck會(huì)嘗試先更名再刪除，目的就是即使刪除失敗也讓程序下次不能啟動(dòng)。

其它的服務(wù)管理、文件搜索、及文件管理都有相關(guān)的刪除操作。文件管理頁(yè)的刪除操作支持畸形目錄下的文件刪除，注意的是如果文件本身在回收站內(nèi)，請(qǐng)使用直接刪除功能�；蛘呤褂眉羟泄δ軐⑺鼜�(fù)制到另一個(gè)地方。否則你可能看到回收站內(nèi)的文件刪除了這個(gè)又添加了那個(gè)（因?yàn)橛益I“刪除”是刪除到回收站）

對(duì)于用以上功能刪除不了的文件，可以使用Wsyscheck的“重啟刪除”或“dos刪除功能”，使用“dos刪除功能”功能后會(huì)在啟動(dòng)菜單中添加一項(xiàng)“刪除頑固文件”，執(zhí)行后自動(dòng)清理文件并去掉它所添加的啟動(dòng)項(xiàng)。

“重啟刪除”與“Dos刪除”可以同時(shí)使用。

5:關(guān)于如何清理木馬的簡(jiǎn)單方法：

a.如果SSDT管理中有木馬模塊在工作,請(qǐng)先恢復(fù)SSDT,再在服務(wù)管理頁(yè)清理木馬的服務(wù)及文件。

b.如果結(jié)束木馬進(jìn)程后反復(fù)發(fā)現(xiàn)木馬啟動(dòng)，可以使用“禁止進(jìn)程與文件創(chuàng)建”讓其不再啟動(dòng)后刪除。如果這個(gè)方法失效，可以嘗試使用“結(jié)束進(jìn)程并刪除文件”或“禁止這個(gè)程序運(yùn)行”。

c.有些木馬利用服務(wù)啟動(dòng)，請(qǐng)注意一下并判斷一下服務(wù)頁(yè)中的紅色顯示程序。如果狀態(tài)是STOP，而類(lèi)型是Auto，則它已運(yùn)行過(guò)一次，所以有可能啟動(dòng)了別的木馬程序。

d.強(qiáng)烈建議注意一下“禁用程序管理”，利用IFEO禁用殺軟或啟動(dòng)木馬程序的木馬是比較流行的。

e.活動(dòng)文件頁(yè)列出了可能的啟動(dòng)途徑，所以耐心一點(diǎn)檢查一下是否有木馬的啟動(dòng)項(xiàng)目。

f.文件搜索中利用“限制時(shí)間”條件來(lái)搜索產(chǎn)生的文件可能有助于您的清理工作。

g.對(duì)于檢測(cè)出的啟動(dòng)項(xiàng)，如果不是十分肯定，可以定位到注冊(cè)表，將這個(gè)啟動(dòng)程序的路徑前加上“；”等字符讓其下次不啟動(dòng)再觀察系統(tǒng)是否正常以判斷它是否是一個(gè)木馬程序。

h.對(duì)于以Autorun.inf方式啟動(dòng)的木馬，操作中盡量使用Wsyscheck內(nèi)置的文件管理操作以防雙擊盤(pán)符再次激活木馬。在刪除Autorun.inf文件前用Wsyscheck的文件管理中打開(kāi)這個(gè)文件查看木馬啟動(dòng)的具體位置有利于您快速找到木馬文件。這類(lèi)木馬清理時(shí)注意查看一下各盤(pán)根目錄以保證完全清理了Autorun.inf文件。

i.對(duì)于已確定的木馬文件，能直接刪除就刪除，不能直接刪除就找到它的啟動(dòng)項(xiàng)刪除啟并重啟系統(tǒng)讓系統(tǒng)不再加載此程序后再做文件刪除。如果木馬保護(hù)的比較好，上述方式失效,可以用DOS刪除功能先刪文件再清理啟動(dòng)項(xiàng)。

6:關(guān)于禁止其它程序運(yùn)行的功能：

Wsyscheck采用的原理是映像劫持，如禁止記事本打開(kāi)，注冊(cè)表中如下：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]

"Debugger"="DisabledRun"

以后運(yùn)行記事本時(shí)就會(huì)提示無(wú)法找到。該軟件缺少恢復(fù)被禁用程序的功能，只能手動(dòng)來(lái)清除，即找到注冊(cè)表Image File Execution Options下的相應(yīng)項(xiàng)直接刪除就行。