45IT.COM- 电脑学习从此开始!
DIY硬件教程攒机经验装机配置
设计Photoshop网页设计特效
系统注册表DOS系统命令其它
存储主板显卡外设键鼠内存
维修显卡CPU内存打印机
WinXPVistaWin7unix/linux
CPU光驱电源/散热显示器其它
修技主板硬盘键鼠显示器光驱
办公ExcelWordPowerPointWPS
编程数据库CSS脚本PHP
网络局域网QQ服务器
软件网络系统图像安全

Wsyscheck软件使用说明

电脑软硬件应用网 45IT.COM 时间:2008-01-17 09:01 作者:bluefist

功能详细说明:
一、菜单—软件设置
“简洁显示”:
会过滤掉微软文件不显示,方便查找病毒进程、文件和模块。
“校验微软文件签名功能”:
通不过的微软签名验证文件会显示出来。紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数 据库所以结果并不可信。
建议在查找病毒时,打开上面两个选项,查找时比较容易。
“禁止进程与文件创建”:
针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。
开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的 是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。如果在日志页观察到反复写创建文 件,反复写注册表,反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程,需要手动分析一下该进程的模块(配合查看一下活动页的 加载项有助于快速找到木马插入系统进程的模块)。清理文件注册表完成后不要退出“禁止进程与文件创建”,而应直接使用工具下的“重启计算机”,以确保我们 的清理成功。要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
二、菜单-工具:
“清除临时文件”:
删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。
“清除Autorun.inf”:
程序分析各盘根目录下的Autorun.inf指向的文件,删除各盘的Autorun.inf及其指向的文件。清除以Autorun.inf方式启动的木 马,(可配合“禁止进程与文件创建”使用以取得最好的效果)。如果手动清理,操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木 马。在手动删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。清理时完后 检查一下各盘根目录以保证完全清理了Autorun.inf文件。
“修复隐藏文件显示及禁用硬盘自动播放”:
菜单栏太长写不完,本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。
“修复安全模式”:
某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。
“构建安全环境”:
还原SSDT(某些杀软还原SSDT会引起死机,本功能仅测试在Kv系列,Kav6.0下使用没有问题,其它版本请自行测试。如不确定,使用本功能前最好退出杀软进程),只保留系统必须的几个进程,然后执行上述三个子菜单功能。
“重启计算机”:
即先开启禁止“禁止进程与文件创建”后,清理病毒文件,修复注册表完毕,再选择改项,则电脑会在wsyscheck监控下重启。
三、进程管理:清除病毒木马的第一步
红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。
“定位文件”:
使用wsyscheck的文件管理器,锁定目标进程文件。可以快速查看文件的位置和基本信息,可以锁定一切存在的文件。注意,定位没有隐藏属性的文件时,不要选wsyscheck的文件管理器的“仅显示隐藏文件”选项。
“拷贝文件路径”:
拷贝文件的完整路径,配合其他删除工具使用。如菜刀(费尔)、XDELBOX等。
“结束这个进程”:
可以直接结束单个进程。
“结束选择的进程”:
在要结束进程的前面复选,然后同时批量结束所选进程。
"禁止这个程序运行”:
这个功能就是流行的IFEO劫持功能,我们可以使用它来阻止病毒进程的重新加载。此操作的结果参看安全检查-常规检查页的“禁用程序管理”,如果结束木马 进程后反复发现木马启动,可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”,让其不再启动后删除。还可以配合使用“禁止进程与文件创建”让其不 再创建新进程、创建文件无效而清理它。
关于进程文件下半部的窗口,显示的是相关进程所加载的模块列表。这里特别注意查看explorer.exe和iexplore.exe两个进程所注入的非系统模块,病毒模块一般不会放过这两个关键进程。右键点击模块列表中的相应文件,可以进行相关的卸载、删除、改名等操作。
关于“卸载模块”:
对HOOK了系统关键进程的模块卸载可能导致系统重启,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件。
四、内核检查之SSDT检查:这里显示病毒的内核驱动保护。
如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。否则会失败。
SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。
红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。
SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。
使用“恢复所有函数”功能则同时恢复上述两种HOOK。
五、服务管理:
红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。
有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP,而类型是Auto,则它已运行过一次,所以有可能启动了别的木马程序。
查看第三方服务可以点击标题条“文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。
“检查键值保护”:
使用后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
对于检测出的启动项,如果不是十分肯定,可以右键“设为禁用”,让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。不要直接删除服务或文件,删错了很麻烦的。
"删除选中的服务与文件”:在删除文件的同时删除注册表加载项。
六、安全检查-常规检查:
“host查看”:
检查hosts文件是否被恶意修改,一些病毒通过修改hosts文件,来阻止中毒者打开相关的杀毒网站和病毒升级服务器,还屏蔽一些常见的求助网站。
“禁用程序管理”:
目前利用IFEO禁用杀软、启动木马程序是比较流行的。在木马使用IFEO劫持一些杀软后,可以在“禁用程序管理”中恢复被劫持的程序。这个功能就是流行的IFEO劫持功能,当然,我们可以使用它来阻止病毒进程的重新加载。
“注册表键值改动检测”:
检查和修复文件关联。
七、安全检查-活动文件:
红色显示的常规启动项的内容。即开机加载项。病毒木马一般在这里藏匿。
黑色部分内容大多是右键菜单或浏览器等窗口菜单调用的项目,多是一些插件之类的东东。也是病毒木马的藏身之处,要仔细认真的一个一个鉴别。
对于检测出的启动项,如果不是十分肯定,可以定位注册表项,将这个启动程序的路径前加上“;”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。
注意这里的“修复所选项”: - 这个操作是删除当前选定的启动或加载项。
这个页面没有直接删除选定的文件功能,不是很方便。可以使用“定位文件”,然后改名或删除。
八、安全检查-IE 安全:
这里是ie浏览器里加载的一些插件。怀疑的就删除,不会影响系统运行。
九、安全检查-重启删除文件:
驱动加载的情况下,大多数文件都可以立即删除,加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启可观察到文件已消失。
“重启删除”仅作为驱动无法加载情况下使用的一种辅助手段,“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。
如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%systemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。
附: dos删除功能:
对于用以上功能仍删除不了的文件,可以使用Wsyscheck的或“dos删除功能”,使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文 件”,执行后自动清理文件并去掉它所添加的启动项。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。“dos删 除”在多系统情况下可能存在一些问题,请慎用。建议在万不得已必须使用dos删除功能之前,备份重要资料。
十、文件管理:
文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。
应注意的是如果文件本身在回收站内,请使“用直接删除文件”功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个(因为右键“删除”是删除到回收站)。有的病毒文件是在回收站里的。
文件搜索中利用“限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。
选上文件列表下面的“仅显示隐藏文件”,可以更快速的锁定system32等目录下的病毒文件。
十一、注册表管理:
wsyscheck的强大之处在于,这个注册表管理功能一般的时候根本用不到。
但还是简单介绍一下。这个注册表管理功能,比系统自带的regedit要强大,可以看到regedit看不到的隐藏键,可以删除regedit删除不掉的键。类似于冰刃的注册表管理功能

