应用介绍
功能介绍:
1、软件设置中的模块、服务简明显示
简明显示会过滤所微软文件,但在使用了校验微软文件签名功能后,通不过的微软文件也会显示出来
SSDt右键全部显示是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目
2、对于Wsyscheck的颜色显示
进程页:红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件
服务页:红色表示该服务不是微软服务,且该服务非.sys驱动。(最常用的是.exe和.dll的服务,木马大多使用这种方式)。
右键使用检测键值后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
在取消了模块、服务简明显示后,查看第三方服务可以点击标题条文件厂商排序,结合使用启动类型、修改日期排序更容易观察到新增的木马服务
进程页中查看模块和服务页中查看服务描述可以使用键盘的上下键控制。
在使用软件设置-校验微软文件签名后,紫红色显示未使用微软签名的文件。同时,在各显示栏的微软文件校验会显示Pass和no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常用的Ghost精简版,这些版本可能精简掉了微软签名数据库因此结果并不可信)
SSDT管理页:默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签映像路径排序,则第三方HOOK的模块会排在一起列在最前面。还可以取消全部显示,则仅显示入口改变了的函数。
活动文件页:红色显示的常规启动项的内容。
3、对于Wsyscheck启动后状态栏的提示警告!程序驱动未加载成功,一些功能无法完成。
多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。
驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能配置直接删除运行中的文件的功能。
4、对于卸载模块
对HOOK了系统关键进程的模块卸载可能导致系统重启,这和该模块的写法有关系,因此卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。
5、对于文件删除
驱动加载的情况下,Wsyscheck的删除功能已经够用了,几乎所有文件都能即刻删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件依旧可见,但事实上已删除,重启后该文件消失。
6、对于进程的结束后的反复创建
如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。但有时因为木马有关联进程未同时结束,会重新加载木马文件。这个时候小伙伴们可以选择软件设置下的删除文件后锁定。这个时候当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件避免木马再生。
使用方法:
1、进程管理,可以查看系统正在运行的程序
2、内核检测,深入扫描系统文件
3、服务管理,可以查看后台的运行软件,并强制关闭
4、安全检测,进行系统病毒扫描模式
5、文件管理,可以对指定的文件进行安全管理
使用说明:
1: 选择软件设置下的删除文件后锁定以阻止文件再生
2: 批量选择病毒进程,使用结束进程并删除文件
3: 插入到进程中的模块多不可怕,全局钩子在各进程中平常都是相同的,处理进程的模块即可
4: 执行清理临时文件、清除Autorun.inf
5:在安全检测中可以修复的修复一下。不强求,重启后再执行二次清理。
6: 重启机器,大部份的病毒应该可以搞定了。这个时候再次检测,发现还具有少量的顽固病毒才使用禁用线程卸载重启删除Dos删除等方法
7: 清理完后切换到文件搜索页,限制文件大小为50K左右,去除排除微软文件的勾搜索最近一周的新增的文件,从中选出病毒尸体文件删除
wsyscheck系统检测维护工具支持win7等系统,这款软件功能完善,使用简单,有需要的小伙伴们千万不要错过哦。
