進(jìn)程掃描判斷工具(Wsyscheck)1.67.3.0 中文綠色版

1:軟件設(shè)置中的模塊、服務(wù)簡(jiǎn)潔顯示

  簡(jiǎn)潔顯示會(huì)過(guò)濾所微軟文件，但在使用了“校驗(yàn)微軟文件簽名”功能后，通不過(guò)的微軟文件也會(huì)顯示出來(lái)。
  SSDt右鍵“全部顯示”是默認(rèn)動(dòng)作，當(dāng)取消這個(gè)選項(xiàng)后，則僅顯示SSDT表中已更改的項(xiàng)目。
 
2:關(guān)于Wsyscheck的顏色顯示

進(jìn)程頁(yè)：

  紅色表示非微軟進(jìn)程,紫紅色表示雖然進(jìn)程是微軟進(jìn)程,但其模塊中有非微軟的文件。

服務(wù)頁(yè)：

  紅色表示該服務(wù)不是微軟服務(wù),且該服務(wù)非.sys驅(qū)動(dòng)。（最常見(jiàn)的是.exe與.dll的服務(wù)，木馬大多使用這種方式）。

  使用“檢查鍵值”后，藍(lán)色顯示的是有鍵值保護(hù)的隨系統(tǒng)啟動(dòng)的驅(qū)動(dòng)程序。它們有可能是殺軟的自我保護(hù)，也有可能是木馬的鍵值保護(hù)。

  在取消了“模塊、服務(wù)簡(jiǎn)潔顯示”后，查看第三方服務(wù)可以點(diǎn)擊標(biāo)題條”文件廠商”排序，結(jié)合使用“啟動(dòng)類(lèi)型”、“修改日期”排序更容易觀察到新增的木馬服務(wù)。

  進(jìn)程頁(yè)中查看模塊與服務(wù)頁(yè)中查看服務(wù)描述可以使用鍵盤(pán)的上下鍵控制。

  在使用“軟件設(shè)置”-“校驗(yàn)微軟文件簽名”后，紫紅色顯示未通過(guò)微軟簽名的文件。同時(shí)，在各顯示欄的"微軟文件校驗(yàn)"會(huì)顯示Pass與no pass。(可以據(jù)此參考是否是假冒微軟文件，注意的是如果紫紅色顯示過(guò)多，可能是你的系統(tǒng)是網(wǎng)上常見(jiàn)的Ghost精簡(jiǎn)版，這些版本可能精簡(jiǎn)掉了微軟簽名數(shù)據(jù)庫(kù)所以結(jié)果并不可信)

SSDT管理頁(yè)：

  默認(rèn)顯示全部的SSDT表，紅色表示內(nèi)核被HOOK的函數(shù)。查看第三方模塊，可以點(diǎn)擊兩次標(biāo)簽“映像路徑”排序，則第三方HOOK的模塊會(huì)排在一起列在最前面。也可以取消“全部顯示”,則僅顯示入口改變了的函數(shù)。

  SSDT頁(yè)的“代碼異常”欄如顯示“YES”,表明該函數(shù)被Inline Hook。如果一個(gè)函數(shù)同時(shí)存在代碼HOOK與地址HOOK,則對(duì)應(yīng)的模塊路徑顯示的是Inline Hook的路徑，而使用“恢復(fù)當(dāng)前函數(shù)代碼”功能只恢復(fù)Inline Hook，路徑將顯示為地址HOOK的模塊路徑，再使用“恢復(fù)當(dāng)前函數(shù)地址”功能就恢復(fù)到默認(rèn)的函數(shù)了。
 
  使用“恢復(fù)所有函數(shù)”功能則同時(shí)恢復(fù)上述兩種HOOK。

  發(fā)現(xiàn)木馬修改了SSDT表時(shí)請(qǐng)先恢復(fù)SSDT，再作注冊(cè)表刪除等操作。

活動(dòng)文件頁(yè)：

  紅色顯示的常規(guī)啟動(dòng)項(xiàng)的內(nèi)容。

3:關(guān)于Wsyscheck啟動(dòng)后狀態(tài)欄的提示“警告！程序驅(qū)動(dòng)未加載成功，一些功能無(wú)法完成。”

