查看: 58925|回复: 338
收起左侧

手工修复的利器——Wsyscheck(提供教程PDF文件下载)

[复制链接]
曲中求
发表于 2008-9-28 13:38:17 | 显示全部楼层 |阅读模式
手工修复的利器——Wsyscheck

对于目前的系统修复工作来说,仅仅靠杀软来杀毒修复是无法完整的起到修复系统的作用,在很多情况下,我们需要用工具手工来修复系统的很多地方,甚至是为了杀软能够正常安装或启动。对于目前鼎鼎大名的冰刃来说,已经为大家所熟知,但我个人更为喜爱的另一款修复工具Wsyscheck则实乃同行业中一新秀(一看名字就很明白,系统检测工具)目前还是有些朋友对它不甚了解,这里,我就对它作一个初步的介绍,和大家作为交流来一起认识和学习一下Wsyscheck的妙用。


一、主界面


先来看一下Wsyscheck的主界面:

见图1


图1.JPG


从标题栏、菜单栏、工具栏从大到小,从整体到局部的顺序来一一介绍,我们先看看Wsyscheck的标题栏,标题栏看似没什么异样,但只要你留心,你就会发现它的特点:随机文件名。每起动一次,名字就不一样,这样做,我想是防止被病毒映像劫持,目前在修复系统时,Wsyscheck目前不会被病毒禁用并不是因为它名气不大,而是因为采用了随机文件名的起动机制,我们来看看第一次启动和第二次启动的变化就清楚了:

见图2、图3


图2.JPG

图3.JPG




下面我们来看看“软件设置”这一栏的功能,在这一栏里一共有几个选项,我们来看下。

见图4


图4.JPG

模块、服务简洁显示:此项默认选上,自动隐藏了微软服务,这样看起来更简单明了,红色的表示是非微软服务,且不是sys驱动,一般为exedll驱动,注意看签名和路径了。
检验微软文件签名:可以通过校验微软文件的签名来看下是否有冒充微软的东东,紫红色显示的都是未通过微软的正式签名的文件(标注为no pass

见图5


图5.JPG

禁止进程与文件创建:很多病毒会出现删除了又自动生成情况,这个选项就是为了防止这种现象专门设计的,可以很好的抑制病毒文件和进程的再次生成。强烈建议在删除恶意程序时选中此项
删除文件前备份文件:如果你对将要删除的文件不太确定是否是正常文件还是病毒,只是觉得可疑,出于安全起见,你可以选上此项进行删除前的备份,以用来误删正常文件的恢复。
删除文件后锁定:这个功能可能了解的朋友不多,其实很简单,选上此项后,在删除文件或程序后,会在Wsyscheck关闭之前,保留文件或程序的尸体,程序清空为0字节,当用户操作完成关闭Wsyscheck后,被删除的文件或程序也就被直接删除了,可以在有病毒程序有自我保护的情况下使用,以确保其删除。

⒊“工具”选项里的功能就不再多加说明了,相信大家一看便明白,注意的是,如果大家在修复能力有限时,可以直接尝试使用“构建安全环境”(但也可能会使一些正常工具出现问题),一看是不是使用上非常的方便?呵呵

见图6


图6.JPG


二、进程管理


现在来看工具栏里的选项功能了,Wsyscheck提供了非常方便和强大的修复功能,而且用颜色对正常和非正常的程序加以区分,对进程dll插入也用非常简洁的方式同时显示出来,不得不说,这种设计理念理学的成功,很直观,一目了然!

见图7


图7.JPG


三、内核检查


这个可能对于刚刚接触安全方面的朋友来说,可能是点陌生的部分,下面我就个人的一点认识对这几个选项做一个大致的说明

3.1SSDT

要了解什么是SSDT,就要先了解一下ring0ring3以及API的含义:

SSDT,是一个路标,就是一个把ring3Win32 APIring0的内核API联系起来的角色,那么,这里又涉及到两个概念,一个是ring,一个是API
所谓的ring,实际按等级分为0-3,但通常只用两个:系统核心层(0)和用户程序层(3),显然,前者有着至高无上的权限,后者只有着普通应用权限,受系统限制。
API,是应用编程接口,windows中的dll便是其API函数的重要组成部分之一,它是能用来操作组件、应用程序或者操作系统的一组函数。API又分为两级:用户API和原生API
话说,我们在执行程序操作时,首先会由用户API导出相关函数,在用户API和原生API交换之前,会先经过ntdll.dll这个动态数据链接来实行真正意义上的交换,因为真正处理这个执行请求还是原生APInative API),然后,系统会在SSDT里查找原生API的位置,最后由原生API执行完成请求并返回。
实际上,SSDT就是一个表,里面记录的是原生API的位置以及其他一些相关信息。

