Wsyscheck是一款系統(tǒng)檢測(cè)工具，用戶(hù)可以在Wsyscheck內(nèi)檢測(cè)注冊(cè)表、查詢(xún)文件，方便您可以更好的來(lái)進(jìn)行使用。此外還可以對(duì)驅(qū)動(dòng)進(jìn)行檢查，便于您的電腦系統(tǒng)更加的安全、健康。

【軟件介紹】

Wsyscheck一款強(qiáng)大的系統(tǒng)檢測(cè)維護(hù)工具，進(jìn)程和服務(wù)驅(qū)動(dòng)檢查，SSDT強(qiáng)化檢測(cè)，注冊(cè)表操作，文件查詢(xún)，DOS刪除等一應(yīng)俱全。Wsyscheck為wangsea近期的主打作品，深山紅葉系出自他之手。其他比較好的作品還有系統(tǒng)安全盾、syscheck，大家應(yīng)該不會(huì)陌生。特別說(shuō)明一下，SysCheck現(xiàn)在已經(jīng)不再更新，不再提供下載。 WSysCheck可以說(shuō)是SysCheck的升級(jí)版或強(qiáng)化版。

【功能介紹】

“進(jìn)程管理”功能介紹
查看系統(tǒng)中運(yùn)行的進(jìn)程和下掛模塊，可以對(duì)進(jìn)程進(jìn)行終止、掛起、刪除、禁止執(zhí)行（IFEO原理）等操作，對(duì)模塊進(jìn)行卸載、刪除、重命名等操作。
定位進(jìn)程、模塊的文件路徑、檢查文件數(shù)字簽名。
“進(jìn)程管理”顏色說(shuō)明
紅色表示非微軟進(jìn)程，紫紅色表示雖然進(jìn)程是微軟進(jìn)程，但進(jìn)程中有非微軟的模塊。
效驗(yàn)所有數(shù)字簽名后簽名正常的顯示pass，未簽名或簽名已過(guò)期顯示no pass。



服務(wù)管理
紅色表示該服務(wù)一不是微軟服務(wù)，而且該服務(wù)是非.sys驅(qū)動(dòng)。（最常見(jiàn)的是.exe與.dll的服務(wù)，木馬大多使用這種方式）。
使用“校驗(yàn)微軟文件的簽名”后，紫紅色顯示未通過(guò)微軟簽名的微軟驅(qū)動(dòng)。
使用“檢查鍵值”后，藍(lán)色顯示的是有鍵值保護(hù)的隨系統(tǒng)啟動(dòng)的驅(qū)動(dòng)程序。他們有可能是殺軟的自我保護(hù)，也有可能是木馬的鍵值保護(hù)。
點(diǎn)擊標(biāo)題條“文件廠(chǎng)商”排序，結(jié)合使用“啟動(dòng)類(lèi)型”?！靶薷娜掌凇迸判蚋菀子^(guān)察到新增的木馬服務(wù)。



安全檢查
常規(guī)檢查：HOST、winsock、映像劫持列表、重要鍵值變動(dòng)（文件關(guān)聯(lián)）。
活動(dòng)文件：列出了全部啟動(dòng)項(xiàng)和explorer加載項(xiàng)，清理木馬時(shí)可以檢查一下是否有木馬的啟動(dòng)項(xiàng)目。
IE安全：IE瀏覽器加載項(xiàng)，主頁(yè)。
端口狀態(tài)：可以查看所有的遠(yuǎn)程連接和路徑。
文件搜索：修復(fù)系統(tǒng)以后，可能會(huì)殘留一些病毒尸體，最后可以篩選清理一下。
重啟刪除：和LA重啟刪除原理類(lèi)似，可以刪除一些正在占用的文件，如果直接刪除能刪除，建議使用直接刪除文件，或者是鎖定刪除。







文件管理
對(duì)磁盤(pán)文件進(jìn)行管理和編輯操作。
驅(qū)動(dòng)加載的情況下，WSC的刪除功能很強(qiáng)大，大多數(shù)文件都可以立即刪除（進(jìn)程模塊可以直接使用右鍵下帶刪除的各項(xiàng)功能），加載的DLL文件刪除后雖然文件仍然可見(jiàn)，但事實(shí)上已刪除，重啟后該文件消失。
文件管理頁(yè)的“刪除”操作是刪除文件到回收站，支持畸形目錄下的文件刪除。



