Wsyscheck中文版下載 v1.68.33.0 綠色服務(wù)器版(支持Win10)

軟件介紹

Wsyscheck服務(wù)器版是一款可以支持多種Windows系統(tǒng)的系統(tǒng)檢測維護工具，我們可以通過這款軟件來對電腦的進程、服務(wù)驅(qū)動、注冊表等重要內(nèi)容進行檢測，從而幫助你尋找到系統(tǒng)上的隱藏漏洞，快速進行修復，讓系統(tǒng)能夠一直保持最佳狀態(tài)。

Wsyscheck服務(wù)器版軟件簡介

Wsyscheck是一款強大的系統(tǒng)檢測維護工具,進程和服務(wù)驅(qū)動檢查,SSDT強化檢測,文件查詢,注冊表操作,DOS刪除等一應俱全.該作品為wangsea的主打作品,其他比較好的作品還有系統(tǒng)安全盾、syscheck,大家應該不會陌生.特別說明一下,SysCheck已經(jīng)不更新了,WSysCheck可以說是SysCheck的升級版或強化版.

功能介紹

1.進程管理。

2.內(nèi)核檢查。

3.服務(wù)管理。

4.安全檢查。

5.文件管理。

6.注冊表管理。

7.軟件設(shè)置/工具。

參數(shù)介紹

Wsyscheck可以帶參數(shù)運行以提高自身的優(yōu)先級

Wsyscheck 1 高于標準 Wsyscheck 2 高 Wsyscheck 3 實時

例如需要實時啟動Wsyscheck,可以編輯一個批處理 RunWs.bat ,內(nèi)容為 Wsyscheck 3

將RunWs.bat與Wsyscheck放在一起，雙擊RunWs.bat即可讓Wsyscheck以實時優(yōu)先級啟動。

Wsyscheck -f wsyscheck將恢復部份查詢類的SSdt表中的函數(shù),然后退出。

Wsyscheck -s 在-f的基礎(chǔ)上執(zhí)行創(chuàng)建安全環(huán)境后退出。

如將Wsyscheck.exe更名，則Wsyscheck啟動后先恢復執(zhí)行部份查詢類的SSdt表中的函數(shù)，其恢復結(jié)果可以在SSdt顯示頁下面的Auto Restore中看到。不更名則不帶此功能。另外，更名后Wsyscheck將使用隨機驅(qū)動名來釋放驅(qū)動。

Wsyscheck服務(wù)器版使用說明

1:關(guān)于Wsyscheck的顏色顯示

進程頁：

紅色表示非微軟進程,紫紅色表示雖然進程是微軟進程,但模塊中有非微軟的模塊。

服務(wù)頁：

紅色表示該服務(wù)一不是微軟服務(wù),而且該服務(wù)是非.sys驅(qū)動。（最常見的是.exe與.dll的服務(wù)，木馬大多使用這種方式）。

在使用“校驗微軟文件的簽名”后，紫紅色顯示未通過微軟簽名的微軟驅(qū)動。(可以參考是否是假冒微軟驅(qū)動，注意的是如果紫紅色如果顯示過多，可能是你使用的系統(tǒng)是網(wǎng)上通常見的Ghost精簡版，這些版本可能精簡掉了微軟簽名數(shù)據(jù)庫。)

使用“檢查鍵值”后，藍色顯示的是有鍵值保護的隨系統(tǒng)啟動的驅(qū)動程序。它們有可能是殺軟的自我保護，也有可能是木馬的鍵值保護。

關(guān)于如何將第三方服務(wù)排列在一起可以點擊標題條”文件廠商”排一下序，結(jié)合使用“啟動類型”、“修改日期”排序更容易觀察到新增的木馬服務(wù)。

SSDT管理頁：紅色表示內(nèi)核被HOOK的函數(shù)。

2:關(guān)于Wsyscheck啟動后狀態(tài)欄的提示“警告！程序驅(qū)動未加載成功，一些功能無法完成。”

多數(shù)情況下是你的殺軟阻止了Wsyscheck加載所需的驅(qū)動，這種情況下Wsyscheck的功能有一定減弱，但它仍能用不需要驅(qū)動的方法來完成對系統(tǒng)的修復。

