wsyscheck，Wsyscheck构建安全环境

本文目录一览

• 1，Wsyscheck构建安全环境
• 2，wsyscheck是什么东西干什么用的
• 3，Wsyscheck 这是什么软件
• 4，如何放行wsyscheck
• 5，我想知道wsyscheck和icesword是怎么编的
• 6，wsyscheck这个工具怎么用
• 7，Wsyscheck的服务项目检测和其他的有什么不同啊
• 8，Wsyscheck怎么用

1，Wsyscheck构建安全环境

Wsyscheck里面有个SDF函数还有个什么函数，然后恢复所有函数。。 重新构建安全环境。

2，wsyscheck是什么东西干什么用的

管理进程的一个小工具，虽然在这领域有大名鼎鼎的ICESWORD，但正所谓树大招风，好多木马，病毒都会在运行是禁止包括ICESWORD在内的安全工具运行，而wsyscheck还没这么有名，所以反而能逃过木马，病毒的监控。在使用上也很方便，他对不同类型进程用不同颜色表示，我们在查找可疑进程时一目了然。要详细资料的百度或者GOOGLE一下吧。

3，Wsyscheck 这是什么软件

很不幸的提醒你，网上没得下的……

手动的木马查杀工具 可以关闭 检测进程 比较好用据说

4，如何放行wsyscheck

终于解决了，应该是被拦截文件中黑名单设置太严了，我把黑名单程序组 那个删除就可以了，谢谢月光和beloved

在计算机安全规则中添加主程序为 信任程序；仍然不行，无询问框，直接无法启动。

5，我想知道wsyscheck和icesword是怎么编的

汇编更底层。也许是通过中断获得更高权限。怎么编嘛就要看使用的语言了 一般都有函数可以调用。冰刃不是在运行时会触发卡巴的主动防御。可以通过这个了解一下[:11:]

汇编更底层。也许是通过中断获得更高权限。怎么编嘛就要看使用的语言了 一般都有函数可以调用。冰刃不是在运行时会触发卡巴的主动防御。可以通过这个了解一下[:11:]

6，wsyscheck这个工具怎么用

类似于冰刃IceSword，这是系统安全的小工具，用它可以查看进程、查看系统开启的服务、文件查询、注册表操作，一般情况下没多大作用，在中毒的时候及可以查看病毒进程并结束，删除病毒文件，其实这些功能跟360安全卫士差不多，你可以去下载瑞星卡卡或者360这些更傻瓜式易用的软件，相信你肯定会用的。

http://bbs.cfanclub.net/read.php?tid-36781.html 去电脑爱好者论坛看看！不过得先注册用户！

7，Wsyscheck的服务项目检测和其他的有什么不同啊

wsyscheck的服务管理里包括了驱动程序和服务的。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下可以找的到，如果隐藏的可能不行了像SREng是把 驱动和服务分开的。冰刃里的服务只显示服务。

wsyscheck的服务管理里包括了驱动程序和服务的。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下可以找的到，如果隐藏的可能不行了像SREng是把 驱动和服务分开的。冰刃里的服务只显示服务。

8，Wsyscheck怎么用

1:软件设置中的模块、服务简洁显示简洁显示会过滤所微软文件，但在使用了“校验微软文件签名”功能后，通不过的微软文件也会显示出来。SSDt右键“全部显示”是默认动作，当取消这个选项后，则仅显示SSDT表中已更改的项目。2:关于Wsyscheck的颜色显示进程页：红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。服务页：红色表示该服务不是微软服务,且该服务非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）。使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护。在取消了“模块、服务简洁显示”后，查看第三方服务可以点击标题条”文件厂商”排序，结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。在使用“软件设置”-“校验微软文件签名”后，紫红色显示未通过微软签名的文件。同时，在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件，注意的是如果紫红色显示过多，可能是你的系统是网上常见的Ghost精简版，这些版本可能精简掉了微软签名数据库所以结果并不可信)SSDT管理页：默认显示全部的SSDT表，红色表示内核被HOOK的函数。查看第三方模块，可以点击两次标签“映像路径”排序，则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径，而使用“恢复当前函数代码”功能只恢复Inline Hook，路径将显示为地址HOOK的模块路径，再使用“恢复当前函数地址”功能就恢复到默认的函数了。使用“恢复所有函数”功能则同时恢复上述两种HOOK。发现木马修改了SSDT表时请先恢复SSDT，再作注册表删除等操作。活动文件页：红色显示的常规启动项的内容。3:关于Wsyscheck启动后状态栏的提示“警告！程序驱动未加载成功，一些功能无法完成。”多数情况下是安全软件阻止了Wsyscheck加载所需的驱动，这种情况下Wsyscheck的功能有一定减弱，但它仍能用不需要驱动的方法来完成对系统的修复。驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。

