強大的系統檢測維護工具 ─ Wsyscheck V1.68.33

這是繼IceSword冰刃之後的第二把劍,甲胖自從將Vista更新至SP1之後,IceSword冰刃就無法使用了,總是秀出「初始化失敗」的訊息,但是電腦還是須要一個強大又有效的工具來做「危機處理」,甲胖在此推薦Wsyscheck工具,它的功能可比IceSword,且可在Vista SP1上執行操作,甚至更強更好用。

Wsyscheck 是一款手動清理病毒木馬的工具,其目的是簡化病毒木馬的識別與清理工作。一般來說,對病毒體的判斷主要可以採用檢查路徑、檢查檔名、檢查檔案建立日期、檢查檔案廠商、微軟檔案驗證、檢查啟動項目等方法,Wsyschck 在這些方面均盡量簡化作業,提供相關的資料供您分析。最終判斷並清理木馬取決於您個人的分析,以及對 Wsyscheck 基本功能的熟悉程度。

Wsyscheck 基本功能簡單介紹:

1、軟體設定中的模組、服務簡潔顯示

簡潔顯示會篩選所有的微軟檔案,但在使用了 [驗證微軟檔案簽署] 功能後,通不過的微軟檔案也會顯示出來。
SSDT 右鍵 [全部顯示] 是預設動作,當取消這個選項後,則僅顯示 SSDT 表中已修改的項目。

2、關於 Wsyscheck 的色彩顯示

處理序管理:
  紅色表示非微軟處理序;紫紅色表示雖然是微軟處理序,但其模組中帶有非微軟的檔案。

服務管理:
  紅色表示該服務不是微軟服務,且該服務非 .sys 驅動。 (最常見的是 .exe 與 .dll 的服務,木馬大多使用這種方式)

  使用 [檢查機碼保護] 後,藍色顯示的是有機碼保護的隨系統啟動的驅動程式。它們有可能是防毒軟體的自我保護,也有可能是木馬的機碼保護。

  在取消了 [簡潔顯示模組和服務] 後,檢視第三方服務可以按標題 [檔案廠商] 排序,結合使用 [啟動類型]、[修改日期] 排序更容易觀察到新增的木馬服務。

處理序管理中的檢視模組,與服務管理中的檢視服務描述,可以使用鍵盤的上下鍵控制。

在使用 [軟體設定 → 驗證微軟檔案簽署] 後,紫紅色顯示未通過微軟簽署的檔案。同時,在各顯示列的 [微軟檔案驗證] 會顯示 Pass 與 no pass。(可以據此參考是否為假冒的微軟檔案,注意的是:如果紫紅色顯示過多,可能是您的系統是網上常見的 Ghost 精簡版,這些版本可能精簡掉了微軟簽署資料庫所以結果並不可信)

SSDT 檢查:

預設顯示所有的 SSDT 表,紅色表示核心被 HOOK 的函式。檢視第三方模組,可以雙按標籤 [映像路徑] 排序,則第三方 HOOK 的模組會排在一起列在最前面。也可以取消 [全部顯示],則僅顯示入口改變了的函式。

SSDT 檢查的 [代碼異常] 欄位如顯示 [YES],表示該函式被 Inline Hook。如果一個函式同時存在代碼 HOOK 與位址 HOOK,則對應的模組路徑顯示的是 Inline Hook 的路徑,而使用 [還原目前函式代碼] 功能只還原 Inline Hook,路徑將顯示為位址 HOOK 的模組路徑,再使用 [還原目前函式位址] 功能就還原到預設的函式了。

使用 [還原所有函式] 功能則同時還原上述兩種 HOOK。

發現木馬修改了 SSDT 表時,請先還原 SSDT,再做登錄檔刪除等動作。

活動檔案:
紅色顯示的是一般啟動項的內容。

3、關於 Wsyscheck 啟動後狀態列的提示 [警告:程式的驅動載入失敗,一些功能無法完成。]

