進(jìn)程掃描判斷工具

1:手機(jī)軟件設(shè)定中的模塊，服務(wù)項(xiàng)目簡(jiǎn)約表明

簡(jiǎn)約表明會(huì)過(guò)慮所微軟公司文件，但在應(yīng)用了“校檢微軟公司文件簽字”功能后，不過(guò)關(guān)的微軟公司文件也會(huì)展示出去。

SSDt鼠標(biāo)右鍵“所有表明”是默認(rèn)設(shè)置姿勢(shì)，當(dāng)撤銷(xiāo)這一頁(yè)面后，則僅表明SSDT表格中已變更的新項(xiàng)目。

2:有關(guān)Wsyscheck的彩色表明

進(jìn)程頁(yè)：

鮮紅色表明非微軟公司進(jìn)程,暗紫色表明盡管進(jìn)程是微軟公司進(jìn)程,但其模塊含有非微軟公司的文件。

服務(wù)項(xiàng)目頁(yè)：

鮮紅色表明該服務(wù)項(xiàng)目并不是微軟公司服務(wù)項(xiàng)目,且該服務(wù)項(xiàng)目非.sys推動(dòng)。（最多見(jiàn)的是.exe與.dll的服務(wù)項(xiàng)目，木馬大多數(shù)應(yīng)用這類(lèi)方法）。

應(yīng)用“查驗(yàn)鍵值”后，深藍(lán)色表明的是有鍵值維護(hù)的隨開(kāi)機(jī)啟動(dòng)的驅(qū)動(dòng)軟件。他們有可能是殺毒軟件的防范意識(shí)，也是有可能是木馬的鍵值維護(hù)。

在取消了“模塊，服務(wù)項(xiàng)目簡(jiǎn)約表明”后，查詢(xún)第三方服務(wù)能夠點(diǎn)一下文章標(biāo)題條”文件生產(chǎn)商”排列，融合應(yīng)用“運(yùn)行種類(lèi)”，“改動(dòng)日期”排列更非常容易觀查到增加的木馬服務(wù)項(xiàng)目。

進(jìn)程頁(yè)中查詢(xún)模塊與服務(wù)項(xiàng)目頁(yè)中查詢(xún)服務(wù)項(xiàng)目敘述能夠應(yīng)用電腦鍵盤(pán)的左右鍵操縱。

在應(yīng)用“手機(jī)軟件設(shè)定”-“校檢微軟公司文件簽字”后，暗紫色表明未根據(jù)微軟公司簽字的文件。與此同時(shí)，在各表明欄的微軟公司文件校檢會(huì)表明Pass與no pass。(能夠由此參照是不是仿冒微軟公司文件，留意的是假如暗紫色表明太多，很有可能你的操作系統(tǒng)是在網(wǎng)上普遍的Ghost精簡(jiǎn)，這種版本號(hào)很有可能精減掉了微軟公司簽字?jǐn)?shù)據(jù)庫(kù)查詢(xún)因此效果并不能信)

SSDT管理頁(yè)：

默認(rèn)設(shè)置表明所有的SSDT表，鮮紅色表明核心被HOOK的涵數(shù)。查詢(xún)第三方模塊，能夠點(diǎn)一下2次標(biāo)識(shí)“印象途徑”排列，則第三方HOOK的模塊會(huì)排在一起列在最前邊。還可以撤銷(xiāo)“所有表明”,則僅表明通道變了的涵數(shù)。

SSDT頁(yè)的“編碼出現(xiàn)異常”欄如表明“YES”,說(shuō)明該涵數(shù)被Inline Hook。假如一個(gè)涵數(shù)與此同時(shí)存有編碼HOOK與詳細(xì)地址HOOK,則相應(yīng)的模塊途徑表明的是Inline Hook的途徑，而應(yīng)用“修復(fù)當(dāng)今涵數(shù)編碼”功能只修復(fù)Inline Hook，途徑將表明為詳細(xì)地址HOOK的模塊途徑，再應(yīng)用“修復(fù)當(dāng)今涵數(shù)詳細(xì)地址”功能就修復(fù)到默認(rèn)設(shè)置的涵數(shù)了。

應(yīng)用“修復(fù)全部涵數(shù)”功能則與此同時(shí)修復(fù)以上二種HOOK。

發(fā)覺(jué)木馬改動(dòng)了SSDT表時(shí)請(qǐng)先修復(fù)SSDT，再作注冊(cè)表文件刪除等實(shí)際操作。

主題活動(dòng)文件頁(yè)：

鮮紅色表明的基本開(kāi)機(jī)啟動(dòng)項(xiàng)的內(nèi)容。

3:有關(guān)Wsyscheck運(yùn)行后通知欄的提醒“警示！程序流程推動(dòng)未載入取得成功，一些功能沒(méi)法進(jìn)行?！?/p>