FSDfile system driver,就是文件系统驱动。通常,在系统中,负责管理磁盘数据和文件读写的部分被称为文件系统,而在windows系统中,是叫做输入输出管理程序,简称为IOS(汗,全称有一个单词不记得怎么写的……),而在IOS下面,就是可安装文件系统,简称为IFS(继续有单词不记得如何拼写……),再下面,也就是最底层,就是这个FSD了(呵呵,全称已经在有了……),很明显,如果控制了这方面的权限,那么,你会出现删除其相关文件出错,或者是储如此类的情况。这个也是Rookithook SSDT以及inline hook SSDT以后,用于反anti-Rookit工具的一种自我保护措施。
总结一下,SSDT是程序执行过程中的一组函数路标,而FSD是对文件读写操作控制相关。前者被恶意HOOK后,典型表现为,你执行程序明明做A事,结果却做B事去了,而FSD如果对恶意HOOK的话,则表现为对其相关程序进行保护,拒绝一些文件操作请求。HOOK FSDRKHOOK SSDT后期产生的自我保护隐藏技术。

我们来看一下WsyscheckSSDT相关选项:

见图8


图8.JPG

3.2 FSD

见图9


图9.JPG

3.3 内核扫描

关于这个选项,先看图再慢慢解释

见图10


图10.JPG

这里要解释一下ntoskrnl.exe进程,是NT OS KerneL的缩写形式,它是初始化执行程序子系统并引导系统的驱动程序,换句话说,如果这个文件出现丢失或损坏的话,很可能出现无法正常进入系统的故障,并且它是Windows系统内核服务进程,并且提供了相对应的各个系统服务函数,点击选项中的“代码扫描”选项,可以查看其INLINE-HOOK的情况。

3.4 系统模块

这个就比较简单了,就不多说了,红黑两色,所有标注很清楚,直接看图:

见图11

图11.JPG


四、服务管理


服务管理项显示非常的简洁,功能相当的强大,更值得一提的是,Wsyscheck的功能机制非常全面到位, 在服务管理项里我们可以看到,在对某项服务操作时,可以同时进行对其文件和服务的一并删除,重启删除,定位文件,查看属性,定位注册表选项等等,也就是说,不会像其它工具那样删服务、相关注册表键值和文件时那样找来找去,可以直接相互关联很快很方便的进行定位操作,三个字概括一下:对于检查键值保护,这个是检查此相关驱动是否有自我保护,作者声明如下:使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。

见图12

图12.JPG


五、安全检查


这是最后一个大项了,呵呵,一个一个来看吧!

见图13
图13.JPG



5.1 常规检查

这个选项中,一共有四个大项,分别是HOSTwinsock、映像劫持列表、重要键值变动。
.HOSThosts文件是用来记录主机ip地址和主机名的对应关系,建立后就可以用主机名来访问主机,而不必记ip地址了。在Windows2000/XP系统中位于C:\Windows\System32\Drivers\Etc目录中。Wsyscheck正是显示得这个host文件里的内容,自己查看的话也可以用记事本打开,内容如下:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:(格式举例)
#
#
102.54.94.97
rhino.acme.com

# source server

#
38.25.63.10
x.acme.com
# x client host


127.0.0.1
Localhost(本机IP地址)

大致翻译:这个文件是根据TCP/IP for Windows 的标准来工作的,它的作用是包含IP地址和Host name?主机名?的映射关系,是一个映射IP地址和Host name?主机名?的规定,规定要求每段只能包括一个映射关系,IP地址要放在每段的最前面,空格后再写上映射的Host name?主机名?。对于这段的映射说明用“#”分割后用文字说明。

关于HOST的其它用途不说了,但HOST一个很重要的功能是屏蔽恶意插件和恶意网站,例如会变成:“127.0.0.1 网址”,但有些恶意脚本同样可以达到修改HOST文件的目的,也就会出现我们通常所说的域名解析错误。

.winsockwinsock是用来网络传输的控件,可进行Tcp/ipudp协议,但邦定端口的形式不一样,winsock可传输字符串和字节,但字节更安全准确,网络传输时,客户端和服务器端,tcp协议,邦定形式不同,Udp基本一样,确定连接时connectionRequest事件,接收数据dataArray事件。
里面的mswsock.dllrsvpsp.dll以及winrnr.dll分别和Winsock网络服务、Rsvp Service Provider以及LDAP传输协议有关,具体相关的东西我也不介绍了,网上很多,大家有兴趣可以自己找找。

