wsyscheck官網下載-wsyscheck.exe win7中文版下載v1.68.33 綠色漢化版-綠色資源（yuán）網

軟件介紹

wsyscheck是一款非常好用的係統檢測軟（ruǎn）件，有了它以後，用戶就可以對正在運行（háng）的（de）程序和進程進行檢測和管理（lǐ）了，還可以進行病毒（dú）的檢測與文件的刪除，歡（huān）迎有需要的朋友到綠色資（zī）源網下載使用!

官方介紹（shào）

Wsyscheck一款強大的係統檢測（cè）維護工具，進程和服務驅動檢查（chá），SSDT強化檢測，注（zhù）冊表操作，文件查詢（xún），DOS刪除等一應俱全。Wsyscheck為wangsea近期的主（zhǔ）打作品，深山（shān）紅葉係出自他之手。其他比較好的作品還有係統安全盾、syscheck，大家應該不會陌生。一般（bān）來說，對病毒體的判斷主要可以采用查（chá）看路徑，查看文件名，查看文件創建日期，查看文件廠（chǎng）商，微軟（ruǎn）文件校驗（yàn），查看啟動項（xiàng）等方法，syschck在這些方麵均盡量簡化操作，提供相關的數據供您分析。最終判斷並清理木馬取決際您個人的分析及對Wsyscheck基本功能的熟（shú）悉程度。

軟件功能特色

1.軟件設置中的模塊（kuài）、服務簡潔顯示

簡潔顯示會過濾（lǜ）所微軟文件，但在使用了“校驗（yàn）微軟文件簽名”功能後，通不過的微（wēi）軟文件也會顯示（shì）出來。

SSDt右鍵“全部顯示”是默認動作，當取消這個選項後，則僅顯（xiǎn）示（shì）SSDT表中已（yǐ）更改的項目。

2.SSDT管理頁：

默認顯示全部的SSDT表，紅色表示內核被HOOK的函數。查看第三方模塊，可以點擊兩次標簽“映像路徑”排序，則第（dì）三方HOOK的模塊會排在一起列在最前麵（miàn）。也可以取消“全部顯示”,則僅顯示（shì）入口改變了的函數（shù）。

SSDT頁的“代碼異常”欄如顯示“YES”,表明該函數被Inline Hook。如（rú）果一個函數同時存在代碼HOOK與地址HOOK,則對應（yīng）的模塊路徑（jìng）顯示（shì）的是Inline Hook的路徑，而（ér）使用“恢複當前函數代碼”功能隻恢複Inline Hook，路徑將顯示為地址HOOK的模塊路徑（jìng），再使用“恢複當前函數地址”功能就恢複到默認的函數了。

使用“恢複所有函數（shù）”功能則同時恢複（fù）上述兩種HOOK。

發現木馬修改了SSDT表時請先恢複SSDT，再作注冊表刪除等（děng）操作。

3.關於Wsyscheck的顏色顯示

進程頁：

紅色表示（shì）非微軟進程,紫紅色表示雖然進程是微軟進程,但（dàn）其模塊中有（yǒu）非微軟的文件。

服務頁：

紅色表示該（gāi）服務不是（shì）微軟服務,且該服務非（fēi）.sys驅動。(最常見的是.exe與.dll的服務，木馬大多使用這種方式)。

使用“檢查（chá）鍵值”後，藍色顯示的是有（yǒu）鍵值保（bǎo）護的隨係統啟動的（de）驅動程序。它們有可能是殺軟的自我保護，也有可能是木馬的鍵值保（bǎo）護（hù）。

在取消了“模（mó）塊（kuài）、服務簡潔顯示”後，查看第三方服務可以點擊標（biāo）題條”文件廠商”排序，結合使用“啟動類型”、“修改日期”排序更容易觀察到新增的木馬服務。

進程頁中查看模塊（kuài）與服務頁中查看服務描述可以使用鍵盤的上下鍵控製。

在使用（yòng）“軟件設置”-“校驗微軟（ruǎn）文件簽（qiān）名”後，紫紅（hóng）色顯示未通過微軟簽名的文件。同時，在各顯示欄的"微軟文件校驗"會顯（xiǎn）示Pass與（yǔ）no pass。(可以據此參考是否（fǒu）是假冒（mào）微軟文件，注意的是如果紫紅色（sè）顯示過多，可能是你的係統是網上常見的ghost精簡版，這些版本可能精簡掉（diào）了微軟簽名數據（jù）庫所以結（jié）果並不可信)