大部分狀況下是防護(hù)軟件阻攔了Wsyscheck載入需要的推動(dòng)，這類(lèi)情形下Wsyscheck的功能有一定變?nèi)酰钥捎貌挥猛苿?dòng)的辦法來(lái)進(jìn)行系統(tǒng)的修補(bǔ)。

推動(dòng)載入取得成功的情形下,針對(duì)木馬文件能夠立即應(yīng)用Wsyscheck中各頁(yè)中的刪除文件功能,本功能含有“立即刪除”運(yùn)作中的文件的功能。

4:有關(guān)卸載掉模塊

對(duì)HOOK了系統(tǒng)軟件重要進(jìn)程的模塊卸載掉很有可能可能會(huì)導(dǎo)致重新啟動(dòng)，這與該模塊的書(shū)寫(xiě)有關(guān)系，因此卸載掉不上的模塊不必奢求卸載掉，能夠先刪除該模塊的開(kāi)機(jī)啟動(dòng)項(xiàng)或文件(推動(dòng)載入狀況下應(yīng)用刪除后重新啟動(dòng)文件即消退)。

5:有關(guān)文件刪除

推動(dòng)載入的情形下,Wsyscheck的刪除功能早已能用了,大部分文件都能夠馬上刪除(進(jìn)程模塊能夠立即應(yīng)用鼠標(biāo)右鍵下帶刪除的各類(lèi)功能),載入的DLL文件刪除后盡管文件依然由此可見(jiàn)，但實(shí)際上已刪除，重新啟動(dòng)可觀測(cè)到文件已消退。

文件管理方法頁(yè)的“刪除”實(shí)際操作是刪除文件到垃圾回收站，適用畸型文件目錄下的文件刪除。應(yīng)特別注意的是假如文件自身在垃圾回收站內(nèi)，請(qǐng)應(yīng)用立即刪除功能。或是應(yīng)用裁切功能將它拷貝到另一個(gè)地區(qū)。不然你很有可能見(jiàn)到垃圾回收站內(nèi)的文件刪除了一個(gè)又加上了那一個(gè)（由于鼠標(biāo)右鍵“刪除”是刪除到垃圾回收站）。

針對(duì)用之上功能仍刪除不上的文件，能夠應(yīng)用Wsyscheck的或“dos刪除功能”，應(yīng)用“dos刪除”功能之后在運(yùn)行菜單欄中加上一項(xiàng)“刪除難除文件”，實(shí)行后自動(dòng)清理文件并除掉它所加上的開(kāi)機(jī)啟動(dòng)項(xiàng)?！癲os刪除”在多系統(tǒng)軟件狀況下很有可能存有一些難題，請(qǐng)謹(jǐn)慎使用。本功能必須將輔助件Wdosdel.dat與Wsyscheck放到一起才會(huì)表明有關(guān)網(wǎng)頁(yè)頁(yè)面。

“重新啟動(dòng)刪除”僅做為推動(dòng)沒(méi)法載入狀況下采用的一種輔助方式，“重新啟動(dòng)刪除”與“Dos刪除”能夠一起應(yīng)用。其目錄都能夠手動(dòng)式編寫(xiě),一行一個(gè)文件途徑就可以。結(jié)束進(jìn)程時(shí)假如以上二者之一存有刪除目錄，會(huì)詢(xún)問(wèn)是不是實(shí)行。

假如必須對(duì)刪除的文件備份數(shù)據(jù),先開(kāi)啟手機(jī)軟件設(shè)定下的“刪除文件前備份數(shù)據(jù)文件”，它將在刪除前將文件備份數(shù)據(jù)到%SystemDrive%\VirusBackup文件目錄中，且將文件名加上.vir后綴名以防誤實(shí)行。

6:有關(guān)進(jìn)程的之后的不斷建立

能夠應(yīng)用進(jìn)程頁(yè)的“嚴(yán)禁程序執(zhí)行”，這一功能便是時(shí)興的IFEO挾持功能，我們可以應(yīng)用它來(lái)屏蔽掉一些完畢后又全自動(dòng)重啟的程序流程。根據(jù)禁止使用它的實(shí)施來(lái)清除文件。消除禁止使用的過(guò)程用“安全大檢查”頁(yè)的“禁止使用程序管理”功能，,因此在木馬應(yīng)用IFEO挾持后還可以“禁止使用程序管理”中修復(fù)遭劫持的程序流程。