  多數(shù)情況下是安全軟件阻止了Wsyscheck加載所需的驅(qū)動(dòng)，這種情況下Wsyscheck的功能有一定減弱，但它仍能用不需要驅(qū)動(dòng)的方法來(lái)完成對(duì)系統(tǒng)的修復(fù)。

  驅(qū)動(dòng)加載成功的情況下,對(duì)于木馬文件可以直接使用Wsyscheck中各頁(yè)中的刪除文件功能,本功能帶有“直接刪除”運(yùn)行中的文件的功能。

4:關(guān)于卸載模塊

  對(duì)HOOK了系統(tǒng)關(guān)鍵進(jìn)程的模塊卸載可能導(dǎo)致系統(tǒng)重啟，這與該模塊的寫(xiě)法有關(guān)系，所以卸載不了的模塊不要強(qiáng)求卸載，可以先刪除該模塊的啟動(dòng)項(xiàng)或文件(驅(qū)動(dòng)加載情況下使用刪除后重啟文件即消失)。

5:關(guān)于文件刪除

  驅(qū)動(dòng)加載的情況下,Wsyscheck的刪除功能已經(jīng)夠用了,大多數(shù)文件都可以立即刪除(進(jìn)程模塊可以直接使用右鍵下帶刪除的各項(xiàng)功能),加載的DLL文件刪除后雖然文件仍然可見(jiàn)，但事實(shí)上已刪除，重啟可觀察到文件已消失。

  文件管理頁(yè)的“刪除”操作是刪除文件到回收站，支持畸形目錄下的文件刪除。應(yīng)注意的是如果文件本身在回收站內(nèi)，請(qǐng)使用直接刪除功能�；蛘呤褂眉羟泄δ軐⑺鼜�(fù)制到另一個(gè)地方。否則你可能看到回收站內(nèi)的文件刪除了這個(gè)又添加了那個(gè)（因?yàn)橛益I“刪除”是刪除到回收站）。

  對(duì)于用以上功能仍刪除不了的文件，可以使用Wsyscheck的或“dos刪除功能”，使用“dos刪除”功能后會(huì)在啟動(dòng)菜單中添加一項(xiàng)“刪除頑固文件”，執(zhí)行后自動(dòng)清理文件并去掉它所添加的啟動(dòng)項(xiàng)�！癲os刪除”在多系統(tǒng)情況下可能存在一些問(wèn)題，請(qǐng)慎用。本功能需要將輔件Wdosdel.dat與Wsyscheck放在一起才會(huì)顯示相關(guān)頁(yè)面。

  “重啟刪除”僅作為驅(qū)動(dòng)無(wú)法加載情況下使用的一種輔助手段，“重啟刪除”與“Dos刪除”可以同時(shí)使用。其列表都可以手動(dòng)編輯,一行一個(gè)文件路徑即可。關(guān)閉程序時(shí)如果上述兩者之一存在刪除列表，會(huì)問(wèn)詢(xún)是否執(zhí)行。

  如果需要對(duì)刪除的文件備份,先啟用軟件設(shè)置下的“刪除文件前備份文件”，它將在刪除前將文件備份到%SystemDrive%\VirusBackup目錄中，且將文件名添加.vir后綴以免誤執(zhí)行。

6:關(guān)于進(jìn)程的結(jié)束后的反復(fù)創(chuàng)建

  可以使用進(jìn)程頁(yè)的“禁止程序運(yùn)行”，這個(gè)功能就是流行的IFEO劫持功能，我們可以使用它來(lái)屏蔽一些結(jié)束后又自動(dòng)重新啟動(dòng)的程序。通過(guò)禁用它的執(zhí)行來(lái)清理文件。解除禁用的程序用“安全檢查”頁(yè)的“禁用程序管理”功能，,所以在木馬使用IFEO劫持后也可以“禁用程序管理”中恢復(fù)被劫持的程序。

