wsyscheck win7是一款簡單實(shí)用的系統(tǒng)安全輔助軟件，通過該軟件，用戶可以對電腦系統(tǒng)進(jìn)行掃描查殺病毒文件，有效的幫助用戶對系統(tǒng)進(jìn)行維護(hù)，wsyscheck可以無限的對系統(tǒng)進(jìn)行掃描，對卸載殘留文件進(jìn)行實(shí)時跟蹤，幫助您刪除磁盤中的頑固文件，具有一鍵清除的功能，同時wsyscheck還具有進(jìn)程管理功能，可以幫助用戶強(qiáng)制關(guān)閉正在運(yùn)行的軟件，非常方便，當(dāng)然了wsyscheck的功能并不止于此，它還具有進(jìn)程和服務(wù)驅(qū)動檢查，SSDT強(qiáng)化檢測，注冊表操作，文件查詢，DOS刪除等強(qiáng)大的功能，需要的朋友趕快下載試試吧！

功能介紹

　　1:軟件設(shè)置中的模塊、服務(wù)簡潔顯示

　　簡潔顯示會過濾所微軟文件，但在使用了“校驗(yàn)微軟文件簽名”功能后，通不過的微軟文件也會顯示出來。

　　SSDt右鍵“全部顯示”是默認(rèn)動作，當(dāng)取消這個選項(xiàng)后，則僅顯示SSDT表中已更改的項(xiàng)目。

　　2:關(guān)于Wsyscheck的顏色顯示

　　進(jìn)程頁：

　　紅色表示非微軟進(jìn)程,紫紅色表示雖然進(jìn)程是微軟進(jìn)程,但其模塊中有非微軟的文件。

　　3、用硬盤自動播放:本功能還包括磁盤無法雙擊打開故障。注意，某些故障修復(fù)后可能需要注銷或重啟才能生效。

　　4、復(fù)安全模式：某些木馬會破壞安全模式的鍵值導(dǎo)致無法進(jìn)入安全模式，本功能先備份當(dāng)前安全模式鍵值再恢復(fù)默認(rèn)的安全模式鍵值。

　　服務(wù)頁：

　　紅色表示該服務(wù)不是微軟服務(wù),且該服務(wù)非.sys驅(qū)動。(最常見的是.exe與.dll的服務(wù)，木馬大多使用這種方式)。

使用說明

　　1: 勾選“軟件設(shè)置”下的“刪除文件后鎖定”以阻止文件再生。

　　2: 批量選擇病毒進(jìn)程，使用“結(jié)束進(jìn)程并刪除文件”。

　　3: 插入到進(jìn)程中的模塊多不可怕，全局鉤子在各進(jìn)程中通常都是相同的，處理進(jìn)程的模塊即可。建議采用“直接刪除模塊文件”，本功能執(zhí)行后看不到變化，但文件其實(shí)已經(jīng)刪除。不建議使用“卸載模塊”功能（為保險(xiǎn)也可以與“重啟刪除”聯(lián)用），原因是卸載系統(tǒng)進(jìn)程中的模塊時有可能造成系統(tǒng)重啟而前功盡棄。

　　4: 執(zhí)行“清理臨時文件”、“清除Autorun.inf”

　　5：在安全檢查中可以修復(fù)的修復(fù)一下。不強(qiáng)求，重啟后再執(zhí)行二次清理。

　　6: 重啟機(jī)器，大部份的病毒應(yīng)該可以搞定了。此時再次檢查，發(fā)現(xiàn)還有少量的頑固病毒才使用“禁用”“線程”“卸載”“重啟刪除”“Dos刪除”等方法。

