软件介绍
WSYS检查服务器版是一个系统检测和维护工具,可以支持多种Windows系统。我们可以用这个软件来检测重要的内容,比如计算机进程、服务驱动、注册表等。以便帮助您找到系统中隐藏的漏洞,快速修复它们,并使您的系统保持最佳状态。
Wsyscheck服务器版软件介绍
Wsyscheck是一个强大的系统检查和维护工具,包括进程和服务驱动的检查、SSDT增强的检查、文件查询、注册表操作、DOS删除等。这部作品是王海的主要作品。其他好的作品还有系统安全盾和syscheck。大家应该都不陌生。特别是SysCheck并没有更新,WSysCheck可以说是SysCheck的升级或加强版。
功能介绍
1.流程管理。2.内核检查。
3.服务管理。
4.安全检查。
5.文档管理。
6.注册表管理。
7.软件设置/工具。
参数介绍
Wsyscheck可以使用参数运行,以提高其优先级。Wsyscheck 1高于标准Wsyscheck 2和高Wsyscheck 3实时
例如,如果需要实时启动Wsyscheck,可以用Wsyscheck 3的内容编辑一个批处理RunWs.bat。
把RunWs.bat和Wsyscheck放在一起,双击RunWs.bat,用实时优先级启动Wsyscheck。
Wsyscheck -f wsyscheck会恢复一些查询类的SSdt表中的函数,然后退出。
Wsyscheck -s基于-f创建一个安全的环境并退出。
如果Wsyscheck被重命名,Wsyscheck启动后,一些查询类的SSdt表中的函数会被恢复。可以在SSdt显示页面底部的自动恢复中看到恢复结果。如果不重命名,就不会有这个功能。此外,Wsyscheck将使用一个随机的驱动程序名来释放重命名的驱动程序。
Wsyscheck服务器版本描述
1:关于Wsyscheck的颜色显示流程页面:
红色表示非微软进程,紫色表示虽然进程是微软进程,但模块中有非微软模块。
服务页面:
红色表示该服务不是Microsoft服务,由驱动。系统.(最常见的服务是。Exe和。Dll,木马常用)。
使用“验证Microsoft文件的签名”后,紫红色显示屏显示的是尚未经过Microsoft签名的Microsoft驱动程序。(可以参考是否是山寨微软驱动。注意,如果紫红色显示过多,可能是你用的系统是Ghost的简化版,在网上很常见。这些版本可以简化Microsoft signature数据库。)
使用“检查键值”后,带有键值保护的系统启动的驱动程序显示为蓝色。它们可能是查杀软件的自我保护,也可能是木马的键值保护。
至于第三方服务如何排列在一起,可以点击标题栏“文件制造商”来排列顺序。按“启动类型”和“修改日期”排序,便于观察新加入的木马服务。
SSDT管理页面:红色表示内核被一个函数钩住。
2:提示“警告!”WSYSCHECK启动后状态栏上!驱动程序加载失败,一些功能无法完成。
大多数情况下,是你的软件查杀阻止了Wsyscheck加载所需的驱动。在这种情况下,Wsyscheck的功能在一定程度上被削弱了,但它仍然可以通过不需要驱动程序的方法来修复系统。
3:关于卸载模块
在钩子系统中卸载一个关键进程的模块可能会导致系统重启,这与这个模块的钩子函数有关。所以如果无法卸载,可以先删除这个模块的启动项(或者直接使用Wsyscheck的Dos删除功能),重启后再删除文件。一些受内核钩子保护的木马请在删除注册表前恢复SSDT。
4:关于文件删除
该页面可以使用的方法有:
1.先禁止程序运行,然后手动删除文件(可以使用Wsyscheck内置的文件管理中的直接删除功能)。
顺便说一下,要删除一个被禁用的程序,只需使用“安全检查”页面上的“禁用程序管理”功能。该功能是一个流行的IFEO劫持功能,所以你可以使用“禁用程序管理”恢复被劫持的程序后,木马劫持与IFEO。
2.用“结束进程并删除文件”,Wsyscheck会先尝试重命名,再删除。目的是防止程序下次启动,即使删除失败。
其他服务管理、文件搜索和文件管理都有相关的删除操作。文件管理页面的删除操作支持删除异常目录下的文件。注意,如果文件本身在回收站,请使用直接删除功能。或者使用剪切功能将其复制到另一个地方。否则,你可能会看到回收站里的文件删除了这个又添加了那个(因为右键“删除”就是删除到回收站)。
对于以上功能无法删除的文件,可以使用Wsyscheck的重启删除或dos删除功能。使用dos的删除功能后,在启动菜单上会增加一个“删除顽固文件”。执行后会自动清理文件,删除添加的启动项。
重启和Dos删除可以同时使用。
5:轻松摆脱木马的方法:
A.如果SSDT管理中有木马模块,请先恢复SSDT,然后在服务管理页面清理木马服务和文件。
B.如果在完成木马进程后反复发现木马启动,可以使用“禁止进程和文件创建”阻止其启动,然后删除。如果这种方法失败,你可以尝试使用“结束进程并删除文件”或“禁止该程序运行”。
C.有些木马是通过服务启动的。请注意并判断服务页面中的红色显示程序。如果状态为“停止”,类型为“自动”,则已经运行过一次,因此有可能启动另一个木马程序。
D.强烈建议关注“禁用程序管理”。这是相当流行的IFEO,禁用木马查杀软件或启动木马程序。
E.活动文件页列出了可能的启动方式,所以要有耐心,检查一下有没有木马的启动项。
F.使用文件搜索中的“时间限制”条件来搜索生成的文件可能会对您的清理工作有所帮助。
G.如果您不确定检测到的启动密钥,您可以在注册表中找到它,并将“;”在这个启动键的路径前面。等待角色阻止其下次启动,然后观察系统是否正常,确定是否为木马程序。
H.对于Autorun.inf启动的木马,尽量使用Wsyscheck内置的文件管理操作,防止双击盘符再次激活木马。在删除Autorun.inf文件之前,在Wsyscheck的文件管理中打开这个文件,查看木马启动的具体位置,有助于快速找到木马文件。清理此类木马时,请检查每个磁盘的根目录,确保彻底清理Autorun.inf文件。
1.对于某些木马文件,能删除就删除,不能直接删除就找他们的启动项。启动并重新启动系统,以便系统在删除文件之前不会再次加载该程序。如果木马防护比较好,以上方法都失效,可以先用DOS删除功能删除文件,再清理启动项。
6:关于禁止其他程序运行的功能:
Wsyscheck采用图像劫持的原理,比如禁止打开记事本。注册表如下所示:
[HKEY _本地_机器\软件\微软\ windowsnt \当前版本\镜像文件执行选项 otepad.exe]
"调试器" = "禁用运行"
以后运行记事本时,会提示找不到。软件缺乏恢复被禁用程序的功能,只能手动清除,即在注册表镜像文件执行选项中找到相应的键,直接删除。
