wsyscheck.exe win7中文版
v1.68.33 綠色漢化版- 軟件大?。?span itemprop="fileSize">2.01 MB
- 軟件語(yǔ)言:中文
- 軟件類(lèi)型:國(guó)產(chǎn)軟件 / 系統(tǒng)測(cè)試
- 軟件授權(quán): 免費(fèi)軟件
- 更新時(shí)間:2017-04-13 15:19:50
- 軟件等級(jí):
- 軟件廠商: -
- 應(yīng)用平臺(tái):WinAll, WinXP
- 軟件官網(wǎng): 暫無(wú)
相關(guān)軟件
完美視頻播放器去廣告版V8.3.4安卓最新版
52.47 MB/中文/6.0
開(kāi)心數(shù)獨(dú)游戲最新版v1.64安卓版
107.30 MB/中文/10.0
心之力v4.4.9 安卓版
64.30 MB/中文/10.0
07073游戲盒v2.5 安卓版
5.76 MB/中文/10.0
SIV系統(tǒng)信息查看器v5.63 最新版
18.71 MB/中文/10.0
軟件介紹人氣軟件精品推薦相關(guān)文章網(wǎng)友評(píng)論下載地址
wsyscheck.exe win7中文版是一款非常好用的電腦系統(tǒng)檢測(cè)軟件,該軟件可以幫助用戶們輕松的檢測(cè)系統(tǒng)問(wèn)題,使用起來(lái)非常方便,還有多種強(qiáng)大功能,讓您生活更加方便,感興趣的朋友們千萬(wàn)不要錯(cuò)過(guò)哦!快來(lái)下載體驗(yàn)吧!
Wsyscheck官方介紹
Wsyscheck一款強(qiáng)大的系統(tǒng)檢測(cè)維護(hù)工具,進(jìn)程和服務(wù)驅(qū)動(dòng)檢查,SSDT強(qiáng)化檢測(cè),注冊(cè)表操作,文件查詢,DOS刪除等一應(yīng)俱全.Wsyscheck為wangsea近期的主打作品,深山紅葉系出自他之手.其他比較好的作品還有系統(tǒng)安全盾、syscheck,大家應(yīng)該不會(huì)陌生.一般來(lái)說(shuō),對(duì)病毒體的判斷主要可以采用查看路徑,查看文件名,查看文件創(chuàng)建日期,查看文件廠商,微軟文件校驗(yàn),查看啟動(dòng)項(xiàng)等方法,syschck在這些方面均盡量簡(jiǎn)化操作,提供相關(guān)的數(shù)據(jù)供您分析.最終判斷并清理木馬取決際您個(gè)人的分析及對(duì)Wsyscheck基本功能的熟悉程度.
使用說(shuō)明
1.關(guān)于卸載模塊
對(duì)HOOK了系統(tǒng)關(guān)鍵進(jìn)程的模塊卸載可能導(dǎo)致系統(tǒng)重啟,這與該模塊的寫(xiě)法有關(guān)系,所以卸載不了的模塊不要強(qiáng)求卸載,可以先刪除該模塊的啟動(dòng)項(xiàng)或文件(驅(qū)動(dòng)加載情況下使用刪除后重啟文件即消失).
2.關(guān)于Wsyscheck啟動(dòng)后狀態(tài)欄的提示"警告!程序驅(qū)動(dòng)未加載成功,一些功能無(wú)法完成."
多數(shù)情況下是安全軟件阻止了Wsyscheck加載所需的驅(qū)動(dòng),這種情況下Wsyscheck的功能有一定減弱,但它仍能用不需要驅(qū)動(dòng)的方法來(lái)完成對(duì)系統(tǒng)的修復(fù).
驅(qū)動(dòng)加載成功的情況下,對(duì)于木馬文件可以直接使用Wsyscheck中各頁(yè)中的刪除文件功能,本功能帶有"直接刪除"運(yùn)行中的文件的功能.
3.關(guān)于文件刪除
驅(qū)動(dòng)加載的情況下,Wsyscheck的刪除功能已經(jīng)夠用了,大多數(shù)文件都可以立即刪除(進(jìn)程模塊可以直接使用右鍵下帶刪除的各項(xiàng)功能),加載的DLL文件刪除后雖然文件仍然可見(jiàn),但事實(shí)上已刪除,重啟后該文件消失.
文件管理頁(yè)的"刪除"操作是刪除文件到回收站,支持畸形目錄下的文件刪除.應(yīng)注意的是如果文件本身在回收站內(nèi),請(qǐng)使用直接刪除功能.或者使用剪切功能將它復(fù)制到另一個(gè)地方.否則你可能看到回收站內(nèi)的文件刪除了這個(gè)又添加了那個(gè).
