基本信息
一款強大的系統檢測維護工具,進程和服務驅動檢查,SSDT強化檢測,檔案查詢,註冊表操作,DOS刪除等一應俱全.該作品為wangsea近期的主打作品,其他比較好的作品還有系統安全盾、syscheck,大家應該不會陌生.特別說明一下,SysCheck現在已經不更新了,WSysCheck可以說是SysCheck的升級版或強化版.
一般來說,對病毒體的判斷主要可以採用查看路徑,查看檔案名稱,查看檔案創建日期,查看檔案廠商,微軟檔案校驗,查看啟動項等方法,Wsyschck在這些方面均儘量簡化操作,提供相關的數據供您分析。
最終判斷並清理木馬取決際您個人的分析及對Wsyscheck基本功能的熟悉程度。
Wsyschek的使用說明及功能
1:關於Wsyscheck的顏色顯示
進程頁:
紅色表示非微軟進程,紫紅色表示雖然進程是微軟進程,但模組中有非微軟的模組。
服務頁:
紅色表示該服務一不是微軟服務,而且該服務是非.sys驅動。(最常見的是.exe與.dll的服務,木馬大多使用這種方式)。
在使用“校驗微軟檔案的簽名”後,紫紅色顯示未通過微軟簽名的微軟碟機動。(可以參考是否是假冒微軟碟機動,注意的是如果紫紅色如果顯示過多,可能是你使用的系統是網上通常見的Ghost精簡版,這些版本可能精簡掉了微軟簽名資料庫。)
使用“檢查鍵值”後,藍色顯示的是有鍵值保護的隨系統啟動的驅動程式。它們有可能是殺軟的自我保護,也有可能是木馬的鍵值保護。
關於如何將第三方服務排列在一起可以點擊標題條”檔案廠商”排一下序,結合使用“啟動類型”、“修改日期”排序更容易觀察到新增的木馬服務。
SSDT管理頁:紅色表示核心被HOOK的函式。
2:關於Wsyscheck啟動後狀態欄的提示“警告!程式驅動未載入成功,一些功能無法完成。”
多數情況下是你的殺軟阻止了Wsyscheck載入所需的驅動,這種情況下Wsyscheck的功能有一定減弱,但它仍能用不需要驅動的方法來完成對系統的修復。
3:關於卸載模組
對HOOK系統關鍵進程的模組卸載可能導致系統重啟,這與該模組HOOK的函式有關係,所以卸載不了的可以先刪除該模組的啟動項(或直接使用Wsyscheck的Dos刪除功能),重啟後再刪除檔案。某些有核心HOOK保護的木馬請恢復SSDT後再作註冊表刪除操作。
4:關於檔案刪除
進程頁可以使用的方法有:
1、先禁止程式運行,再手動刪除檔案(可以使用Wsyscheck內置檔案管理中的直接刪除功能)。
附帶說一下,解除禁用的程式用“安全檢查”頁的“禁用程式管理”功能即可,這個功能就是流行的IFEO劫持功能,所以在木馬使用IFEO劫持後可以用“禁用程式管理”來恢復被劫持的程式。
2、使用"結束進程並刪除檔案”,Wsyscheck會嘗試先更名再刪除,目的就是即使刪除失敗也讓程式下次不能啟動。
其它的服務管理、檔案搜尋、及檔案管理都有相關的刪除操作。檔案管理頁的刪除操作支持畸形目錄下的檔案刪除,注意的是如果檔案本身在資源回收筒內,請使用直接刪除功能。或者使用剪下功能將它複製到另一個地方。否則你可能看到資源回收筒內的檔案刪除了這個又添加了那個(因為右鍵“刪除”是刪除到資源回收筒)
對於用以上功能刪除不了的檔案,可以使用Wsyscheck的“重啟刪除”或“dos刪除功能”,使用“dos刪除功能”功能後會在啟動選單中添加一項“刪除頑固檔案”,執行後自動清理檔案並去掉它所添加的啟動項。
“重啟刪除”與“Dos刪除”可以同時使用。
5:關於如何清理木馬的簡單方法:
a.如果SSDT管理中有木馬模組在工作,請先恢復SSDT,再在服務管理頁清理木馬的服務及檔案。
b.如果結束木馬進程後反覆發現木馬啟動,可以使用“禁止進程與檔案創建”讓其不再啟動後刪除。如果這個方法失效,可以嘗試使用“結束進程並刪除檔案”或“禁止這個程式運行”。
c.有些木馬利用服務啟動,請注意一下並判斷一下服務頁中的紅色顯示程式。如果狀態是STOP,而類型是Auto,則它已運行過一次,所以有可能啟動了別的木馬程式。
d.強烈建議注意一下“禁用程式管理”,目前利用IFEO禁用殺軟或啟動木馬程式的木馬是比較流行的。
e.活動檔案頁列出了可能的啟動途徑,所以耐心一點檢查一下是否有木馬的啟動項目。
f.檔案搜尋中利用“限制時間”條件來搜尋近期產生的檔案可能有助於您的清理工作。
g.對於檢測出的啟動項,如果不是十分肯定,可以定位到註冊表,將這個啟動程式的路徑前加上“;”等字元讓其下次不啟動再觀察系統是否正常以判斷它是否是一個木馬程式。
h.對於以Autorun.inf方式啟動的木馬,操作中儘量使用Wsyscheck內置的檔案管理操作以防雙擊盤符再次激活木馬。在刪除Autorun.inf檔案前用Wsyscheck的檔案管理中打開這個檔案查看木馬啟動的具體位置有利於您快速找到木馬檔案。這類木馬清理時注意查看一下各盤根目錄以保證完全清理了Autorun.inf檔案。
i.對於已確定的木馬檔案,能直接刪除就刪除,不能直接刪除就找到它的啟動項刪除啟並重啟系統讓系統不再載入此程式後再做檔案刪除。如果木馬保護的比較好,上述方式失效,可以用DOS刪除功能先刪檔案再清理啟動項。
6:關於禁止其它程式運行的功能:
Wsyscheck採用的原理是映像劫持,如禁止記事本打開,註冊表中如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
"Debugger"="DisabledRun"
以後運行記事本時就會提示無法找到。該軟體缺少恢復被禁用程式的功能,只能手動來清除,即找到註冊表Image File Execution Options下的相應項直接刪除就行。