　　7: 清理完后切換到文件搜索頁，限制文件大小為50K左右，去除“排除微軟文件的勾”搜索最近一周的新增的文件，從中選出病毒尸體文件刪除。

使用方法

　　1、進(jìn)程管理，可以查看系統(tǒng)正在運(yùn)行的程序

　　2、內(nèi)核檢查，深入掃描系統(tǒng)文件

　　3、服務(wù)管理，可以查看后臺的運(yùn)行軟件，并強(qiáng)制關(guān)閉

　　4、安全檢查，進(jìn)行系統(tǒng)病毒掃描模式

　　5、文件管理，可以對指定的文件進(jìn)行安全管理

參數(shù)說明

　　Wsyscheck可以帶參數(shù)運(yùn)行以提高自身的優(yōu)先級

　　Wsyscheck 1 高于標(biāo)準(zhǔn) Wsyscheck 2 高 Wsyscheck 3 實(shí)時

　　例如需要實(shí)時啟動Wsyscheck,可以編輯一個批處理 RunWs.bat ,內(nèi)容為 Wsyscheck 3

　　將RunWs.bat與Wsyscheck放在一起，雙擊RunWs.bat即可讓W(xué)syscheck以實(shí)時優(yōu)先級啟動。

　　Wsyscheck -f wsyscheck將恢復(fù)部份查詢類的SSdt表中的函數(shù),然后退出。

　　Wsyscheck -s 在-f的基礎(chǔ)上執(zhí)行創(chuàng)建安全環(huán)境后退出。

　　如將Wsyscheck.exe更名，則Wsyscheck啟動后先恢復(fù)執(zhí)行部份查詢類的SSdt表中的函數(shù)，其恢復(fù)結(jié)果可以在SSdt顯示頁下面的Auto Restore中看到。不更名則不帶此功能。另外，更名后Wsyscheck將使用隨機(jī)驅(qū)動名來釋放驅(qū)動。

更新說明

　　Wsyscheck20080223(V1.68.33)

　　修正內(nèi)置注冊表瀏覽器顯示二進(jìn)制數(shù)據(jù)錯誤的BUG。

　　調(diào)整使用-run啟動腳本時顯示腳本窗體。

　　Wsyscheck20080204(V1.68.32)

　　修正因?yàn)榇诺鷻C(jī)變種導(dǎo)致本軟件界面無法顯示的BUG。

常見問題

　　1、關(guān)于Wsyscheck啟動后狀態(tài)欄的提示“警告！程序驅(qū)動未加載成功，一些功能無法完成。”

　　多數(shù)情況下是安全軟件阻止了Wsyscheck加載所需的驅(qū)動，這種情況下Wsyscheck的功能有一定減弱，但它仍能用不需要驅(qū)動的方法來完成對系統(tǒng)的修復(fù)。

　　驅(qū)動加載成功的情況下,對于木馬文件可以直接使用Wsyscheck中各頁中的刪除文件功能,本功能帶有“直接刪除”運(yùn)行中的文件的功能。

　　2、關(guān)于卸載模塊

　　對HOOK了系統(tǒng)關(guān)鍵進(jìn)程的模塊卸載可能導(dǎo)致系統(tǒng)重啟，這與該模塊的寫法有關(guān)系，所以卸載不了的模塊不要強(qiáng)求卸載，可以先刪除該模塊的啟動項(xiàng)或文件(驅(qū)動加載情況下使用刪除后重啟文件即消失)。

　　3、關(guān)于文件刪除

　　驅(qū)動加載的情況下,Wsyscheck的刪除功能已經(jīng)夠用了,大多數(shù)文件都可以立即刪除(進(jìn)程模塊可以直接使用右鍵下帶刪除的各項(xiàng)功能),加載的DLL文件刪除后雖然文件仍然可見，但事實(shí)上已刪除，重啟后該文件消失。

　　文件管理頁的“刪除”操作是刪除文件到回收站，支持畸形目錄下的文件刪除。應(yīng)注意的是如果文件本身在回收站內(nèi)，請使用直接刪除功能?；蛘呤褂眉羟泄δ軐⑺鼜?fù)制到另一個地方。否則你可能看到回收站內(nèi)的文件刪除了這個又添加了那個。

　　Wsyscheck的或“dos刪除功能”需要單獨(dú)下載Wsyscheck的附加模塊文件WDosDel.dat,將此文件與Wsyscheck放在一起會顯示出相關(guān)頁面，添加待刪除文件并重啟，啟動菜單中將出現(xiàn)“刪除頑固文件”字樣，選擇后轉(zhuǎn)入Dos刪除文件。在某些機(jī)器上，若執(zhí)行“dos刪除”重啟后系統(tǒng)報(bào)告文件損壞要修復(fù)(此時修復(fù)會造成文件系統(tǒng)的真正損壞)，此時請不要修復(fù)而是立即關(guān)閉主機(jī)電源，重新開機(jī)。（這種情況是Dos刪除所帶的NTFS支持軟件本身的BUG造成的，并不需要真正的修復(fù)，只需關(guān)閉電源重新開機(jī)即可。）