  另外，軟件設(shè)置下的“禁止進(jìn)程與文件創(chuàng)建”功能是針對(duì)木馬的反復(fù)啟動(dòng)，反復(fù)創(chuàng)建文件，反復(fù)寫(xiě)注冊(cè)表啟動(dòng)項(xiàng)進(jìn)行監(jiān)視或阻止,使用本功能后能更清松地刪除木馬文件及注冊(cè)表啟動(dòng)項(xiàng)。
  開(kāi)啟禁止“禁止進(jìn)程與文件創(chuàng)建”后會(huì)自動(dòng)添加“監(jiān)控日志”頁(yè)，取消后該頁(yè)消失�？梢杂^察一下日志情況以便從所阻止的動(dòng)作中找到比較隱藏的木馬文件。注意的是，如果木馬插入系統(tǒng)進(jìn)程，則反映的日志是阻止系統(tǒng)進(jìn)程的動(dòng)作，你需要自我分辨該動(dòng)作是否有害并分析該進(jìn)程的模塊文件。

  要保留日志請(qǐng)?jiān)谌∠�前Ctrl+A全選后復(fù)制。注意,為防止日志過(guò)多,滿(mǎn)1000條后自動(dòng)刪除前400條日志。

  針對(duì)上面的情況,你還可以使用進(jìn)程中的“線(xiàn)程信息”功能，從線(xiàn)程與模塊對(duì)應(yīng)關(guān)系中掛起相應(yīng)的線(xiàn)程，然后結(jié)束守護(hù)程序或掛起守護(hù)程序，再執(zhí)行直接刪除文件功能。

7:關(guān)于如何清理木馬的簡(jiǎn)單方法：

  最簡(jiǎn)單的方法是：驅(qū)動(dòng)加載成功的情況下,對(duì)于木馬文件可以直接使用Wsyscheck中各頁(yè)中的刪除文件功能（即先用強(qiáng)刪除功能消滅木馬文件）,執(zhí)行完后重啟系統(tǒng)，，再清除它的啟動(dòng)項(xiàng)，注冊(cè)表項(xiàng)等加載途徑。

  如果遇到較難處理的木馬，以下步驟可以作為一個(gè)參考：
  a.如果SSDT管理中有木馬模塊在工作,請(qǐng)先恢復(fù)SSDT,再在服務(wù)管理頁(yè)清理木馬的服務(wù)及文件。
  b.如果結(jié)束木馬進(jìn)程后反復(fù)發(fā)現(xiàn)木馬啟動(dòng)，可以嘗試使用“結(jié)束進(jìn)程并刪除文件”或“禁止這個(gè)程序運(yùn)行”,讓其不再啟動(dòng)后刪除。
   還可以配合使用“禁止進(jìn)程與文件創(chuàng)建”讓其不再創(chuàng)建新進(jìn)程、創(chuàng)建文件無(wú)效而清理它。
  c.有些木馬利用服務(wù)啟動(dòng)，請(qǐng)注意一下并判斷一下服務(wù)頁(yè)中的紅色顯示程序。如果狀態(tài)是STOP，而類(lèi)型是Auto，則它已運(yùn)行過(guò)一次，所以有可能啟動(dòng)了別的木馬程序。
   d.強(qiáng)烈建議注意一下“禁用程序管理”，目前利用IFEO禁用殺軟或啟動(dòng)木馬程序的木馬是比較流行的。
   e.活動(dòng)文件頁(yè)列出了可能的啟動(dòng)途徑，所以耐心一點(diǎn)檢查一下是否有木馬的啟動(dòng)項(xiàng)目。
   f.文件搜索中利用“限制時(shí)間”條件來(lái)搜索近期產(chǎn)生的文件可能有助于您的清理工作。
   g.對(duì)于檢測(cè)出的啟動(dòng)項(xiàng)，如果不是十分肯定，可以定位到注冊(cè)表，將這個(gè)啟動(dòng)程序的路徑前加上“；”等字符讓其下次不啟動(dòng)再觀察系統(tǒng)是否正常以判斷它是否是一個(gè)木馬程序。
   h.對(duì)于以Autorun.inf方式啟動(dòng)的木馬，可以用工具下的“清除Autorun.inf”功能（可配合“禁止進(jìn)程與文件創(chuàng)建”使用以取得最好的效果）。如果手動(dòng)清理，操作中盡量使用Wsyscheck內(nèi)置的文件管理操作以防雙擊盤(pán)符再次激活木馬。在手動(dòng)刪除Autorun.inf文件前用Wsyscheck的文件管理中打開(kāi)這個(gè)文件查看木馬啟動(dòng)的具體位置有利于您快速找到木馬文件。清理時(shí)完后檢查一下各盤(pán)根目錄以保證完全清理了Autorun.inf文件。
   i.使用“禁止進(jìn)程與文件創(chuàng)建”注意一下新增的日志頁(yè)，以便找到木馬的根源。如果在日志頁(yè)觀察到反復(fù)寫(xiě)創(chuàng)建文件，反復(fù)寫(xiě)注冊(cè)表，反復(fù)創(chuàng)建的進(jìn)程。當(dāng)此進(jìn)程是非系統(tǒng)進(jìn)程時(shí)可以直接關(guān)閉并刪除它。如果是系統(tǒng)進(jìn)程，需要手動(dòng)分析一下該進(jìn)程的模塊（配合查看一下活動(dòng)頁(yè)的加載項(xiàng)有助于快速找到木馬插入系統(tǒng)進(jìn)程的模塊）。清理文件注冊(cè)表完成后不要退出“禁止進(jìn)程與文件創(chuàng)建”，而應(yīng)直接使用工具下的“重啟計(jì)算機(jī)”，以確保我們的清理成功。
   j.對(duì)于已確定的木馬文件，能直接刪除就刪除，不能直接刪除就找到它的啟動(dòng)項(xiàng)刪除啟并重啟系統(tǒng)讓系統(tǒng)不再加載此程序后再做文件刪除。如果木馬保護(hù)的比較好，上述方式失效,可以用DOS刪除功能先刪文件再清理啟動(dòng)項(xiàng)。

