Wsyscheck是一款手動清理病毒木馬的工具,其目的是簡化病毒木馬的識別與清理工作。
一般來說,對病毒體的判斷主要可以采用查看路徑,查看文件名,查看文件創(chuàng)建日期,查看文件廠商,微軟文件校驗,查看啟動項等方法,Wsyschck在這些方面均盡量簡化操作,提供相關的數(shù)據(jù)供您分析。
最終判斷并清理木馬取決際您個人的分析及對Wsyscheck基本功能的熟悉程度。
Wsyscheck基本功能簡單介紹:
1:軟件設置中的模塊、服務簡潔顯示
簡潔顯示會過濾所微軟文件,但在使用了“校驗微軟文件簽名”功能后,通不過的微軟文件也會顯示出來。
SSDt右鍵“全部顯示”是默認動作,當取消這個選項后,則僅顯示SSDT表中已更改的項目。
2:關于Wsyscheck的顏色顯示
進程頁:
紅色表示非微軟進程,紫紅色表示雖然進程是微軟進程,但其模塊中有非微軟的文件。
服務頁:
紅色表示該服務不是微軟服務,且該服務非.sys驅動。(最常見的是.exe與.dll的服務,木馬大多使用這種方式)。
使用“檢查鍵值”后,藍色顯示的是有鍵值保護的隨系統(tǒng)啟動的驅動程序。它們有可能是殺軟的自我保護,也有可能是木馬的鍵值保護。
在取消了“模塊、服務簡潔顯示”后,查看第三方服務可以點擊標題條”文件廠商”排序,結合使用“啟動類型”、“修改日期”排序更容易觀察到新增的木馬服務。
進程頁中查看模塊與服務頁中查看服務描述可以使用鍵盤的上下鍵控制。
在使用“軟件設置”-“校驗微軟文件簽名”后,紫紅色顯示未通過微軟簽名的文件。同時,在各顯示欄的"微軟文件校驗"會顯示Pass與no pass。(可以據(jù)此參考是否是假冒微軟文件,注意的是如果紫紅色顯示過多,可能是你的系統(tǒng)是網(wǎng)上常見的Ghost精簡版,這些版本可能精簡掉了微軟簽名數(shù)據(jù)庫所以結果并不可信)