Wsyscheck是一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等一应俱全.该作品为wangsea的主打作品,其他比较好的作品还有系统安全盾、syscheck,大家应该不会陌生.特别说明一下,SysCheck已经不更新了,WSysCheck可以说是SysCheck的升级版或强化版.
使用说明及功能
1:关于Wsyscheck的颜色显示
进程页:
红色表示非微软进程,紫红色表示虽然进程是微软进程,但模块中有非微软的模块。
服务页:
红色表示该服务一不是微软服务,而且该服务是非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。
在使用“校验微软文件的签名”后,紫红色显示未通过微软签名的微软驱动。(可以参考是否是假冒微软驱动,注意的是如果紫红色如果显示过多,可能是你使用的系统是网上通常见的Ghost精简版,这些版本可能精简掉了微软签名数据库。)
使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
关于如何将第三方服务排列在一起可以点击标题条”文件厂商”排一下序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。
SSDT管理页:红色表示内核被HOOK的函数。
2:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。”
多数情况下是你的杀软阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。
3:关于卸载模块
对HOOK系统关键进程的模块卸载可能导致系统重启,这与该模块HOOK的函数有关系,所以卸载不了的可以先删除该模块的启动项(或直接使用Wsyscheck的Dos删除功能),重启后再删除文件。某些有内核HOOK保护的木马请恢复SSDT后再作注册表删除操作。
4:关于文件删除
进程页可以使用的方法有:
1、先禁止程序运行,再手动删除文件(可以使用Wsyscheck内置文件管理中的直接删除功能)。
附带说一下,解除禁用的程序用“安全检查”页的“禁用程序管理”功能即可,这个功能就是流行的IFEO劫持功能,所以在木马使用IFEO劫持后可以用“禁用程序管理”来恢复被劫持的程序。
2、使用"结束进程并删除文件”,Wsyscheck会尝试先更名再删除,目的就是即使删除失败也让程序下次不能启动。
其它的服务管理、文件搜索、及文件管理都有相关的删除操作。文件管理页的删除操作支持畸形目录下的文件删除,注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个(因为右键“删除”是删除到回收站)
对于用以上功能删除不了的文件,可以使用Wsyscheck的“重启删除”或“dos删除功能”,使用“dos删除功能”功能后会在启动菜单中添加一项“删除顽固文件”,执行后自动清理文件并去掉它所添加的启动项。
“重启删除”与“Dos删除”可以同时使用。
5:关于如何清理木马的简单方法:
a.如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。
b.如果结束木马进程后反复发现木马启动,可以使用“禁止进程与文件创建”让其不再启动后删除。如果这个方法失效,可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”。
c.有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP,而类型是Auto,则它已运行过一次,所以有可能启动了别的木马程序。
d.强烈建议注意一下“禁用程序管理”,利用IFEO禁用杀软或启动木马程序的木马是比较流行的。
e.活动文件页列出了可能的启动途径,所以耐心一点检查一下是否有木马的启动项目。
f.文件搜索中利用“限制时间”条件来搜索产生的文件可能有助于您的清理工作。
g.对于检测出的启动项,如果不是十分肯定,可以定位到注册表,将这个启动程序的路径前加上“;”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。
h.对于以Autorun.inf方式启动的木马,操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。这类木马清理时注意查看一下各盘根目录以保证完全清理了Autorun.inf文件。
i.对于已确定的木马文件,能直接删除就删除,不能直接删除就找到它的启动项删除启并重启系统让系统不再加载此程序后再做文件删除。如果木马保护的比较好,上述方式失效,可以用DOS删除功能先删文件再清理启动项。
6:关于禁止其它程序运行的功能:
Wsyscheck采用的原理是映像劫持,如禁止记事本打开,注册表中如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
"Debugger"="DisabledRun"
以后运行记事本时就会提示无法找到。该软件缺少恢复被禁用程序的功能,只能手动来清除,即找到注册表Image File Execution Options下的相应项直接删除就行。
凡注有"天津滨海网"或电头为"天津滨海网"的稿件,均为天津滨海网独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"天津滨海网",并保留"天津滨海网"的电头。