Wsyscheck使用教程.docVIP

这是继IceSword冰刃之后的第二把剑，甲胖自从将Vista更新至SP1之后，IceSword冰刃就无法使用了，总是秀出「初始化失败」的讯息，但是计算机还是须要一个强大又有效的工具来做「危机处理」，甲胖在此推荐Wsyscheck工具，它的功能可比IceSword，且可在Vista SP1上执行操作，甚至更强更好用。  Wsyscheck 是一款手动清理病毒木马的工具，其目的是简化病毒木马的识别与清理工作。一般来说，对病毒体的判断主要可以采用检查路径、检查文件名、检查档案建立日期、检查档案厂商、微软档案验证、检查启动项目等方法，Wsyschck 在这些方面均尽量简化作业，提供相关的数据供您分析。最终判断并清理木马取决于您个人的分析，以及对 Wsyscheck 基本功能的熟悉程度。Wsyscheck 基本功能简单介绍：１、软件设定中的模块、服务简洁显示简洁显示会筛选所有的微软档案，但在使用了 [验证微软档案签署] 功能后，通不过的微软档案也会显示出来。SSDT 右键 [全部显示] 是预设动作，当取消这个选项后，则仅显示 SSDT 表中已修改的项目。２、关于 Wsyscheck 的色彩显示处理序管理：　　红色表示非微软处理序；紫红色表示虽然是微软处理序，但其模块中带有非微软的档案。服务管理：　　红色表示该服务不是微软服务，且该服务非 .sys 驱动。 (最常见的是 .exe 与 .dll 的服务，木马大多使用这种方式)　　使用 [检查机码保护] 后，蓝色显示的是有机码保护的随系统启动的驱动程序。它们有可能是防毒软件的自我保护，也有可能是木马的机码保护。　　在取消了 [简洁显示模块和服务] 后，检视第三方服务可以按标题 [档案厂商] 排序，结合使用 [启动类型]、[修改日期] 排序更容易观察到新增的木马服务。处理序管理中的检视模块，与服务管理中的检视服务描述，可以使用键盘的上下键控制。在使用 [软件设定 → 验证微软档案签署] 后，紫红色显示未通过微软签署的档案。同时，在各显示列的 [微软档案验证] 会显示 Pass 与 no pass。(可以据此参考是否为假冒的微软档案，注意的是：如果紫红色显示过多，可能是您的系统是网上常见的 Ghost 精简版，这些版本可能精简掉了微软签署数据库所以结果并不可信)SSDT 检查：预设显示所有的 SSDT 表，红色表示核心被 HOOK 的函式。检视第三方模块，可以双按卷标 [映像路径] 排序，则第三方 HOOK 的模块会排在一起列在最前面。也可以取消 [全部显示]，则仅显示入口改变了的函式。SSDT 检查的 [代码异常] 字段如显示 [YES]，表示该函式被 Inline Hook。如果一个函式同时存在代码 HOOK 与地址 HOOK，则对应的模块路径显示的是 Inline Hook 的路径，而使用 [还原目前函式代码] 功能只还原 Inline Hook，路径将显示为地址 HOOK 的模块路径，再使用 [还原目前函式地址] 功能就还原到预设的函式了。使用 [还原所有函式] 功能则同时还原上述两种 HOOK。发现木马修改了 SSDT 表时，请先还原 SSDT，再做登录档删除等动作。活动档案：红色显示的是一般启动项的内容。３、关于 Wsyscheck 启动后状态列的提示 [警告：程序的驱动加载失败，一些功能无法完成。]多数情况下是安全软件阻止了 Wsyscheck 加载所需的驱动，这种情况下 Wsyscheck 的功能有一定减弱，但它仍能用不需要驱动的方法来完成对系统的修复。驱动加载成功的情况下，对于木马档案可以直接使用 Wsyscheck 中各分页的删除档案功能，本功能带有 [直接删除] 执行中的档案的功能。４、关于卸载模块对 HOOK 了系统关键处理序的模块卸载可能导致系统重启，这与该模块的写法有关系，所以卸载不了的模块不要强求卸载，可以先删除该模块的启动项或档案 (加载驱动情况下使用删除后重启档案即消失)。５、关于档案删除驱动加载的情况下，Wsyscheck 的删除功能已经够用了，大多数档案都可以立即删除 (处理序模块可以直接使用右键下带删除的各项功能)；载入的 DLL 档案删除后，虽然档案仍然可见，但事实上已删除，重启后该档案消失。档案管理分页的 [删除] 操作是删除档案到资源回收筒，支持畸形目录下的档案删除。应注意的是如果档案本身在资源回收筒内，请使用直接删除功能。或者使用剪下功能将它复制到另一个地方。否则您可能看到资源回收筒内的档案删除了这个又添加了那个。Wsyscheck 的或 [dos 删除功能] 需要单独下载 Wsyscheck 的附加模块档案 WDo