此外，手機(jī)軟件設(shè)定下的“嚴(yán)禁進(jìn)程與文件建立”功能是對(duì)于木馬的頻繁運(yùn)行，不斷建立文件，不斷寫(xiě)注冊(cè)表文件開(kāi)機(jī)啟動(dòng)項(xiàng)開(kāi)展監(jiān)控或阻攔,應(yīng)用本功能后能更清松地刪除木馬文件及注冊(cè)表文件開(kāi)機(jī)啟動(dòng)項(xiàng)。

打開(kāi)嚴(yán)禁“嚴(yán)禁進(jìn)程與文件建立”后會(huì)全自動(dòng)加上“監(jiān)管日志”頁(yè)，撤銷(xiāo)后此頁(yè)消退。能夠考察一下日志狀況便于從所阻攔的姿勢(shì)中遇到較為潛藏的木馬文件。留意的是，假如木馬插進(jìn)系統(tǒng)軟件進(jìn)程，則體現(xiàn)的日志是阻攔系統(tǒng)軟件進(jìn)程的姿勢(shì)，你需要自身辨別該姿勢(shì)是不是有危害并剖析該進(jìn)程的模塊文件。

要保存日志請(qǐng)?jiān)诔蜂N(xiāo)前Ctrl A都選后拷貝。留意,為避免日志太多,滿(mǎn)1000條后全自動(dòng)刪除前400條日志。

對(duì)于上邊的狀況,你還是能夠應(yīng)用進(jìn)程中的“進(jìn)程信息內(nèi)容”功能，從進(jìn)程與模塊對(duì)應(yīng)關(guān)系中掛起來(lái)相對(duì)應(yīng)的進(jìn)程，隨后完畢守衛(wèi)程序流程或掛起來(lái)守衛(wèi)程序流程，再實(shí)行立即刪除文件功能。

7:有關(guān)如何清理木馬的通俗方式：

非常簡(jiǎn)單的辦法是：推動(dòng)載入取得成功的情形下,針對(duì)木馬文件能夠立即應(yīng)用Wsyscheck中各頁(yè)中的刪除文件功能（即先用環(huán)刪除功能解決木馬文件）,實(shí)行完后重新啟動(dòng)系統(tǒng)軟件，，再消除它的開(kāi)機(jī)啟動(dòng)項(xiàng)，注冊(cè)表項(xiàng)等載入方式。

假如出現(xiàn)較難解決的木馬，下列流程能夠當(dāng)作一個(gè)參照：

a.假如SSDT管理中有木馬模塊在工作中,請(qǐng)先修復(fù)SSDT,再在管理與服務(wù)頁(yè)清除木馬的服務(wù)項(xiàng)目及文件。

b.假如完畢木馬進(jìn)程后不斷發(fā)覺(jué)木馬運(yùn)行，能夠試著應(yīng)用“完畢進(jìn)程并刪除文件”或“嚴(yán)禁這一程序執(zhí)行”,讓其不會(huì)再運(yùn)行后刪除。

還能夠相互配合應(yīng)用“嚴(yán)禁進(jìn)程與文件建立”讓其不會(huì)再建立新進(jìn)程，建立文件失效而清除它。

c.有一些木馬運(yùn)用服務(wù)項(xiàng)目運(yùn)行，一定要注意一下并分辨一下服務(wù)項(xiàng)目頁(yè)中的鮮紅色表明程序流程。假如情況是STOP，而種類(lèi)是Auto，則它已運(yùn)作過(guò)一次，因此有可能運(yùn)行了其他木馬程序流程。

d.強(qiáng)烈要求留意一下“禁止使用程序管理”，現(xiàn)階段運(yùn)用IFEO禁止使用殺毒軟件或運(yùn)行木馬程序流程的木馬是非常盛行的。

e.主題活動(dòng)文件頁(yè)列舉了很有可能的運(yùn)行方式，因此細(xì)心一點(diǎn)檢查一下是不是有木馬的運(yùn)行新項(xiàng)目。

f.文件檢索中運(yùn)用“限定時(shí)間”標(biāo)準(zhǔn)來(lái)檢索最近造成的文件很有可能有利于您的清洗工作中。

g.針對(duì)檢查出的開(kāi)機(jī)啟動(dòng)項(xiàng)，要不是十分毫無(wú)疑問(wèn)，能夠精準(zhǔn)定位到注冊(cè)表文件，將這一運(yùn)行程序流程的途徑前再加上“；”等標(biāo)識(shí)符讓其下一次不運(yùn)行再觀查系統(tǒng)軟件能否一切正常以分辨它是不是一個(gè)木馬程序流程。

