wsyscheck教程

1、一、主界面 先來看一下wsyscheck的主界面：見圖1.1： 從標(biāo)題欄、菜單欄、工具欄從大到小，從整體到局部的順序來一一介紹，我們先看看wsyscheck的標(biāo)題欄，標(biāo)題欄看似沒什么異樣，但只要你留心，你就會(huì)發(fā)現(xiàn)它的特點(diǎn)：隨機(jī)文件名。每起動(dòng)一次，名字就不一樣，這樣做，我想是防止被病毒映像劫持，目前在修復(fù)系統(tǒng)時(shí)，wsyscheck目前不會(huì)被病毒禁用并不是因?yàn)樗麣獠淮螅且驗(yàn)椴捎昧穗S機(jī)文件名的起動(dòng)機(jī)制，我們來看看第一次啟動(dòng)和第二次啟動(dòng)的變化就清楚了：見圖1.2、圖1.3： 下面我們來看看“軟件設(shè)置”這一欄的功能，在這一欄里一共有幾個(gè)選項(xiàng)，我們來看下。見圖1.4： 模塊、服務(wù)簡潔顯示：此項(xiàng)默認(rèn)選

2、上，自動(dòng)隱藏了微軟服務(wù)，這樣看起來更簡單明了，紅色的表示是非微軟服務(wù)，且不是sys驅(qū)動(dòng)，一般為exe或dll驅(qū)動(dòng)，注意看簽名和路徑了。檢驗(yàn)微軟文件簽名：可以通過校驗(yàn)微軟文件的簽名來看下是否有冒充微軟的東東，紫紅色顯示的都是未通過微軟的正式簽名的文件（標(biāo)注為no pass）見圖1.5： 禁止進(jìn)程與文件創(chuàng)建：很多病毒會(huì)出現(xiàn)刪除了又自動(dòng)生成情況，這個(gè)選項(xiàng)就是為了防止這種現(xiàn)象專門設(shè)計(jì)的，可以很好的抑制病毒文件和進(jìn)程的再次生成。強(qiáng)烈建議在刪除惡意程序時(shí)選中此項(xiàng)。刪除文件前備份文件：如果你對(duì)將要?jiǎng)h除的文件不太確定是否是正常文件還是病毒，只是覺得可疑，出于安全起見，你可以選上此項(xiàng)進(jìn)行刪除前的備份，以用來誤刪

3、正常文件的恢復(fù)。刪除文件后鎖定：這個(gè)功能可能了解的朋友不多，其實(shí)很簡單，選上此項(xiàng)后，在刪除文件或程序后，會(huì)在wsyscheck關(guān)閉之前，保留文件或程序的尸體，程序清空為0字節(jié)，當(dāng)用戶操作完成關(guān)閉wsyscheck后，被刪除的文件或程序也就被直接刪除了，可以在有病毒程序有自我保護(hù)的情況下使用，以確保其刪除?！肮ぞ摺边x項(xiàng)里的功能就不再多加說明了，相信大家一看便明白，注意的是，如果大家在修復(fù)能力有限時(shí)，可以直接嘗試使用“構(gòu)建安全環(huán)境”（但也可能會(huì)使一些正常工具出現(xiàn)問題），一看是不是使用上非常的方便？呵呵見圖1.6： 二、進(jìn)程管理現(xiàn)在來看工具欄里的選項(xiàng)功能了，wsyscheck提供了非常方便和強(qiáng)大的修

4、復(fù)功能，而且用顏色對(duì)正常和非正常的程序加以區(qū)分，對(duì)進(jìn)程dll插入也用非常簡潔的方式同時(shí)顯示出來，不得不說，這種設(shè)計(jì)理念理學(xué)的成功，很直觀，一目了然！見圖2.1： 三、內(nèi)核檢查這個(gè)可能對(duì)于剛剛接觸安全方面的朋友來說，可能是點(diǎn)陌生的部分，下面我就個(gè)人的一點(diǎn)認(rèn)識(shí)對(duì)這幾個(gè)選項(xiàng)做一個(gè)大致的說明3.1ssdt要了解什么是ssdt，就要先了解一下ring0和ring3以及api的含義：ssdt，是一個(gè)路標(biāo)，就是一個(gè)把ring3的win32 api和ring0的內(nèi)核api聯(lián)系起來的角色，那么，這里又涉及到兩個(gè)概念，一個(gè)是ring，一個(gè)是api。所謂的ring，實(shí)際按等級(jí)分為0-3，但通常只用兩個(gè)：系統(tǒng)核心層（