3:關(guān)于卸載模塊

對HOOK系統(tǒng)關(guān)鍵進程的模塊卸載可能導致系統(tǒng)重啟，這與該模塊HOOK的函數(shù)有關(guān)系，所以卸載不了的可以先刪除該模塊的啟動項（或直接使用Wsyscheck的Dos刪除功能），重啟后再刪除文件。某些有內(nèi)核HOOK保護的木馬請恢復SSDT后再作注冊表刪除操作。

4:關(guān)于文件刪除

進程頁可以使用的方法有：

1、先禁止程序運行，再手動刪除文件（可以使用Wsyscheck內(nèi)置文件管理中的直接刪除功能）。

附帶說一下，解除禁用的程序用“安全檢查”頁的“禁用程序管理”功能即可，這個功能就是流行的IFEO劫持功能,所以在木馬使用IFEO劫持后可以用“禁用程序管理”來恢復被劫持的程序。

2、使用"結(jié)束進程并刪除文件”，Wsyscheck會嘗試先更名再刪除，目的就是即使刪除失敗也讓程序下次不能啟動。

其它的服務(wù)管理、文件搜索、及文件管理都有相關(guān)的刪除操作。文件管理頁的刪除操作支持畸形目錄下的文件刪除，注意的是如果文件本身在回收站內(nèi)，請使用直接刪除功能?；蛘呤褂眉羟泄δ軐⑺鼜椭频搅硪粋€地方。否則你可能看到回收站內(nèi)的文件刪除了這個又添加了那個（因為右鍵“刪除”是刪除到回收站）

對于用以上功能刪除不了的文件，可以使用Wsyscheck的“重啟刪除”或“dos刪除功能”，使用“dos刪除功能”功能后會在啟動菜單中添加一項“刪除頑固文件”，執(zhí)行后自動清理文件并去掉它所添加的啟動項。

“重啟刪除”與“Dos刪除”可以同時使用。

5:關(guān)于如何清理木馬的簡單方法：

a.如果SSDT管理中有木馬模塊在工作,請先恢復SSDT,再在服務(wù)管理頁清理木馬的服務(wù)及文件。

b.如果結(jié)束木馬進程后反復發(fā)現(xiàn)木馬啟動，可以使用“禁止進程與文件創(chuàng)建”讓其不再啟動后刪除。如果這個方法失效，可以嘗試使用“結(jié)束進程并刪除文件”或“禁止這個程序運行”。

c.有些木馬利用服務(wù)啟動，請注意一下并判斷一下服務(wù)頁中的紅色顯示程序。如果狀態(tài)是STOP，而類型是Auto，則它已運行過一次，所以有可能啟動了別的木馬程序。

d.強烈建議注意一下“禁用程序管理”，利用IFEO禁用殺軟或啟動木馬程序的木馬是比較流行的。

e.活動文件頁列出了可能的啟動途徑，所以耐心一點檢查一下是否有木馬的啟動項目。

f.文件搜索中利用“限制時間”條件來搜索產(chǎn)生的文件可能有助于您的清理工作。

g.對于檢測出的啟動項，如果不是十分肯定，可以定位到注冊表，將這個啟動程序的路徑前加上“；”等字符讓其下次不啟動再觀察系統(tǒng)是否正常以判斷它是否是一個木馬程序。

h.對于以Autorun.inf方式啟動的木馬，操作中盡量使用Wsyscheck內(nèi)置的文件管理操作以防雙擊盤符再次激活木馬。在刪除Autorun.inf文件前用Wsyscheck的文件管理中打開這個文件查看木馬啟動的具體位置有利于您快速找到木馬文件。這類木馬清理時注意查看一下各盤根目錄以保證完全清理了Autorun.inf文件。

i.對于已確定的木馬文件，能直接刪除就刪除，不能直接刪除就找到它的啟動項刪除啟并重啟系統(tǒng)讓系統(tǒng)不再加載此程序后再做文件刪除。如果木馬保護的比較好，上述方式失效,可以用DOS刪除功能先刪文件再清理啟動項。

6:關(guān)于禁止其它程序運行的功能：

Wsyscheck采用的原理是映像劫持，如禁止記事本打開，注冊表中如下：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]

"Debugger"="DisabledRun"

以后運行記事本時就會提示無法找到。該軟件缺少恢復被禁用程序的功能，只能手動來清除，即找到注冊表Image File Execution Options下的相應項直接刪除就行。