Wsyscheck的或"dos刪除功能"需要單獨(dú)下載Wsyscheck的附加模塊文件WDosDel.dat,將此文件與Wsyscheck放在一起會(huì)顯示出相關(guān)頁(yè)面,添加待刪除文件并重啟,啟動(dòng)菜單中將出現(xiàn)"刪除頑固文件"字樣,選擇后轉(zhuǎn)入Dos刪除文件.在某些機(jī)器上,若執(zhí)行"dos刪除"重啟后系統(tǒng)報(bào)告文件損壞要修復(fù)(此時(shí)修復(fù)會(huì)造成文件系統(tǒng)的真正損壞),此時(shí)請(qǐng)不要修復(fù)而是立即關(guān)閉主機(jī)電源,重新開(kāi)機(jī).(這種情況是Dos刪除所帶的NTFS支持軟件本身的BUG造成的,并不需要真正的修復(fù),只需關(guān)閉電源重新開(kāi)機(jī)即可.)
"重啟刪除"與"Dos刪除"可以同時(shí)使用.其列表都可以手動(dòng)編輯,一行一個(gè)文件路徑即可.關(guān)閉程序時(shí)如果上述兩者之一存在刪除列表,會(huì)問(wèn)詢是否執(zhí)行.
注意,為避免病毒程序守護(hù),Wsyscheck可以在刪除某些文件時(shí)可能會(huì)采取0字節(jié)文件占位的方式來(lái)確保刪除.這些0字節(jié)文件在Wsyscheck退出后會(huì)被自動(dòng)清理.是否采用此方式依賴(lài)于"軟件設(shè)置"下的"刪除文件后鎖定"選項(xiàng)是否勾選.
如果需要對(duì)刪除的文件備份,先啟用軟件設(shè)置下的"刪除文件前備份文件",它將在刪除前將文件備份到%SystemDrive%\VirusBackup目錄中,且將文件名添加.vir后綴以免誤執(zhí)行.
4.關(guān)于進(jìn)程的結(jié)束后的反復(fù)創(chuàng)建
如果確系木馬文件,可選擇結(jié)束進(jìn)程并刪除文件,這樣的話Wsyscheck會(huì)將其結(jié)束并刪除文件.但有時(shí)因?yàn)槟抉R有關(guān)聯(lián)進(jìn)程未同時(shí)結(jié)束,會(huì)重新加載木馬文件.這時(shí)我們可以選擇"軟件設(shè)置"下的"刪除文件后鎖定".這時(shí)當(dāng)結(jié)束進(jìn)程并刪除文件后Wsyscheck將創(chuàng)建0字節(jié)的鎖定文件防止木馬再生.
也可以使用進(jìn)程頁(yè)的"禁止程序運(yùn)行",這個(gè)功能就是流行的IFEO劫持功能,我們可以使用它來(lái)屏蔽一些結(jié)束后又自動(dòng)重新啟動(dòng)的程序.通過(guò)禁用它的執(zhí)行來(lái)清理文件.解除禁用的程序用"安全檢查"頁(yè)的"禁用程序管理"功能,所以在木馬使用IFEO劫持后也可以"禁用程序管理"中恢復(fù)被劫持的程序.
軟件設(shè)置下的"禁止進(jìn)程與文件創(chuàng)建"功能是針對(duì)木馬的反復(fù)啟動(dòng),反復(fù)創(chuàng)建文件,反復(fù)寫(xiě)注冊(cè)表啟動(dòng)項(xiàng)進(jìn)行監(jiān)視或阻止,使用本功能后能更清松地刪除木馬文件及注冊(cè)表啟動(dòng)項(xiàng).開(kāi)啟禁止"禁止進(jìn)程與文件創(chuàng)建"后會(huì)自動(dòng)添加"監(jiān)控日志"頁(yè),取消后該頁(yè)消失.可以觀察一下日志情況以便從所阻止的動(dòng)作中找到比較隱藏的木馬文件.注意的是,如果木馬插入系統(tǒng)進(jìn)程,則反映的日志是阻止系統(tǒng)進(jìn)程的動(dòng)作,你需要自我分辨該動(dòng)作是否有害并分析該進(jìn)程的模塊文件.
要保留日志請(qǐng)?jiān)谌∠癈trl+A全選后復(fù)制.注意,為防止日志過(guò)多,滿1000條后自動(dòng)刪除前400條日志.
對(duì)于反復(fù)寫(xiě)注冊(cè)表啟動(dòng)項(xiàng)無(wú)法修復(fù)的情況,可以先用"禁止進(jìn)程與文件創(chuàng)建"找出覆寫(xiě)該注冊(cè)表項(xiàng)的進(jìn)程,針對(duì)木馬插入的線程進(jìn)行掛起,再修復(fù)注冊(cè)表.
懶于查看分析,不想太麻煩的話,可以先刪除文件(直接刪除、重啟刪除),待重啟之后再修復(fù)注冊(cè)表.