注冊(cè)表管理
對(duì)任意的注冊(cè)表的鍵值，子項(xiàng)備份刪除操作。
即使系統(tǒng)自帶的regedit注冊(cè)表編輯器被禁用后者破壞，也不影響wsc的注冊(cè)表編輯功能上方有一些注冊(cè)表常用路徑的收藏夾，點(diǎn)擊可以直接跳轉(zhuǎn)到指定路徑。



軟件設(shè)置/工具
如果確系木馬文件,可選擇結(jié)束進(jìn)程并刪除文件,這樣的話(huà)Wsyscheck會(huì)將其結(jié)束并刪除文件。但有時(shí)因?yàn)槟抉R有關(guān)聯(lián)進(jìn)程未同時(shí)結(jié)束，會(huì)重新加載木馬文件。這時(shí)我們可以選擇“軟件設(shè)置”下的“刪除文件后鎖定”。這時(shí)當(dāng)結(jié)束進(jìn)程并刪除文件后Wsyscheck將創(chuàng)建0字節(jié)的鎖定文件防止木馬再生。



模塊，服務(wù)簡(jiǎn)潔顯示：
此項(xiàng)默認(rèn)選中，自動(dòng)隱藏了微軟服務(wù)，這樣看起來(lái)更簡(jiǎn)單明了，紅色的表示此項(xiàng)是非微軟服務(wù)，且不是sys驅(qū)動(dòng)（一般為exe或dll驅(qū)動(dòng)，注意看簽名和路徑辨別）；紫紅色表示雖然進(jìn)程是微軟進(jìn)程，但進(jìn)程中有非微軟的模塊。
檢驗(yàn)微軟文件簽名：
通過(guò)校驗(yàn)微軟文件的簽名來(lái)看下掛是否有冒充微軟的進(jìn)程或模塊，未通過(guò)微軟正式簽名的文件標(biāo)注為no pass。
禁止進(jìn)程與文件創(chuàng)建：
很多病毒會(huì)出現(xiàn)刪除了又自動(dòng)生成情況，這個(gè)選項(xiàng)就是為了防止這種現(xiàn)象專(zhuān)門(mén)設(shè)計(jì)的，可以很好的抑制病毒文件和進(jìn)程的再次生成。建議在刪除惡意程序時(shí)選中此項(xiàng)。
刪除文件前備份文件：
如果對(duì)將要?jiǎng)h除的文件不太確定是正常文件還是病毒，只是覺(jué)得可疑，出于安全起見(jiàn)，可以選上此項(xiàng)進(jìn)行刪除前的備份，以用來(lái)恢復(fù)誤刪的正常文件。備份路徑為%SystemDrive%\VirusBackup目錄，會(huì)將文件名添加.vir后綴以免誤執(zhí)行。
刪除文件后鎖定：
為避免病毒程序守護(hù)，Wsyscheck在刪除某些文件時(shí)可能會(huì)采取0字節(jié)文件占位的方式來(lái)確保刪除。這些0字節(jié)文件在Wsyscheck退出后會(huì)被自動(dòng)清理。
注：
1.Wsyscheck的窗口本身已采取隨機(jī)字符，如果仍然被木馬禁用，可將Wsyscheck改名后運(yùn)行，加載的驅(qū)動(dòng)被攔截時(shí)可暫時(shí)退出安全軟件。
2.修復(fù)能力有限時(shí)，可以直接嘗試使用，“構(gòu)建安全環(huán)境”（但也可能會(huì)使一些正常工具出現(xiàn)問(wèn)題）。

【使用方法】

1、進(jìn)程管理，可以查看系統(tǒng)正在運(yùn)行的程序
2、內(nèi)核檢測(cè)，深入掃描系統(tǒng)文件
3、服務(wù)管理，可以查看后臺(tái)的運(yùn)行軟件，并強(qiáng)制關(guān)閉，可以查看后臺(tái)的運(yùn)行軟件，并強(qiáng)制關(guān)閉



4、安全檢測(cè)，進(jìn)行系統(tǒng)病毒掃描模式
5、文件管理，可以對(duì)指定的文件進(jìn)行安全管理

【更新說(shuō)明】

V1.68.33
修正內(nèi)置注冊(cè)表瀏覽器顯示二進(jìn)制數(shù)據(jù)錯(cuò)誤的BUG。
調(diào)整使用-run啟動(dòng)腳本時(shí)顯示腳本窗體。

V1.68.32
修正因?yàn)榇诺鷻C(jī)變種導(dǎo)致本軟件界面無(wú)法顯示的BUG。