2024年3月28日发(作者:)

希望对大家有所帮助,多谢您的浏览!

这是继IceSword冰刃之后的第二把剑,甲胖自从将Vista更新至SP1之后,IceSword冰刃

就无法使用了,总是秀出「初始化失败」的讯息,但是计算机还是须要一个强大又有效的工具

来做「危机处理」,甲胖在此推荐Wsyscheck工具,它的功能可比IceSword,且可在Vista SP1

上执行操作,甚至更强更好用。

Wsyscheck 是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。

一般来说,对病毒体的判断主要可以采用检查路径、检查文件名、检查档案建立日期、检查档

案厂商、微软档案验证、检查启动项目等方法,Wsyschck 在这些方面均尽量简化作业,提供

相关的数据供您分析。最终判断并清理木马取决于您个人的分析,以及对 Wsyscheck 基本功

能的熟悉程度。

Wsyscheck 基本功能简单介绍:

1、软件设定中的模块、服务简洁显示

简洁显示会筛选所有的微软档案,但在使用了 [验证微软档案签署] 功能后,通不过的微软档

案也会显示出来。

SSDT 右键 [全部显示] 是预设动作,当取消这个选项后,则仅显示 SSDT 表中已修改的项目。

2、关于 Wsyscheck 的色彩显示

处理序管理:

红色表示非微软处理序;紫红色表示虽然是微软处理序,但其模块中带有非微软的档案。

服务管理:

红色表示该服务不是微软服务,且该服务非 .sys 驱动。 (最常见的是 .exe 与 .dll 的服

务,木马大多使用这种方式)

使用 [检查机码保护] 后,蓝色显示的是有机码保护的随系统启动的驱动程序。它们有可

能是防毒软件的自我保护,也有可能是木马的机码保护。

授课:XXX

希望对大家有所帮助,多谢您的浏览!

在取消了 [简洁显示模块和服务] 后,检视第三方服务可以按标题 [档案厂商] 排序,结合

使用 [启动类型]、[修改日期] 排序更容易观察到新增的木马服务。

处理序管理中的检视模块,与服务管理中的检视服务描述,可以使用键盘的上下键控制。

在使用 [软件设定 → 验证微软档案签署] 后,紫红色显示未通过微软签署的档案。同时,在

各显示列的 [微软档案验证] 会显示 Pass 与 no pass。(可以据此参考是否为假冒的微软档案,

注意的是:如果紫红色显示过多,可能是您的系统是网上常见的 Ghost 精简版,这些版本可能

精简掉了微软签署数据库所以结果并不可信)

SSDT 检查:

预设显示所有的 SSDT 表,红色表示核心被 HOOK 的函式。检视第三方模块,可以双按卷标 [映

像路径] 排序,则第三方 HOOK 的模块会排在一起列在最前面。也可以取消 [全部显示],则

仅显示入口改变了的函式。

SSDT 检查的 [代码异常] 字段如显示 [YES],表示该函式被 Inline Hook。如果一个函式同时

存在代码 HOOK 与地址 HOOK,则对应的模块路径显示的是 Inline Hook 的路径,而使用 [还

原目前函式代码] 功能只还原 Inline Hook,路径将显示为地址 HOOK 的模块路径,再使用 [还

原目前函式地址] 功能就还原到预设的函式了。

使用 [还原所有函式] 功能则同时还原上述两种 HOOK。

发现木马修改了 SSDT 表时,请先还原 SSDT,再做登录档删除等动作。

活动档案:

红色显示的是一般启动项的内容。

3、关于 Wsyscheck 启动后状态列的提示 [警告:程序的驱动加载失败,一些功能无法完成。]

多数情况下是安全软件阻止了 Wsyscheck 加载所需的驱动,这种情况下 Wsyscheck 的功能有

一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。

驱动加载成功的情况下,对于木马档案可以直接使用 Wsyscheck 中各分页的删除档案功能,

本功能带有 [直接删除] 执行中的档案的功能。

4、关于卸载模块

授课:XXX