coolest2007的博客

Wsyscheck是一款手动清理病毒木马的工具，其目的是简化病毒木马的识别与清理工作。 一般来说，对病毒体的判断主要可以采用查看路径，查看文件名，查看文件创建日期，查看文件厂商，微软文件校验，查看启动项等方法，Wsyschck在这些方面均尽量简化操作，提供相关的数据供您分析。 Wsyscheck基本功能简单介绍: 1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软文件，但在使用了“校验微软文件签名”功能后，通不过的微软文件也会显示出来。 SSDt右键“全部显示”是默认动作，当取消这个选项后，则仅显示SSDT表中已更改的项目。 2:关于Wsyscheck的颜色显示 进程页： 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。 服务页： 红色表示该服务不是微软服务,且该服务非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）。 使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护。 在取消了“模块、服务简洁显示”后，查看第三方服务可以点击标题条”文件厂商”排序，结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。 进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。 在使用“软件设置”-“校验微软文件签名”后，紫红色显示未通过微软签名的文件。同时，在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件，注意的是如果紫红色显示过多，可能是你的系统是网上常见的Ghost精简版，这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页： 默认显示全部的SSDT表，红色表示内核被HOOK的函数。查看第三方模块，可以点击两次标签“映像路径”排序，则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。 SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径，而使用“恢复当前函数代码”功能只恢复Inline Hook，路径将显示为地址HOOK的模块路径，再使用“恢复当前函数地址”功能就恢复到默认的函数了。 使用“恢复所有函数”功能则同时恢复上述两种HOOK。 发现木马修改了SSDT表时请先恢复SSDT，再作注册表删除等操作。 活动文件页： 红色显示的常规启动项的内容。 3:关于Wsyscheck启动后状态栏的提示“警告！程序驱动未加载成功，一些功能无法完成。” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动，这种情况下Wsyscheck的功能有一定减弱，但它仍能用不需要驱动的方法来完成对系统的修复。 驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。 4:关于卸载模块 对HOOK了系统关键进程的模块卸载可能导致系统重启，这与该模块的写法有关系，所以卸载不了的模块不要强求卸载，可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。 5:关于文件删除 驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见，但事实上已删除，重启后该文件消失。 文件管理页的“删除”操作是删除文件到回收站，支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内，请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。 Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面，添加待删除文件并重启，启动菜单中将出现“删除顽固文件”字样，选择后转入Dos删除文件。在某些机器上，若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏)，此时请不要修复而是立即关闭主机电源，重新开机。（这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的，并不需要真正的修复，只需关闭电源重新开机即可。） “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表，会问询是否执行。 注意，为避免