wsyscheck教程

1、一、主界面 先来看一下wsyscheck的主界面：见图1.1： 从标题栏、菜单栏、工具栏从大到小，从整体到局部的顺序来一一介绍，我们先看看wsyscheck的标题栏，标题栏看似没什么异样，但只要你留心，你就会发现它的特点：随机文件名。每起动一次，名字就不一样，这样做，我想是防止被病毒映像劫持，目前在修复系统时，wsyscheck目前不会被病毒禁用并不是因为它名气不大，而是因为采用了随机文件名的起动机制，我们来看看第一次启动和第二次启动的变化就清楚了：见图1.2、图1.3： 下面我们来看看“软件设置”这一栏的功能，在这一栏里一共有几个选项，我们来看下。见图1.4： 模块、服务简洁显示：此项默认选

2、上，自动隐藏了微软服务，这样看起来更简单明了，红色的表示是非微软服务，且不是sys驱动，一般为exe或dll驱动，注意看签名和路径了。检验微软文件签名：可以通过校验微软文件的签名来看下是否有冒充微软的东东，紫红色显示的都是未通过微软的正式签名的文件（标注为no pass）见图1.5： 禁止进程与文件创建：很多病毒会出现删除了又自动生成情况，这个选项就是为了防止这种现象专门设计的，可以很好的抑制病毒文件和进程的再次生成。强烈建议在删除恶意程序时选中此项。删除文件前备份文件：如果你对将要删除的文件不太确定是否是正常文件还是病毒，只是觉得可疑，出于安全起见，你可以选上此项进行删除前的备份，以用来误删

3、正常文件的恢复。删除文件后锁定：这个功能可能了解的朋友不多，其实很简单，选上此项后，在删除文件或程序后，会在wsyscheck关闭之前，保留文件或程序的尸体，程序清空为0字节，当用户操作完成关闭wsyscheck后，被删除的文件或程序也就被直接删除了，可以在有病毒程序有自我保护的情况下使用，以确保其删除。“工具”选项里的功能就不再多加说明了，相信大家一看便明白，注意的是，如果大家在修复能力有限时，可以直接尝试使用“构建安全环境”（但也可能会使一些正常工具出现问题），一看是不是使用上非常的方便？呵呵见图1.6： 二、进程管理现在来看工具栏里的选项功能了，wsyscheck提供了非常方便和强大的修

4、复功能，而且用颜色对正常和非正常的程序加以区分，对进程dll插入也用非常简洁的方式同时显示出来，不得不说，这种设计理念理学的成功，很直观，一目了然！见图2.1： 三、内核检查这个可能对于刚刚接触安全方面的朋友来说，可能是点陌生的部分，下面我就个人的一点认识对这几个选项做一个大致的说明3.1ssdt要了解什么是ssdt，就要先了解一下ring0和ring3以及api的含义：ssdt，是一个路标，就是一个把ring3的win32 api和ring0的内核api联系起来的角色，那么，这里又涉及到两个概念，一个是ring，一个是api。所谓的ring，实际按等级分为0-3，但通常只用两个：系统核心层（

5、0）和用户程序层（3），显然，前者有着至高无上的权限，后者只有着普通应用权限，受系统限制。而api，是应用编程接口，windows中的dll便是其api函数的重要组成部分之一，它是能用来操作组件、应用程序或者操作系统的一组函数。api又分为两级：用户api和原生api。话说，我们在执行程序操作时，首先会由用户api导出相关函数，在用户api和原生api交换之前，会先经过ntdll.dll这个动态数据链接来实行真正意义上的交换，因为真正处理这个执行请求还是原生api（native api），然后，系统会在ssdt里查找原生api的位置，最后由原生api执行完成请求并返回。实际上，ssdt就是一个

6、表，里面记录的是原生api的位置以及其他一些相关信息。fsd：file system driver，就是文件系统驱动。通常，在系统中，负责管理磁盘数据和文件读写的部分被称为“文件系统”，而在windows系统中，是叫做“输入输出管理程序”，简称为ios（汗，全称有一个单词不记得怎么写的），而在ios下面，就是“可安装文件系统”，简称为ifs（继续有单词不记得如何拼写），再下面，也就是最底层，就是这个fsd了（呵呵，全称已经在有了），很明显，如果控制了这方面的权限，那么，你会出现删除其相关文件出错，或者是储如此类的情况。这个也是rookit在hook ssdt以及inline hook ssdt

7、以后，用于反anti-rookit工具的一种自我保护措施。总结一下，ssdt是程序执行过程中的一组函数路标，而fsd是对文件读写操作控制相关。前者被恶意hook后，典型表现为，你执行程序明明做a事，结果却做b事去了，而fsd如果对恶意hook的话，则表现为对其相关程序进行保护，拒绝一些文件操作请求。hook fsd是rk在hook ssdt后期产生的自我保护隐藏技术。我们来看一下wsyscheck的ssdt相关选项：见图3.1： 3.2 fsd项见图3.2： 3.3 内核扫描关于这个选项，先看图再慢慢解释见图3.3： 这里要解释一下ntoskrnl.exe进程，是nt os kernel的缩写