5.關(guān)于批量處理
各頁(yè)中可嘗試用Ctrl,Shift多選再執(zhí)行相關(guān)的功能.
文件搜索中的"保存文件列表"導(dǎo)出搜索結(jié)果列表1,在PE啟動(dòng)后再執(zhí)行一次得到結(jié)果2,將結(jié)果1與結(jié)果2相比較,可以用來(lái)對(duì)付某些Wsyscheck檢測(cè)不出深度隱藏的RootKit.
6.:關(guān)于如何清理木馬的簡(jiǎn)單方法:
1: 勾選"軟件設(shè)置"下的"刪除文件后鎖定"以阻止文件再生.
2: 批量選擇病毒進(jìn)程,使用"結(jié)束進(jìn)程并刪除文件".
3: 插入到進(jìn)程中的模塊多不可怕,全局鉤子在各進(jìn)程中通常都是相同的,處理進(jìn)程的模塊即可.建議采用"直接刪除模塊文件",本功能執(zhí)行后看不到變化,但文件其實(shí)已經(jīng)刪除.不建議使用"卸載模塊"功能(為保險(xiǎn)也可以與"重啟刪除"聯(lián)用),原因是卸載系統(tǒng)進(jìn)程中的模塊時(shí)有可能造成系統(tǒng)重啟而前功盡棄.
4: 執(zhí)行"清理臨時(shí)文件"、"清除Autorun.inf"
5:在安全檢查中可以修復(fù)的修復(fù)一下.不強(qiáng)求,重啟后再執(zhí)行二次清理.
6: 重啟機(jī)器,大部份的病毒應(yīng)該可以搞定了.此時(shí)再次檢查,發(fā)現(xiàn)還有少量的頑固病毒才使用"禁用""線程""卸載""重啟刪除""Dos刪除"等方法.
7: 清理完后切換到文件搜索頁(yè),限制文件大小為50K左右,去除"排除微軟文件的勾"搜索最近一周的新增的文件,從中選出病毒尸體文件刪除.
軟件功能特色
1.軟件設(shè)置中的模塊、服務(wù)簡(jiǎn)潔顯示
簡(jiǎn)潔顯示會(huì)過(guò)濾所微軟文件,但在使用了"校驗(yàn)微軟文件簽名"功能后,通不過(guò)的微軟文件也會(huì)顯示出來(lái).
SSDt右鍵"全部顯示"是默認(rèn)動(dòng)作,當(dāng)取消這個(gè)選項(xiàng)后,則僅顯示SSDT表中已更改的項(xiàng)目.
2.關(guān)于Wsyscheck的顏色顯示
進(jìn)程頁(yè):
紅色表示非微軟進(jìn)程,紫紅色表示雖然進(jìn)程是微軟進(jìn)程,但其模塊中有非微軟的文件.
服務(wù)頁(yè):
紅色表示該服務(wù)不是微軟服務(wù),且該服務(wù)非.sys驅(qū)動(dòng).(最常見(jiàn)的是.exe與.dll的服務(wù),木馬大多使用這種方式).
使用"檢查鍵值"后,藍(lán)色顯示的是有鍵值保護(hù)的隨系統(tǒng)啟動(dòng)的驅(qū)動(dòng)程序.它們有可能是殺軟的自我保護(hù),也有可能是木馬的鍵值保護(hù).
在取消了"模塊、服務(wù)簡(jiǎn)潔顯示"后,查看第三方服務(wù)可以點(diǎn)擊標(biāo)題條"文件廠商"排序,結(jié)合使用"啟動(dòng)類(lèi)型"、"修改日期"排序更容易觀察到新增的木馬服務(wù).
進(jìn)程頁(yè)中查看模塊與服務(wù)頁(yè)中查看服務(wù)描述可以使用鍵盤(pán)的上下鍵控制.
在使用"軟件設(shè)置"-"校驗(yàn)微軟文件簽名"后,紫紅色顯示未通過(guò)微軟簽名的文件.同時(shí),在各顯示欄的"微軟文件校驗(yàn)"會(huì)顯示Pass與no pass.(可以據(jù)此參考是否是假冒微軟文件,注意的是如果紫紅色顯示過(guò)多,可能是你的系統(tǒng)是網(wǎng)上常見(jiàn)的Ghost精簡(jiǎn)版,這些版本可能精簡(jiǎn)掉了微軟簽名數(shù)據(jù)庫(kù)所以結(jié)果并不可信)
活動(dòng)文件頁(yè):
紅色顯示的常規(guī)啟動(dòng)項(xiàng)的內(nèi)容.