多數情況下是安全軟體阻止了 Wsyscheck 載入所需的驅動,這種情況下 Wsyscheck 的功能有一定減弱,但它仍能用不需要驅動的方法來完成對系統的修復。

驅動載入成功的情況下,對於木馬檔案可以直接使用 Wsyscheck 中各分頁的刪除檔案功能,本功能帶有 [直接刪除] 執行中的檔案的功能。

4、關於卸載模組

對 HOOK 了系統關鍵處理序的模組卸載可能導致系統重啟,這與該模組的寫法有關係,所以卸載不了的模組不要強求卸載,可以先刪除該模組的啟動項或檔案 (載入驅動情況下使用刪除後重啟檔案即消失)。

5、關於檔案刪除

驅動載入的情況下,Wsyscheck 的刪除功能已經夠用了,大多數檔案都可以立即刪除 (處理序模組可以直接使用右鍵下帶刪除的各項功能);載入的 DLL 檔案刪除後,雖然檔案仍然可見,但事實上已刪除,重啟後該檔案消失。

檔案管理分頁的 [刪除] 操作是刪除檔案到資源回收筒,支援畸形目錄下的檔案刪除。應注意的是如果檔案本身在資源回收筒內,請使用直接刪除功能。或者使用剪下功能將它複製到另一個地方。否則您可能看到資源回收筒內的檔案刪除了這個又添加了那個。

Wsyscheck 的或 [dos 刪除功能] 需要單獨下載 Wsyscheck 的附加模組檔案 WDosDel.dat,將此檔案與 Wsyscheck 放在一起會顯示出相關頁面,加入待刪除檔案並重啟,啟動功能表中將出現 [刪除頑固檔案] 字樣,選擇後轉入 Dos 刪除檔案。在某些電腦上,若執行 [dos刪除] 重啟後,系統報告檔案損壞要修復 (此時修復會造成檔案系統的真正損壞),此時請不要修復而是立即關閉主機電源,重新開機。 (這種情況是 Dos 刪除所帶的 NTFS 支援軟體本身的 BUG 造成的,並不需要真正的修復,只需關閉電源重新開機即可。)

[重啟刪除] 與 [Dos 刪除] 可以同時使用。其清單都可以手動編輯,一行一個檔案路徑即可。關閉程式時,如果上述兩者之一存在刪除清單,會詢問是否執行。

注意,為避免病毒程式守護,Wsyscheck 可以在刪除某些檔案時,可能會採取 0 位元組檔案占位的方式來確保刪除。這些 0 位元組檔案在 Wsyscheck 結束後會被自動清理。是否採用此方式依賴於 [軟體設定] 下的 [刪除檔案後鎖定] 選項是否勾選。

如果需要對刪除的檔案備份,先啟用軟體設定下的 [刪除檔案前備份檔案],它將在刪除前將檔案備份到 %SystemDrive%\VirusBackup 目錄中,且會將檔名加上 [.vir] 副檔名以免誤執行。

6、關於處理序結束後的反覆建立

如果確定是木馬檔案,可選擇結束處理序並刪除檔案,這樣的話 Wsyscheck 會將其結束並刪除檔案。但有時因為木馬有關聯處理序未同時結束,會重新載入木馬檔案。這時我們可以選擇 [軟體設定] 下的 [刪除檔案後鎖定]。這時當結束處理序並刪除檔案後,Wsyscheck 將建立 0 位元組的鎖定檔案防止木馬再生。

也可以使用處理序管理分頁的 [禁止程式執行],這個功能就是流行的 IFEO 攔截功能,我們可以使用它來封鎖一些結束後又自動重新啟動的程式。透過停用它的執行來清理檔案。解除停用的程式用 [安全檢查] 分頁的 [停用程式管理] 功能,所以在木馬使用 IFEO 攔截後,也可以 [停用程式管理] 中還原被攔截的程式。

軟體設定下的 [禁止處理序與檔案建立] 功能是針對木馬的反覆啟動,反覆建立檔案,反覆寫入登錄檔啟動項進行監視或阻止,使用本功能後能更輕鬆地刪除木馬檔案及登錄檔啟動項。開啟禁止 [禁止處理序與檔案建立] 後會自動加入 [監視記錄] 分頁,取消後該分頁消失。可以觀察一下記錄情況以便從所阻止的動作中找到比較隱藏的木馬檔案。注意的是,如果木馬插入系統處理序,則反應的記錄是阻止系統處理序的動作,您需要自我分辨該動作是否有害並分析該處理序的模組檔案。