5、0）和用戶程序?qū)樱?），顯然，前者有著至高無上的權(quán)限，后者只有著普通應(yīng)用權(quán)限，受系統(tǒng)限制。而api，是應(yīng)用編程接口，windows中的dll便是其api函數(shù)的重要組成部分之一，它是能用來操作組件、應(yīng)用程序或者操作系統(tǒng)的一組函數(shù)。api又分為兩級(jí)：用戶api和原生api。話說，我們?cè)趫?zhí)行程序操作時(shí)，首先會(huì)由用戶api導(dǎo)出相關(guān)函數(shù)，在用戶api和原生api交換之前，會(huì)先經(jīng)過ntdll.dll這個(gè)動(dòng)態(tài)數(shù)據(jù)鏈接來實(shí)行真正意義上的交換，因?yàn)檎嬲幚磉@個(gè)執(zhí)行請(qǐng)求還是原生api（native api），然后，系統(tǒng)會(huì)在ssdt里查找原生api的位置，最后由原生api執(zhí)行完成請(qǐng)求并返回。實(shí)際上，ssdt就是一個(gè)

6、表，里面記錄的是原生api的位置以及其他一些相關(guān)信息。fsd：file system driver，就是文件系統(tǒng)驅(qū)動(dòng)。通常，在系統(tǒng)中，負(fù)責(zé)管理磁盤數(shù)據(jù)和文件讀寫的部分被稱為“文件系統(tǒng)”，而在windows系統(tǒng)中，是叫做“輸入輸出管理程序”，簡稱為ios（汗，全稱有一個(gè)單詞不記得怎么寫的），而在ios下面，就是“可安裝文件系統(tǒng)”，簡稱為ifs（繼續(xù)有單詞不記得如何拼寫），再下面，也就是最底層，就是這個(gè)fsd了（呵呵，全稱已經(jīng)在有了），很明顯，如果控制了這方面的權(quán)限，那么，你會(huì)出現(xiàn)刪除其相關(guān)文件出錯(cuò)，或者是儲(chǔ)如此類的情況。這個(gè)也是rookit在hook ssdt以及inline hook ssdt

7、以后，用于反anti-rookit工具的一種自我保護(hù)措施?？偨Y(jié)一下，ssdt是程序執(zhí)行過程中的一組函數(shù)路標(biāo)，而fsd是對(duì)文件讀寫操作控制相關(guān)。前者被惡意hook后，典型表現(xiàn)為，你執(zhí)行程序明明做a事，結(jié)果卻做b事去了，而fsd如果對(duì)惡意hook的話，則表現(xiàn)為對(duì)其相關(guān)程序進(jìn)行保護(hù)，拒絕一些文件操作請(qǐng)求。hook fsd是rk在hook ssdt后期產(chǎn)生的自我保護(hù)隱藏技術(shù)。我們來看一下wsyscheck的ssdt相關(guān)選項(xiàng)：見圖3.1： 3.2 fsd項(xiàng)見圖3.2： 3.3 內(nèi)核掃描關(guān)于這個(gè)選項(xiàng)，先看圖再慢慢解釋見圖3.3： 這里要解釋一下ntoskrnl.exe進(jìn)程，是nt os kernel的縮寫

8、形式，它是初始化執(zhí)行程序子系統(tǒng)并引導(dǎo)系統(tǒng)的驅(qū)動(dòng)程序，換句話說，如果這個(gè)文件出現(xiàn)丟失或損壞的話，很可能出現(xiàn)無法正常進(jìn)入系統(tǒng)的故障，并且它是windows系統(tǒng)內(nèi)核服務(wù)進(jìn)程，并且提供了相對(duì)應(yīng)的各個(gè)系統(tǒng)服務(wù)函數(shù)，點(diǎn)擊選項(xiàng)中的“代碼掃描”選項(xiàng)，可以查看其inline-hook的情況。3.4 系統(tǒng)模塊這個(gè)就比較簡單了，就不多說了，紅黑兩色，所有標(biāo)注很清楚，直接看圖：見圖3.4： 四、服務(wù)管理服務(wù)管理項(xiàng)顯示非常的簡潔，功能相當(dāng)?shù)膹?qiáng)大，更值得一提的是，wsyscheck的功能機(jī)制非常全面到位， 在服務(wù)管理項(xiàng)里我們可以看到，在對(duì)某項(xiàng)服務(wù)操作時(shí)，可以同時(shí)進(jìn)行對(duì)其文件和服務(wù)的一并刪除，重啟刪除，定位文件，查看屬性，

9、定位注冊(cè)表選項(xiàng)等等，也就是說，不會(huì)像其它工具那樣刪服務(wù)、相關(guān)注冊(cè)表鍵值和文件時(shí)那樣找來找去，可以直接相互關(guān)聯(lián)很快很方便的進(jìn)行定位操作，三個(gè)字概括一下：對(duì)于檢查鍵值保護(hù)，這個(gè)是檢查此相關(guān)驅(qū)動(dòng)是否有自我保護(hù)，作者聲明如下：使用“檢查鍵值”后，藍(lán)色顯示的是有鍵值保護(hù)的隨系統(tǒng)啟動(dòng)的驅(qū)動(dòng)程序。它們有可能是殺軟的自我保護(hù)，也有可能是木馬的鍵值保護(hù)。見圖4.1 五、安全檢查這是最后一個(gè)大項(xiàng)了，呵呵，一個(gè)一個(gè)來看吧!見圖5.1： 5.1 常規(guī)檢查這個(gè)選項(xiàng)中，一共有四個(gè)大項(xiàng)，分別是host、winsock、映像劫持列表、重要鍵值變動(dòng)。.host：hosts文件是用來記錄主機(jī)ip地址和主機(jī)名的對(duì)應(yīng)關(guān)系，建立后就可