h.針對(duì)以Autorun.inf方法運(yùn)行的木馬，可以用專(zhuān)用工具下的“消除Autorun.inf”功能（可相互配合“嚴(yán)禁進(jìn)程與文件建立”應(yīng)用以獲取最好是的實(shí)際效果）。假如手動(dòng)式清除，實(shí)際操作中盡可能應(yīng)用Wsyscheck內(nèi)嵌的文件管理方法實(shí)際操作防止雙擊鼠標(biāo)本地磁盤(pán)再度激話(huà)木馬。在手動(dòng)式刪除Autorun.inf文件前要Wsyscheck的文件管理方法中開(kāi)啟這一文件查詢(xún)木馬運(yùn)行的具體地址有益于您迅速尋找木馬文件。清除時(shí)完后檢查一下各盤(pán)網(wǎng)站根目錄以確保徹底清除了Autorun.inf文件。

i.應(yīng)用“嚴(yán)禁進(jìn)程與文件建立”留意一下增加的日志頁(yè)，便于尋找木馬的根本原因。假如在日志頁(yè)觀查到不斷寫(xiě)建立文件，不斷寫(xiě)注冊(cè)表文件，不斷建立的進(jìn)程。當(dāng)此進(jìn)程是是非非系統(tǒng)軟件進(jìn)程時(shí)還可以立即關(guān)掉并刪除它。如果是系統(tǒng)軟件進(jìn)程，必須手動(dòng)式剖析一下該進(jìn)程的模塊（相互配合查詢(xún)一下主題活動(dòng)頁(yè)的載入項(xiàng)有利于迅速尋找木馬插進(jìn)系統(tǒng)軟件進(jìn)程的模塊）。清除文件注冊(cè)表文件進(jìn)行后不必撤出“嚴(yán)禁進(jìn)程與文件建立”，而應(yīng)立即應(yīng)用專(zhuān)用工具下的“重新啟動(dòng)電子計(jì)算機(jī)”，以保證大家的清除取得成功。

j.針對(duì)已明確的木馬文件，能立即刪除就刪除，不可以立即刪除就尋找它的開(kāi)機(jī)啟動(dòng)項(xiàng)刪除啟并重新啟動(dòng)系統(tǒng)軟件讓系統(tǒng)軟件不會(huì)再載入此程序流程后再做文件刪除。假如木馬維護(hù)的比較好，以上方法無(wú)效,可以用DOS刪除功能先刪文件再清除開(kāi)機(jī)啟動(dòng)項(xiàng)。

8:Wsyscheck能夠帶主要參數(shù)運(yùn)作以提升自己的優(yōu)先

Wsyscheck 1 高過(guò)規(guī)范 Wsyscheck 2 高 Wsyscheck 3 即時(shí)

比如必須即時(shí)運(yùn)行Wsyscheck,能夠編寫(xiě)一個(gè)批處理命令 RunWs.bat ,內(nèi)容為 Wsyscheck 3

將RunWs.bat與Wsyscheck放到一起，雙擊鼠標(biāo)RunWs.bat就可以讓W(xué)syscheck以即時(shí)優(yōu)先運(yùn)行。

9:順手專(zhuān)用工具表明(指菜單欄專(zhuān)用工具下的子菜單欄功能)

消除臨時(shí)性文件:刪除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的全部文件。

消除Autorun.inf:程序流程剖析各盤(pán)根目錄下的Autorun.inf偏向的文件，刪除各盤(pán)的Autorun.inf以及偏向的文件。

修補(bǔ)掩藏文件表明及禁止使用電腦硬盤(pán)全屏播放:工具欄過(guò)長(zhǎng)寫(xiě)不完,本功能還包含硬盤(pán)沒(méi)法雙擊鼠標(biāo)開(kāi)啟常見(jiàn)故障。留意，一些常見(jiàn)故障修補(bǔ)后可能必須銷(xiāo)戶(hù)或重新啟動(dòng)才可以起效。

修補(bǔ)安全中心：一些木馬會(huì)毀壞安全中心的鍵值造成沒(méi)法進(jìn)到安全中心，本功能先備份數(shù)據(jù)當(dāng)今安全中心鍵值再修復(fù)默認(rèn)設(shè)置的安全中心鍵值。

搭建安全性自然環(huán)境：復(fù)原SSDT(一些殺毒軟件復(fù)原SSDT會(huì)造成卡死,本功能僅檢測(cè)在Kv系列產(chǎn)品,Kav6.0下應(yīng)用沒(méi)有問(wèn)題,其他版本號(hào)請(qǐng)自主檢測(cè)。如不確定性,應(yīng)用本功能前最好是撤出殺毒軟件進(jìn)程),只保存系統(tǒng)軟件務(wù)必的好多個(gè)進(jìn)程，隨后實(shí)行以上三個(gè)子菜單欄功能。

假如Wsyscheck的對(duì)話(huà)框自身已采用任意標(biāo)識(shí)符,假如依然被木馬禁止使用,請(qǐng)將Wsyscheck更名后運(yùn)作。