wsyschek进一步使用说明

1:关于Wsyscheck的颜色显示

进程页:

红色表示非微软进程,紫红色表示虽然进程是微软进程,但模块中有非微软的模块。

服务页:

红色表示该服务一不是微软服务,而且该服务是非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。

在使用'校验微软文件的签名'后,紫红色显示未通过微软签名的微软驱动。可以参考是否是假冒微软驱动,注意的是如果紫红色如果显示过多,可能是你使用的系统是网上通常见的Ghost精简版,这些版本可能精简掉了微软签名数据库。

使用'检查键值'后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。

关于如何将第三方服务排列在一起可以点击标题条'文件厂商'排一下序,结合使用'启动类型'、'修改日期'排序更容易观察到新增的木马服务。

SSDT管理页:红色表示内核被HOOK的函数。

2:关于Wsyscheck启动后状态栏的提示'警告!程序驱动未加载成功,一些功能无法完成。'

多数情况下是你的杀软阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。

3:关于卸载模块

对HOOK系统关键进程的模块卸载可能导致系统重启或蓝屏。这与该模块HOOK的函数有关系,所以卸载不了的可以先删除该模块的启动项(或直接使用 Wsyscheck的Dos删除功能),重启动后再删除文件。某些有内核HOOK保护的木马请恢复SSDT后再作注册表删除操作。

4:关于文件删除

进程页可以使用的方法有:

a、先禁止程序运行,再手动删除文件(可以使用Wsyscheck内置文件管理中的直接删除功能)。

附带说一下,解除禁用的程序用'安全检查'页的'禁用程序管理'功能即可,这个功能就是流行的IFEO劫持功能,所以在木马使用IFEO劫持后可以用'禁用程序管理'来恢复被劫持的程序。

b、使用'结束进程并删除文件',Wsyscheck会尝试先更名再删除,目的就是即使删除失败也让程序下次不能启动。

其它的服务管理、文件搜索、及文件管理都有相关的删除操作。文件管理页的删除操作支持畸形目录下的文件删除,注意的是如果文件本身在回收站内,请使用直接 删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个(因为右键'删除'是删除到回收站)

对于用以上功能删除不了的文件,可以使用Wsyscheck的'重启删除'或'dos删除功能',使用'dos删除功能'功能后会在启动菜单中添加一项'删除顽固文件',执行后自动清理文件并去掉它所添加的启动项。

"重启删除"与"Dos删除"可以同时使用。

5:关于如何清理木马的简单方法:

a.如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。

b.如果结束木马进程后反复发现木马启动,可以使用'禁止进程与文件创建'让其不再启动后删除。如果这个方法失效,可以尝试使用'结束进程并删除文件'或'禁止这个程序运行'

c.有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP,而类型是Auto,则它已运行过一次,所以有可能启动了别的木马程序。

d.强烈建议注意一下'禁用程序管理',目前利用IFEO禁用杀软或启动木马程序的木马是比较流行的。

e.活动文件页列出了可能的启动途径,所以耐心一点检查一下是否有木马的启动项目。

f.文件搜索中利用'限制时间'条件来搜索近期产生的文件可能有助于您的清理工作。

g.对于检测出的启动项,如果不是十分肯定,可以定位到注册表,将这个启动程序的路径前加上';'等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。

h.对于以Autorun.inf方式启动的木马,操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在删除 Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。这类木马清理时注意查看一 下各盘根目录以保证完全清理了Autorun.inf文件。

i.对于已确定的木马文件,能直接删除就删除,不能直接删除就找到它的启动项删除启并重启系统让系统不再加载此程序后再做文件删除。如果木马保护的比较好,上述方式失效,可以用DOS删除功能先删文件再清理启动项。

6:关于Wsyscheck的运行方式

Wsyscheck可以带参数运行以提高自身的优先级

Wsyscheck 1 高于标准Wsyscheck 2 高Wsyscheck 3 实时

如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。另外,WdosDel.dat不是 Wsyscheck运行所必须的,删除后将不再显示Dos删除功能。一般情况下'重启删除'已经可以删除大多数的木马文件,所以如携带不便也可以删除 WdosDel.dat
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
无法在这个位置找到: baidushare.htm
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片
你可能感兴趣的文章
推荐知识