要保留記錄請在取消前 Ctrl+A 全選後複製。注意,為防止記錄過多,滿 1000 條後會自動刪除前 400 條記錄。

對於反覆寫入登錄檔啟動項無法修復的情況,可以先用 [禁止處理序與檔案建立] 找出覆寫該登錄機碼的處理序,針對木馬插入的緒程進行暫止,再修復登錄檔。

懶的查閱分析,不想太麻煩的話,可以先刪除檔案 (直接刪除、重啟刪除),待重啟之後再修復登錄檔。

7、關於批次處理

各分頁中可嘗試用 Ctrl、Shift 多選再執行相關的功能。

檔案搜尋中的 [儲存檔案清單] 匯出搜尋結果清單 1,在 PE 啟動後再執行一次得到結果 2,將結果 1 與結果 2 相比對,可以用來對付某些 Wsyscheck 檢測不出深度隱藏的 RootKit。

8、關於如何清理木馬的簡單方法:

1). 勾選 [軟體設定] 下的 [刪除檔案後鎖定] 以阻止檔案再生。

2). 批次選擇病毒處理序,使用 [中止處理序並刪除檔案]。

3). 插入到處理序中的模組多不可怕,全域掛鉤在各處理序中通常都是相同的,處理處理序的模組即可。建議採用 [直接刪除模組檔案],本功能執行後看不到變化,但檔案其實已經刪除。不建議使用 [卸載模組] 功能 (為保險也可以與 [重啟刪除] 聯用),原因是卸載系統處理序中的模組時,有可能造成系統重啟而前功盡棄。

4). 執行 [清理暫存檔案]、[清除 Autorun.inf]。

5). 在安全檢查中,可以修復的修復一下。不強求,重啟後再執行二次清理。

6). 重新開機,大部份的病毒應該可以搞定了。此時再次檢查,發現還有少數的頑固病毒才使用 [停用]、[緒程]、[卸載]、[重啟刪除]、[Dos 刪除] 等方法。

7). 清理完後切換到檔案搜尋分頁,限制檔案大小為 50K 左右,去除 [排除微軟檔案] 的勾選,搜尋最近一周的新增檔案,從中選出病毒屍體檔案刪除。

9、Wsyscheck 可以使用的參數說明:

‧Wsyscheck 可以帶參數執行以提高自身的優先權:

  Wsyscheck 1 高於標準 Wsyscheck 2 高 Wsyscheck 3 即時。

 例如需要即時啟動 Wsyscheck,可以編輯一個批次檔 RunWs.bat,內容為 Wsyscheck 3;
 將 RunWs.bat 與 Wsyscheck 放在一起,雙按 RunWs.bat 即可讓 Wsyscheck 以即時優先權啟動。

‧Wsyscheck -f // wsyscheck 將還原部份查詢類的 SSdt 表中的函式,然後結束。
‧Wsyscheck -s // 在 -f 的基礎上執行建立安全環境後結束。

如果將 Wsyscheck.exe 改名,則 Wsyscheck 啟動後先還原執行部份查詢類的 SSdt 表中的函式,其還原結果可以在 SSdt 顯示分頁下面的 Auto Restore 中看到。不改名則不帶此功能。另外,改名後 Wsyscheck 將使用隨機驅動名稱來釋放驅動。

10、隨手工具說明 (指功能表工具下的子功能表功能)

一般看其意即識其意,僅對部份子項目說明:

‧清除暫存檔案:
 刪除 %TEMP%、%windir%\Temp 及 %windir%\Downloaded Program Files 下的所有檔案。

‧停用硬碟自動播放:
 本功能還包括磁碟無法雙按開啟的故障。注意:某些故障修復後可能需要登出或重啟才能生效。

‧修復安全模式:
 某些木馬會破壞安全模式的機碼導致無法進入安全模式;
 本功能先備份當前安全模式機碼再還原預設的安全模式機碼。

如果 Wsyscheck 的視窗本身已採取隨機字元,但仍然被木馬關閉,請將 Wsyscheck 改名後執行。

下載Wsyscheck_V1.68.33繁體中文綠色版

隨機文章


0 意見:

張貼留言