10、以用主機(jī)名來訪問主機(jī)，而不必記ip地址了。在windows2000/xp系統(tǒng)中位于c:windowssystem32driversetc目錄中。wsyscheck正是顯示得這個(gè)host文件里的內(nèi)容，自己查看的話也可以用記事本打開，內(nèi)容如下：# copyright (c) 1993-1999 microsoft corp.# this is a sample hosts file used by microsoft tcp/ip for windows.# this file contains the mappings of ip addresses to host names. each# e

11、ntry should be kept on an individual line. the ip address should# be placed in the first column followed by the corresponding host name.# the ip address and the host name should be separated by at least one# space.# additionally, comments (such as these) may be inserted on individual# lines or follo

12、wing the machine name denoted by a # symbol.# for example:（格式舉例）#102.54.94.97# source server#38.25.63.10# x client host127.0.0.1localhost（本機(jī)ip地址）大致翻譯：這個(gè)文件是根據(jù)tcp/ip for windows 的標(biāo)準(zhǔn)來工作的，它的作用是包含ip地址和host name 主機(jī)名的映射關(guān)系，是一個(gè)映射ip地址和host name 主機(jī)名的規(guī)定，規(guī)定要求每段只能包括一個(gè)映射關(guān)系，ip地址要放在每段的最前面，空格后再寫上映射的host name 主機(jī)名。對(duì)于這段

13、的映射說明用“#”分割后用文字說明。關(guān)于host的其它用途不說了，但host一個(gè)很重要的功能是屏蔽惡意插件和惡意網(wǎng)站，例如會(huì)變成：“127.0.0.1 網(wǎng)址”，但有些惡意腳本同樣可以達(dá)到修改host文件的目的，也就會(huì)出現(xiàn)我們通常所說的域名解析錯(cuò)誤。.winsock：winsock是用來網(wǎng)絡(luò)傳輸?shù)目丶?，可進(jìn)行tcp/ip和udp協(xié)議，但邦定端口的形式不一樣，winsock可傳輸字符串和字節(jié)，但字節(jié)更安全準(zhǔn)確，網(wǎng)絡(luò)傳輸時(shí)，客戶端和服務(wù)器端，tcp協(xié)議，邦定形式不同，udp基本一樣，確定連接時(shí)connectionrequest事件，接收數(shù)據(jù)dataarray事件。里面的mswsock.dll、rsv

14、psp.dll以及winrnr.dll分別和winsock網(wǎng)絡(luò)服務(wù)、rsvp service provider以及l(fā)dap傳輸協(xié)議有關(guān)，具體相關(guān)的東西我也不介紹了，網(wǎng)上很多，大家有興趣可以自己找找。.關(guān)于映像劫持，自從av終結(jié)者誕生以來，已經(jīng)對(duì)這個(gè)再熟悉不過了，不介紹了，此選項(xiàng)添加了禁用或允許程序運(yùn)行的選項(xiàng)。.重要鍵值變動(dòng)：這個(gè)是文件關(guān)聯(lián)部分，我的這里顯示的ini和chm是文件擴(kuò)展名，后面是當(dāng)前的鍵值，可以用右鍵修復(fù)錯(cuò)誤的文件關(guān)聯(lián)。5.2 活動(dòng)文件哪些進(jìn)程程序正在運(yùn)行，一目了然：見圖5.2： 5.3 ie安全實(shí)際上就是我們通常所說的ie瀏覽器加載項(xiàng)：見圖5.3： 5.4 端口狀態(tài)可以查看所有的遠(yuǎn)程連接和路徑：見圖5.4 5.5 文件搜索這個(gè)功能筆者個(gè)人很喜歡，因?yàn)樾迯?fù)了系統(tǒng)以后，多少還有一些尸體之類的東東最后還要清理一下，這樣一來的話會(huì)干凈很多。見圖5.5： 5.6 重啟刪除一般來說，筆者建議使用直接刪除文件，或者是鎖定刪除，基本上用到這個(gè)很少，算是備用功能吧。見圖5.6： 六、文件管理非常強(qiáng)大的文件管理功能見圖6.1： 七、注冊(cè)表管理這個(gè)選項(xiàng)的功能很方便，很強(qiáng)大，可以對(duì)任意的注冊(cè)表的鍵值、子項(xiàng)備份刪除操作。見圖7.1： 這里要說一下，提供的快捷的注冊(cè)表鍵值位置，一共包括15個(gè)目錄，分2組：.hkey_l