Wsyscheck常用的功能和作用

Wsyscheck常用的功能和作用

Wsyscheck是一款强大的系统检测维护工具（简称WSC），也是一款ARK工具，可以用来修复系统设置或手工清理病毒。

功能

1.进程管理。

2.内核检查。

3.服务管理。

4.安全检查。

5.文件管理。

6.注册表管理。

7.软件设置/工具。

“进程管理”功能介绍

查看系统中运行的进程和下挂模块，可以对进程进行终止、挂起、删除、禁止执行（IFEO原理）等操作，对模块进行卸载、删除、重命名等操作。

定位进程、模块的文件路径、检查文件数字签名。

“进程管理”颜色说明

红色表示非微软进程，紫红色表示虽然进程是微软进程，但进程中有非微软的模块。

效验所有数字签名后签名正常的显示pass，未签名或签名已过期显示no pass。

服务管理

红色表示该服务一不是微软服务，而且该服务是非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）。

使用“校验微软文件的签名”后，紫红色显示未通过微软签名的微软驱动。

使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。他们有可能是杀软的自我保护，也有可能是木马的键值保护。

点击标题条“文件厂商”排序，结合使用“启动类型”。“修改日期”排序更容易观察到新增的木马服务。

安全检查

常规检查：HOST、winsock、映像劫持列表、重要键值变动（文件关联）。

活动文件：列出了全部启动项和explorer加载项，清理木马时可以检查一下是否有木马的启动项目。

IE安全：IE浏览器加载项，主页。

端口状态：可以查看所有的远程连接和路径。

文件搜索：修复系统以后，可能会残留一些病毒尸体，最后可以筛选清理一下。

重启删除：和LA重启删除原理类似，可以删除一些正在占用的文件，如果直接删除能删除，建议使用直接删除文件，或者是锁定删除。

文件管理

对磁盘文件进行管理和编辑操作。

驱动加载的情况下，WSC的删除功能很强大，大多数文件都可以立即删除（进程模块可以直接使用右键下带删除的各项功能），加载的DLL文件删除后虽然文件仍然可见，但事实上已删除，重启后该文件消失。

文件管理页的“删除”操作是删除文件到回收站，支持畸形目录下的文件删除。

注册表管理

对任意的注册表的键值，子项备份删除操作。

即使系统自带的regedit注册表编辑器被禁用后者破坏，也不影响wsc的注册表编辑功能上方有一些注册表常用路径的收藏夹，点击可以直接跳转到指定路径。

软件设置/工具

如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。但有时因为木马有关联进程未同时结束，会重新加载木马文件。这时我们可以选择“软件设置”下的“删除文件后锁定”。这时当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件防止木马再生。

模块，服务简洁显示：

此项默认选中，自动隐藏了微软服务，这样看起来更简单明了，红色的表示此项是非微软服务，且不是sys驱动（一般为exe或dll驱动，注意看签名和路径辨别）；紫红色表示虽然进程是微软进程，但进程中有非微软的模块。

检验微软文件签名：

通过校验微软文件的签名来看下挂是否有冒充微软的进程或模块，未通过微软正式签名的文件标注为no pass。

禁止进程与文件创建：

很多病毒会出现删除了又自动生成情况，这个选项就是为了防止这种现象专门设计的，可以很好的抑制病毒文件和进程的再次生成。建议在删除恶意程序时选中此项。

删除文件前备份文件：

如果对将要删除的文件不太确定是正常文件还是病毒，只是觉得可疑，出于安全起见，可以选上此项进行删除前的备份，以用来恢复误删的正常文件。备份路径为%SystemDrive%\VirusBackup目录，会将文件名添加.vir后缀以免误执行。

删除文件后锁定：

为避免病毒程序守护，Wsyscheck在删除某些文件时可能会采取0字节文件占位的方式来确保删除。这些0字节文件在Wsyscheck退出后会被自动清理。

注：

1.Wsyscheck的窗口本身已采取随机字符，如果仍然被木马禁用，可将Wsyscheck改名后运行，加载的驱动被拦截时可暂时退出安全软件。

2.修复能力有限时，可以直接尝试使用，“构建安全环境”（但也可能会使一些正常工具出现问题）。