8、形式，它是初始化执行程序子系统并引导系统的驱动程序，换句话说，如果这个文件出现丢失或损坏的话，很可能出现无法正常进入系统的故障，并且它是windows系统内核服务进程，并且提供了相对应的各个系统服务函数，点击选项中的“代码扫描”选项，可以查看其inline-hook的情况。3.4 系统模块这个就比较简单了，就不多说了，红黑两色，所有标注很清楚，直接看图：见图3.4： 四、服务管理服务管理项显示非常的简洁，功能相当的强大，更值得一提的是，wsyscheck的功能机制非常全面到位， 在服务管理项里我们可以看到，在对某项服务操作时，可以同时进行对其文件和服务的一并删除，重启删除，定位文件，查看属性，

9、定位注册表选项等等，也就是说，不会像其它工具那样删服务、相关注册表键值和文件时那样找来找去，可以直接相互关联很快很方便的进行定位操作，三个字概括一下：对于检查键值保护，这个是检查此相关驱动是否有自我保护，作者声明如下：使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护。见图4.1 五、安全检查这是最后一个大项了，呵呵，一个一个来看吧!见图5.1： 5.1 常规检查这个选项中，一共有四个大项，分别是host、winsock、映像劫持列表、重要键值变动。.host：hosts文件是用来记录主机ip地址和主机名的对应关系，建立后就可

10、以用主机名来访问主机，而不必记ip地址了。在windows2000/xp系统中位于c:windowssystem32driversetc目录中。wsyscheck正是显示得这个host文件里的内容，自己查看的话也可以用记事本打开，内容如下：# copyright (c) 1993-1999 microsoft corp.# this is a sample hosts file used by microsoft tcp/ip for windows.# this file contains the mappings of ip addresses to host names. each# e

11、ntry should be kept on an individual line. the ip address should# be placed in the first column followed by the corresponding host name.# the ip address and the host name should be separated by at least one# space.# additionally, comments (such as these) may be inserted on individual# lines or follo

12、wing the machine name denoted by a # symbol.# for example:（格式举例）#102.54.94.97# source server#38.25.63.10# x client host127.0.0.1localhost（本机ip地址）大致翻译：这个文件是根据tcp/ip for windows 的标准来工作的，它的作用是包含ip地址和host name 主机名的映射关系，是一个映射ip地址和host name 主机名的规定，规定要求每段只能包括一个映射关系，ip地址要放在每段的最前面，空格后再写上映射的host name 主机名。对于这段

13、的映射说明用“#”分割后用文字说明。关于host的其它用途不说了，但host一个很重要的功能是屏蔽恶意插件和恶意网站，例如会变成：“127.0.0.1 网址”，但有些恶意脚本同样可以达到修改host文件的目的，也就会出现我们通常所说的域名解析错误。.winsock：winsock是用来网络传输的控件，可进行tcp/ip和udp协议，但邦定端口的形式不一样，winsock可传输字符串和字节，但字节更安全准确，网络传输时，客户端和服务器端，tcp协议，邦定形式不同，udp基本一样，确定连接时connectionrequest事件，接收数据dataarray事件。里面的mswsock.dll、rsv

14、psp.dll以及winrnr.dll分别和winsock网络服务、rsvp service provider以及ldap传输协议有关，具体相关的东西我也不介绍了，网上很多，大家有兴趣可以自己找找。.关于映像劫持，自从av终结者诞生以来，已经对这个再熟悉不过了，不介绍了，此选项添加了禁用或允许程序运行的选项。.重要键值变动：这个是文件关联部分，我的这里显示的ini和chm是文件扩展名，后面是当前的键值，可以用右键修复错误的文件关联。5.2 活动文件哪些进程程序正在运行，一目了然：见图5.2： 5.3 ie安全实际上就是我们通常所说的ie浏览器加载项：见图5.3： 5.4 端口状态可以查看所有的远程连接和路径：见图5.4 5.5 文件搜索这个功能笔者个人很喜欢，因为修复了系统以后，多少还有一些尸体之类的东东最后还要清理一下，这样一来的话会干净很多。见图5.5： 5.6 重启删除一般来说，笔者建议使用直接删除文件，或者是锁定删除，基本上用到这个很少，算是备用功能吧。见图5.6： 六、文件管理非常强大的文件管理功能见图6.1： 七、注册表管理这个选项的功能很方便，很强大，可以对任意的注册表的键值、子项备份删除操作。见图7.1： 这里要说一下，提供的快捷的注册表键值位置，一共包括15个目录，分2组：.hkey_l