　　“重啟刪除”與“Dos刪除”可以同時使用。其列表都可以手動編輯,一行一個文件路徑即可。關(guān)閉程序時如果上述兩者之一存在刪除列表，會問詢是否執(zhí)行。

　　注意，為避免病毒程序守護(hù)，Wsyscheck可以在刪除某些文件時可能會采取0字節(jié)文件占位的方式來確保刪除。這些0字節(jié)文件在Wsyscheck退出后會被自動清理。是否采用此方式依賴于“軟件設(shè)置”下的“刪除文件后鎖定”選項(xiàng)是否勾選。

　　如果需要對刪除的文件備份,先啟用軟件設(shè)置下的“刪除文件前備份文件”，它將在刪除前將文件備份到%SystemDrive%VirusBackup目錄中，且將文件名添加.vir后綴以免誤執(zhí)行。

　　4、于進(jìn)程的結(jié)束后的反復(fù)創(chuàng)建

　　如果確系木馬文件,可選擇結(jié)束進(jìn)程并刪除文件,這樣的話Wsyscheck會將其結(jié)束并刪除文件。但有時因?yàn)槟抉R有關(guān)聯(lián)進(jìn)程未同時結(jié)束，會重新加載木馬文件。這時我們可以選擇“軟件設(shè)置”下的“刪除文件后鎖定”。這時當(dāng)結(jié)束進(jìn)程并刪除文件后Wsyscheck將創(chuàng)建0字節(jié)的鎖定文件防止木馬再生。

　　也可以使用進(jìn)程頁的“禁止程序運(yùn)行”，這個功能就是流行的IFEO劫持功能，我們可以使用它來屏蔽一些結(jié)束后又自動重新啟動的程序。通過禁用它的執(zhí)行來清理文件。解除禁用的程序用“安全檢查”頁的“禁用程序管理”功能，所以在木馬使用IFEO劫持后也可以“禁用程序管理”中恢復(fù)被劫持的程序。

　　軟件設(shè)置下的“禁止進(jìn)程與文件創(chuàng)建”功能是針對木馬的反復(fù)啟動，反復(fù)創(chuàng)建文件，反復(fù)寫注冊表啟動項(xiàng)進(jìn)行監(jiān)視或阻止,使用本功能后能更清松地刪除木馬文件及注冊表啟動項(xiàng)。開啟禁止“禁止進(jìn)程與文件創(chuàng)建”后會自動添加“監(jiān)控日志”頁，取消后該頁消失?？梢杂^察一下日志情況以便從所阻止的動作中找到比較隱藏的木馬文件。注意的是，如果木馬插入系統(tǒng)進(jìn)程，則反映的日志是阻止系統(tǒng)進(jìn)程的動作，你需要自我分辨該動作是否有害并分析該進(jìn)程的模塊文件。

　　要保留日志請?jiān)谌∠癈trl+A全選后復(fù)制。注意,為防止日志過多,滿1000條后自動刪除前400條日志。

　　對于反復(fù)寫注冊表啟動項(xiàng)無法修復(fù)的情況，可以先用“禁止進(jìn)程與文件創(chuàng)建”找出覆寫該注冊表項(xiàng)的進(jìn)程，針對木馬插入的線程進(jìn)行掛起，再修復(fù)注冊表。

　　懶于查看分析，不想太麻煩的話，可以先刪除文件（直接刪除、重啟刪除），待重啟之后再修復(fù)注冊表。

　　5、于批量處理

　　各頁中可嘗試用Ctrl,Shift多選再執(zhí)行相關(guān)的功能。

　　文件搜索中的“保存文件列表”導(dǎo)出搜索結(jié)果列表1，在PE啟動后再執(zhí)行一次得到結(jié)果2,將結(jié)果1與結(jié)果2相比較，可以用來對付某些Wsyscheck檢測不出深度隱藏的RootKit。