Wsyscheck

软件介绍

Wsyscheck服务器版是一个系统检测和维护工具，可以支持多种Windows系统。我们可以使用该软件检测计算机进程、服务驱动、注册表等重要内容，从而帮助您发现系统中隐藏的漏洞并快速修复，让系统始终处于最佳状态。

Wsyscheck服务器版软件简介

Wsyscheck是一款功能强大的系统检查和维护工具，包括流程和服务驱动检查、SSDT增强检查、文件查询、注册表操作、DOS删除等。这个作品是望海的主要作品，其他比较好的作品还有系统安全盾和syscheck，大家应该都不陌生。特别是SysCheck并没有更新，WSysCheck可以说是SysCheck的升级或加强版。

功能介绍

1.流程管理。

2.内核检查。

3.服务管理。

4.安全检查。

5.文档管理。

6.注册表管理。

7.软件设置/工具。

参数介绍

Wsyscheck可以带参数运行，以提高其优先级。

Wsyscheck 1高于标准的Wsyscheck 2，Wsyscheck 3是实时的。

例如，如果需要实时启动Wsyscheck，可以用内容Wsyscheck 3编辑一个批处理RunWs.bat。

把RunWs.bat和Wsyscheck放在一起，双击RunWs.bat，用实时优先级启动Wsyscheck。

Wsyscheck -f wsyscheck会恢复一些查询类的SSdt表中的函数，然后退出。

Wsyscheck -s在-F的基础上创建一个安全的环境后退出.

如果Wsyscheck被重命名，Wsyscheck启动后会恢复执行一些查询类的SSdt表中的函数，恢复结果可以在SSdt显示页面下方的自动恢复中看到。如果不重命名，就不会有这个功能。此外，Wsyscheck会使用一个随机的驱动器名来释放重命名后的驱动程序。

Wsyscheck服务器版使用说明

1:关于Wsyscheck的颜色显示

流程页面：

红色表示非微软进程，紫色表示虽然进程是微软进程，但模块中有非微软模块。

服务页面：

红色表示该服务不是Microsoft服务，并且该服务是非。系统驱动。(最常见的服务有。exe和。dll，而木马大多使用这种方法)。

使用“检查Microsoft文件的签名”后，紫色显示没有通过Microsoft签名的Microsoft驱动程序。(可以参考是不是假的微软驱动。注意，如果紫色显示过多，可能是你用的系统是Ghost的简化版，就是网上常见的。这些版本可能简化了微软签名数据库。)

使用“检查键值”后，带键值保护的系统启动的驱动程序显示为蓝色。它们可能是杀软的自我保护，也可能是木马的重点保护。

关于如何将第三方服务排列在一起，可以点击标题栏“文件厂商”进行排序，结合“启动类型”和“修改日期”的排序，更容易观察到新的木马服务。

SSDT管理页面：红色表示内核被函数钩住。

2:关于Wsyscheck启动后状态栏的提示“警告！程序驱动未加载成功，一些功能无法完成。”

大多数情况下，是你的查杀软件阻止了Wsyscheck加载所需的驱动。在这种情况下，Wsyscheck的功能在一定程度上被削弱了，但它仍然可以在没有驱动程序的情况下完成系统的修复。

3:关于卸载模块

卸载钩子系统关键进程的模块可能会导致系统重启，这与模块的钩子功能有关，所以如果无法卸载，可以先删除模块的启动项(或者直接使用Wsyscheck的Dos删除功能)，重启后再删除文件。一些带有内核钩子保护的木马应该在删除注册表前恢复SSDT。

4:关于文件删除

流程页面可以使用以下方法：

1.先禁止程序运行，然后手动删除文件(可以使用Wsyscheck内置的文件管理中的直接删除功能)。

顺便说一下，被禁用的程序可以通过使用“安全检查”页面上的“禁用程序管理”功能来恢复，这是流行的IFEO劫持功能，因此在木马劫持IFEO后，可以通过使用“禁用程序管理”来恢复被劫持的程序。

2.用'结束进程并删除文件'Wsyscheck会尝试先重命名再删除，目的是为了防止即使删除失败程序下次也无法启动。

其他服务管理、文件搜索、文件管理都有相关的删除操作。文件管理页面的删除操作支持删除变形目录下的文件。注意，如果文件本身在回收站，请使用直接删除功能。或者使用剪切功能将其复制到另一个地方。否则，你可能会看到回收站里的文件删除了这个又添加了那个(因为右键“删除”就是删除到回收站)。

对于以上功能无法删除的文件，可以使用Wsyscheck的“重启删除”或“dos删除”功能。使用“dos删除”功能后，会在启动菜单中添加一个“删除顽固文件”，执行后会自动清理该文件并删除其添加的启动项。

重启删除和Dos删除可以同时使用。

5:关于如何清理木马的简单方法：

A.如果SSDT管理中有木马模块在运行，请先恢复SSDT，然后在服务管理页面清理木马的服务和文件。

B.如果在完成木马进程后发现木马反复启动，可以使用“禁止进程和文件创建”阻止其启动，然后删除。如果此方法失败，可以尝试使用“结束进程并删除文件”或“禁止此程序运行”。

C.一些木马使用服务来启动。请注意并判断服务页面中的红色显示程序。如果状态为“停止”,类型为“自动”,则它已经运行过一次，因此有可能启动另一个特洛伊木马程序。

D.强烈建议关注“禁用程序管理”。更流行的是通过使用IFEO来禁用查杀软件的木马或启动木马。

E.活动文件页面列出了可能的启动路径，所以要有耐心，检查是否有木马启动项目。

F.使用文件搜索中的“时间限制”条件来搜索生成的文件可能会对您的清理工作有所帮助。

G.如果您不确定检测到的启动项，可以在注册表中找到它并添加“；”这个启动程序的路径。等字符让它下次不启动再观察系统是否正常来判断是不是木马程序。

h .对于Autorun.inf启动的木马，尽量使用Wsyscheck内置的文件管理操作，防止双击盘符再次激活木马。在删除Autorun.inf文件之前，在Wsyscheck的文件管理中打开这个文件，查看木马启动的具体位置，有助于你快速找到木马文件。清理这类木马时，注意检查每个磁盘的根目录，确保Autorun.inf文件被彻底清理。

一、对于确认的木马文件，能直接删除就删除，不能直接删除就找它的启动项删除，在删除文件前重启系统停止系统加载此程序。如果木马防护得很好，上述方法失败，可以使用DOS删除功能先删除文件，再清理启动项。

6:关于禁止其它程序运行的功能：

Wsyscheck使用了图像劫持的原理。如果记事本被禁止打开，注册表如下：

[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Image File Execution Options \ notepad . exe]

调试器“=”禁用运行

以后运行记事本时，会提示找不到。软件缺乏恢复被禁用程序的功能，只能手动删除，也就是在注册表的镜像文件执行选项下找到对应项，直接删除即可。