活動文（wén）件頁：

紅色（sè）顯示的常規啟動項的內容。

使用說明

1.關於（yú）卸載模塊

對HOOK了係統關鍵進程的模塊卸載可能（néng）導致係統重啟，這與該（gāi）模塊的寫法有（yǒu）關（guān）係，所以卸載不了的模塊不要強求卸（xiè）載，可（kě）以先刪除（chú）該模塊的啟動項或文件(驅動加載情況（kuàng）下使用刪除後重啟文件即消（xiāo）失)。

2.關於Wsyscheck啟（qǐ）動後狀態欄的提（tí）示“警告!程序驅動未加載成功，一些功能無法完成。”

多數情況下是安全軟件阻止了Wsyscheck加載所需的驅動，這種情況下Wsyscheck的功能有一定（dìng）減弱（ruò），但它仍能用不（bú）需要驅動的方法來完（wán）成對係統的修複。

驅動加載成功的情（qíng）況下,對於木馬文件（jiàn）可以直接使用Wsyscheck中各頁中的刪（shān）除（chú）文件功能,本（běn）功能帶有“直接刪除”運行中的（de）文件的功能（néng）。

3.關於文件刪除

驅動加載的情況下,Wsyscheck的刪除功能已經夠用了,大多（duō）數文件都可以立即刪除(進程模塊可以直接使用右鍵下帶刪除的各項功能),加載的dll文件刪除後（hòu）雖然文件仍然可見，但事實上已刪除，重啟後該（gāi）文件消失。

文件管理頁的“刪除”操作是刪除文件到回收（shōu）站，支持畸形目錄下的文件刪除。應注意的（de）是如果文件本身在回（huí）收站內，請使（shǐ）用直接刪除功能。或者使用剪切功能將它複製到另一個地方。否則（zé）你可能看到回收站內的文件刪除了這（zhè）個又添加了那個。

Wsyscheck的或“dos刪除功能”需要單獨下載Wsyscheck的附加（jiā）模塊文件WDosDel.dat,將此文件與Wsyscheck放在一起會顯示（shì）出相關頁麵，添加待刪除文件並重啟，啟動菜（cài）單中將出現（xiàn）“刪除頑固文件”字樣，選擇後轉入Dos刪除文件。在某些機（jī）器上，若執行“dos刪除”重啟後係統報告文（wén）件損壞要（yào）修複(此時修複會造成文件係統的真正損壞)，此時請不要修複而是立即關閉主機電源，重新開機。(這種情況是（shì）Dos刪除所帶（dài）的NTFS支持軟件本身（shēn）的BUG造成的，並不需要真正的修複，隻需關閉（bì）電源重（chóng）新開（kāi）機即可。)

“重啟刪除”與“Dos刪除”可以同時使用。其列表都可以手動編（biān）輯,一行一個文件路徑即可。關閉程序時（shí）如果上述兩者之一存在刪（shān）除列表，會問詢是否執行。

注意，為避免病毒程序（xù）守護，Wsyscheck可以在刪除某些文件時可能會采取0字節文件占位的方式來確保刪除（chú）。這些0字節文件在Wsyscheck退出後會被自動清（qīng）理。是否采用此方（fāng）式依賴於“軟件設置”下的“刪除文件（jiàn）後鎖定”選項是否勾選。

如果需（xū）要對刪除的文件（jiàn）備份,先啟用軟件設置下的“刪除文件前備份文件”，它將在刪除前將（jiāng）文件備份到%SystemDrive%\VirusBackup目錄中，且將文件名添加.vir後（hòu）綴以免誤執行。

4.關於進（jìn）程的結束後的反（fǎn）複創建

如果確（què）係（xì）木馬文件,可選擇（zé）結（jié）束進程並刪除文件,這樣的話Wsyscheck會將其結束並（bìng）刪除文件。但有時因為木馬有關聯進程未同時（shí）結束，會重新加載木馬文件。這時我們可以選擇（zé）“軟件設置”下的“刪除文件後鎖定”。這（zhè）時當（dāng）結束進程並刪除文件後Wsyscheck將創建0字節的（de）鎖定文件防止木馬（mǎ）再生。

也可以使（shǐ）用（yòng）進程頁的“禁止程序運行”，這個功能（néng）就是流行的IFEO劫持功能，我們可以使用它來屏蔽一些結束後又自動重新啟動的程序。通過禁用它的執（zhí）行來清理文件。解除禁用的程序用（yòng）“安全檢查”頁的（de）“禁用程序管理”功能，所以在木馬使用IFEO劫（jié）持後也可以“禁用程序管理”中恢複被劫持的程序。