卡巴斯基的强大不用质疑.一直是号称世界第2,但是再我心中它是绝对是市面杀毒软件中王者。卡巴斯基反病毒软件2009（kav) uusee免费半年地址： <a href="http://wenwen.soso.com/z/urlalertpage.e?sp=shttp%3a%2f%2fkaba.uusee.com%2fuusee_kav.html" target="_blank">http://kaba.uusee.com/uusee_kav.html</a> nod32世界第5 配置低用户用它最好不过.出了名的又小又省（cpu以内存）360安全卫士专用版本 免费半年地址： <a href="http://wenwen.soso.com/z/urlalertpage.e?sp=shttp%3a%2f%2feset.360.cn%2findex.html" target="_blank">http://eset.360.cn/index.html</a> avast! home edition试用60天注册后家庭版免费地址: <a href="http://wenwen.soso.com/z/urlalertpage.e?sp=shttp%3a%2f%2fwww.avast.com%2fcns%2fdownload-avast-home.html" target="_blank">http://www.avast.com/cns/download-avast-home.html</a> 趋势杀毒墨者独立版 （终身免费，要同墨者软件一同使用！)世界第10地址: <a href="http://wenwen.soso.com/z/urlalertpage.e?sp=shttp%3a%2f%2fwww.mozhe.com%2f" target="_blank">http://www.mozhe.com/</a> 瑞星杀读软件2009天空有免费3个月的，地址： <a href="http://wenwen.soso.com/z/urlalertpage.e?sp=shttp%3a%2f%2fwww.skycn.com%2fsoft%2f15092.html" target="_blank">http://www.skycn.com/soft/15092.html</a> 金山毒霸2009杀毒套装(试用37天).地址： <a href="http://wenwen.soso.com/z/urlalertpage.e?sp=shttp%3a%2f%2fwww.duba.net%2fdownload%2fbaidu1.shtml" target="_blank">http://www.duba.net/download/baidu1.shtml</a> 卡巴斯基key站一个地址： <a href="http://wenwen.soso.com/z/urlalertpage.e?sp=shttp%3a%2f%2fwww.kavkiskey.com%2f" target="_blank">http://www.kavkiskey.com/</a> z

4:关于卸载模块对HOOK了系统关键进程的模块卸载可能导致系统重启，这与该模块的写法有关系，所以卸载不了的模块不要强求卸载，可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。5:关于文件删除驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见，但事实上已删除，重启可观察到文件已消失。文件管理页的“删除”操作是删除文件到回收站，支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内，请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个（因为右键“删除”是删除到回收站）。对于用以上功能仍删除不了的文件，可以使用Wsyscheck的或“dos删除功能”，使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文件”，执行后自动清理文件并去掉它所添加的启动项。“dos删除”在多系统情况下可能存在一些问题，请慎用。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。“重启删除”仅作为驱动无法加载情况下使用的一种辅助手段，“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表，会问询是否执行。如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”，它将在删除前将文件备份到%SystemDrive%\VirusBackup目录中，且将文件名添加.vir后缀以免误执行。6:关于进程的结束后的反复创建可以使用进程页的“禁止程序运行”，这个功能就是流行的IFEO劫持功能，我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能，,所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。另外，软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动，反复创建文件，反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页，取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是，如果木马插入系统进程，则反映的日志是阻止系统进程的动作，你需要自我分辨该动作是否有害并分析该进程的模块文件。要保留日志请在取消前Ctrl A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。

文章TAG：wsyscheck  Wsyscheck构建安全环境  构建  安全  安全环