8:Wsyscheck可以帶參數(shù)運(yùn)行以提高自身的優(yōu)先級(jí)

  Wsyscheck 1 高于標(biāo)準(zhǔn)  Wsyscheck 2 高  Wsyscheck 3 實(shí)時(shí)

  例如需要實(shí)時(shí)啟動(dòng)Wsyscheck,可以編輯一個(gè)批處理 RunWs.bat ,內(nèi)容為 Wsyscheck 3
  將RunWs.bat與Wsyscheck放在一起，雙擊RunWs.bat即可讓W(xué)syscheck以實(shí)時(shí)優(yōu)先級(jí)啟動(dòng)。

9:隨手工具說(shuō)明(指菜單工具下的子菜單功能)

  清除臨時(shí)文件:刪除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。

  清除Autorun.inf:程序分析各盤(pán)根目錄下的Autorun.inf指向的文件，刪除各盤(pán)的Autorun.inf及其指向的文件。

  修復(fù)隱藏文件顯示及禁用硬盤(pán)自動(dòng)播放:菜單欄太長(zhǎng)寫(xiě)不完,本功能還包括磁盤(pán)無(wú)法雙擊打開(kāi)故障。注意，某些故障修復(fù)后可能需要注銷(xiāo)或重啟才能生效。

  修復(fù)安全模式：某些木馬會(huì)破壞安全模式的鍵值導(dǎo)致無(wú)法進(jìn)入安全模式，本功能先備份當(dāng)前安全模式鍵值再恢復(fù)默認(rèn)的安全模式鍵值。

  構(gòu)建安全環(huán)境：還原SSDT(某些殺軟還原SSDT會(huì)引起死機(jī),本功能僅測(cè)試在Kv系列,Kav6.0下使用沒(méi)有問(wèn)題,其它版本請(qǐng)自行測(cè)試。如不確定,使用本功能前最好退出殺軟進(jìn)程),只保留系統(tǒng)必須的幾個(gè)進(jìn)程，然后執(zhí)行上述三個(gè)子菜單功能。

  如果Wsyscheck的窗口本身已采取隨機(jī)字符,如果仍然被木馬禁用,請(qǐng)將Wsyscheck改名后運(yùn)行。