3.SSDT管理頁(yè):
默認(rèn)顯示全部的SSDT表,紅色表示內(nèi)核被HOOK的函數(shù).查看第三方模塊,可以點(diǎn)擊兩次標(biāo)簽"映像路徑"排序,則第三方HOOK的模塊會(huì)排在一起列在最前面.也可以取消"全部顯示",則僅顯示入口改變了的函數(shù).
SSDT頁(yè)的"代碼異常"欄如顯示"YES",表明該函數(shù)被Inline Hook.如果一個(gè)函數(shù)同時(shí)存在代碼HOOK與地址HOOK,則對(duì)應(yīng)的模塊路徑顯示的是Inline Hook的路徑,而使用"恢復(fù)當(dāng)前函數(shù)代碼"功能只恢復(fù)Inline Hook,路徑將顯示為地址HOOK的模塊路徑,再使用"恢復(fù)當(dāng)前函數(shù)地址"功能就恢復(fù)到默認(rèn)的函數(shù)了.
使用"恢復(fù)所有函數(shù)"功能則同時(shí)恢復(fù)上述兩種HOOK.
發(fā)現(xiàn)木馬修改了SSDT表時(shí)請(qǐng)先恢復(fù)SSDT,再作注冊(cè)表刪除等操作.
一般看其意即識(shí)其意,僅對(duì)部份子項(xiàng)說(shuō)明:
清除臨時(shí)文件:刪除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件.
禁用硬盤(pán)自動(dòng)播放:本功能還包括磁盤(pán)無(wú)法雙擊打開(kāi)故障.注意,某些故障修復(fù)后可能需要注銷(xiāo)或重啟才能生效.
修復(fù)安全模式:某些木馬會(huì)破壞安全模式的鍵值導(dǎo)致無(wú)法進(jìn)入安全模式,本功能先備份當(dāng)前安全模式鍵值再恢復(fù)默認(rèn)的安全模式鍵值.
Wsyscheck可以使用的參數(shù)說(shuō)明:
Wsyscheck可以帶參數(shù)運(yùn)行以提高自身的優(yōu)先級(jí)
Wsyscheck 1 高于標(biāo)準(zhǔn) Wsyscheck 2 高 Wsyscheck 3 實(shí)時(shí)
例如需要實(shí)時(shí)啟動(dòng)Wsyscheck,可以編輯一個(gè)批處理 RunWs.bat ,內(nèi)容為 Wsyscheck 3
將RunWs.bat與Wsyscheck放在一起,雙擊RunWs.bat即可讓W(xué)syscheck以實(shí)時(shí)優(yōu)先級(jí)啟動(dòng).
Wsyscheck -f wsyscheck將恢復(fù)部份查詢類(lèi)的SSdt表中的函數(shù),然后退出.
Wsyscheck -s 在-f的基礎(chǔ)上執(zhí)行創(chuàng)建安全環(huán)境后退出.
如將Wsyscheck.exe更名,則Wsyscheck啟動(dòng)后先恢復(fù)執(zhí)行部份查詢類(lèi)的SSdt表中的函數(shù),其恢復(fù)結(jié)果可以在SSdt顯示頁(yè)下面的Auto Restore中看到.不更名則不帶此功能.另外,更名后Wsyscheck將使用隨機(jī)驅(qū)動(dòng)名來(lái)釋放驅(qū)動(dòng).
隨手工具說(shuō)明(指菜單工具下的子菜單功能)
更多>> 軟件截圖
推薦應(yīng)用
硬件檢測(cè)工具(aida64 extreme edition) 45.00 MB
下載/多國(guó)語(yǔ)言[中文]/8.0 v6.70.6026 綠色版顯卡烤機(jī)軟件geeks3d furmark 11.37 MB
下載/中文/10.0 v1.29.0.0 綠色中文版GPU-Z(顯卡信息檢測(cè)工具) 9.24 MB
下載/中文/3.0 v2.46.0 簡(jiǎn)體中文漢化版HD Tune(硬盤(pán)檢測(cè)工具) 1.50 MB
下載/中文/1.0 v5.70 Pro 狐貍少爺漢化版微星小飛機(jī)MSI Afterburner 44.00 MB
下載/中文/8.0 v4.6.2.15745 官方安裝版華碩GPU Tweak(顯卡超頻管理工具) 98.50 MB
下載/中文/10.0 v2.3.8.0 官方安裝版everest ultimate edition(硬盤(pán)基準(zhǔn)測(cè)試) 6.71 MB
下載/多國(guó)語(yǔ)言[中文]/10.0 v5.50.2230 綠色版金山衛(wèi)士系統(tǒng)文件修復(fù)工具 1.61 MB
下載/中文/10.0 v1.1 綠色版
其他版本下載
精品推薦
相關(guān)文章
下載地址
wsyscheck.exe win7中文版 v1.68.33 綠色漢化版
查看所有評(píng)論>> 網(wǎng)友評(píng)論
更多>> 猜你喜歡