軟件設置下的“禁止進程與文件創建”功（gōng）能是針對木馬的反複啟動，反複創建文件，反複寫注冊表啟動項進行監視或阻止,使用本功能後能（néng）更清鬆地刪除木馬文（wén）件及注冊表啟動項。開啟禁止（zhǐ）“禁止進程與文（wén）件創（chuàng）建”後會自動（dòng）添加“監控日誌”頁，取消後（hòu）該頁消失。可以觀察一下日誌情（qíng）況以便從所阻止的動作中找到比（bǐ）較隱藏的木馬文件。注意的是，如果木馬插入係統進程（chéng），則反映的日誌是阻止係統進程的動作，你需要自我分辨該（gāi）動作是否有（yǒu）害並分析（xī）該進程的（de）模塊文件。

要保留日誌請在取消前Ctrl+A全（quán）選後複製。注意,為防止日誌（zhì）過多（duō）,滿1000條後自動刪除前400條日誌（zhì）。

對於反複寫（xiě）注冊表啟動項無法（fǎ）修複的情況（kuàng），可以先用“禁止進程與文件創（chuàng）建”找出覆寫該注冊表項的進程，針對木馬插入（rù）的線程進行掛起，再修複注冊表。

懶於查看分析，不想太麻煩的話，可以先刪（shān）除文件(直接刪除、重（chóng）啟刪除)，待重啟之後再修複注冊表。

5.關於批量處理

各頁中可嚐試用Ctrl,Shift多選再執（zhí）行（háng）相（xiàng）關的功能（néng）。

文件搜索（suǒ）中的“保存文件列（liè）表”導出搜索結果列表1，在PE啟動後再執行一次得到結果2,將結果（guǒ）1與結果2相比較，可以用（yòng）來對付某些Wsyscheck檢測不出深度隱藏的RootKit。

6.:關（guān）於如何清理木馬的簡（jiǎn）單方法：

1: 勾選（xuǎn）“軟件設置”下的“刪除文件後鎖定”以阻止文件再生。

2: 批量（liàng）選擇病毒進程，使用“結束進程並刪除文件（jiàn）”。

3: 插入到進程中的模塊多不可怕，全局鉤子在（zài）各進程中通常都（dōu）是相（xiàng）同的，處理進程的模塊即可。建議采用“直接刪（shān）除模塊文件”，本功能執行後看不到變化，但文（wén）件其實（shí）已（yǐ）經（jīng）刪（shān）除。不建議（yì）使用“卸載模塊”功能(為保險也可以與“重啟刪除”聯用)，原因是卸載係統進程中的模塊（kuài）時（shí）有可能造（zào）成係統重啟而前功盡棄（qì）。

4: 執行（háng）“清理臨時文件”、“清除Autorun.inf”

5：在安全檢查中可以修複的修複一下。不（bú）強求，重啟後再執行二次清理。

6: 重啟機器，大部份的病毒應該可以搞定了。此時再次（cì）檢查，發現還有少量的頑固病毒才使用“禁用”“線程”“卸載”“重啟刪除”“Dos刪除（chú）”等方（fāng）法。

7: 清理完後切（qiē）換到（dào）文件搜索頁，限製文件大小為50K左右，去（qù）除“排除微軟文件的勾”搜索最近一周的新增的文件，從中選出病（bìng）毒屍體文件（jiàn）刪除。

Wsyscheck可以使用的參數（shù）說明:

Wsyscheck可以帶參數運行以提（tí）高自身（shēn）的（de）優先級

Wsyscheck 1 高於標準（zhǔn） Wsyscheck 2 高 Wsyscheck 3 實時（shí）

例如需要實時啟動Wsyscheck,可以編輯一（yī）個批處理 RunWs.bat ,內容為 Wsyscheck 3

將RunWs.bat與Wsyscheck放在一起，雙擊RunWs.bat即可讓Wsyscheck以實時優先（xiān）級啟動。

Wsyscheck -f wsyscheck將恢複部份查詢類的SSdt表（biǎo）中的函數,然後退出。

Wsyscheck -s 在-f的基礎上（shàng）執行創建安（ān）全環境後退出。

如將Wsyscheck.exe更名，則Wsyscheck啟動後先恢複執行部份查詢類的SSdt表中的（de）函數，其（qí）恢（huī）複結果可以在SSdt顯示頁下麵的Auto Restore中（zhōng）看到。不更名則不帶此功能。另外（wài），更名（míng）後Wsyscheck將使（shǐ）用隨機驅動名來釋放驅動。

隨手工具說明(指菜單工具下的子菜單功能)