.关于映像劫持,自从AV终结者诞生以来,已经对这个再熟悉不过了,不介绍了,此选项添加了禁用或允许程序运行的选项。

.重要键值变动:这个是文件关联部分,我的这里显示的inichm是文件扩展名,后面是当前的键值,可以用右键修复错误的文件关联。

5.2 活动文件

哪些进程程序正在运行,一目了然:

见图14

图14.JPG

5.3 IE安全

实际上就是我们通常所说的IE浏览器加载项:

见图15

图15.JPG

5.4 端口状态

可以查看所有的远程连接和路径:

见图16

图16.JPG

5.5 文件搜索

这个功能笔者个人很喜欢,因为修复了系统以后,多少还有一些尸体之类的东东最后还要清理一下,这样一来的话会干净很多。

见图17

图17.JPG

5.6 重启删除

一般来说,笔者建议使用直接删除文件,或者是锁定删除,基本上用到这个很少,算是备用功能吧。

见图18

图18.JPG


六、文件管理


非常强大的文件管理功能

见图19

图19.JPG


七、注册表管理


这个选项的功能很方便,很强大,可以对任意的注册表的键值、子项备份删除操作。

见图20

图20.JPG

这里要说一下,提供的快捷的注册表键值位置,一共包括15个目录,分2组:

.HKEY_LOCAL_MACHINE:包含该计算机针对于任何用户的配置信息,包括软、硬件的,这里提供了软件方面的信息。

.HKEY_CURRENT_USER:包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”等设置均存储在此处。该信息被称为用户配置文件。
具体相关键值的说明,请参见其它专著资料,看了以后,相信很多都是大家早熟悉的,就是因为常用,所以才被应用到快捷操作层面上来,比如启动项,映像劫持项、ExplorerShellExecuteHooksIE项…………。


八、 DOS删除

见图21


图21.JPG
这个功能作者在使用文件中已经说得非常详细,直接引用吧:“Wsyscheck的‘dos删除功能’需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面,添加待删除文件并重启,启动菜单中将出现“删除顽固文件”字样,选择后转入Dos删除文件。在某些机器上,若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。)”


九、结语


Wsyscheck的确是一款强大的系统修复工具,从菜单上的安排到工具栏里的选项的功能上看,采用了操作相互关联一体化的布局,功能非常的全面,操作起来也非常的方便,快捷,这个是它最大的特点,在显示上通过颜色区分和简洁显示功能上,可以快速定位查找可疑相关目录,其强大的菜单目录里的功能和工具栏修复功能的全面性,使得很好的形成了一种立体维护体系,成为居家旅行的必备工具。

工具下载: wsyscheck V1.68.33中文版.rar (1 MB, 下载次数: 5224)

评分

参与人数 3魅力 +1 人气 +2 收起 理由
xiaoz + 1 咱家用好久了这个,谢曲版。
水木 + 1 曲版的扫盲教程,多谢
SONGBOWEN + 1 扫盲!

查看全部评分

SONGBOWEN
发表于 2008-9-28 16:02:35 | 显示全部楼层
支持扫盲贴
临风之上
发表于 2008-9-28 16:15:49 | 显示全部楼层
比以前介绍的帖子详细多了
在用呢,貌似LZ那个版本界面稍微比我漂亮点

[ 本帖最后由 临风之上 于 2008-9-28 16:17 编辑 ]
曲中求
 楼主| 发表于 2008-9-28 16:31:36 | 显示全部楼层

回复 3楼 临风之上 的帖子

呵呵,系统皮肤的缘故吧。:)

感谢两位的支持。

Wsyscheck,常驻俺U盘的主力修复工具之一,修复起来速度比较快,比较喜欢他的功能布局。没事写写,算作一个小小的help文件,练练笔,毫无技术含量可言。。只是觉得这工具自己用起来感觉比较方便,像阻剑啊,冰刃啊名气都已经很大了,顺便给这个也加加油吧。

[ 本帖最后由 曲中求 于 2008-9-28 16:32 编辑 ]
CXC
发表于 2008-9-28 16:42:47 | 显示全部楼层
lz补个下载地址吧
曲中求
 楼主| 发表于 2008-9-28 16:59:51 | 显示全部楼层

回复 5楼 CXC 的帖子

已经打包了。:)
yuanliu 该用户已被删除
发表于 2008-9-28 17:07:17 | 显示全部楼层
多谢扫盲阿!一般情况下,直接恢复系统或重做,没时间折腾它,呵呵--
hudeg632
发表于 2008-9-28 17:09:42 | 显示全部楼层
一直在使用,谢谢楼主的介绍,理解更深一层了。
曲中求
 楼主| 发表于 2008-9-28 17:12:32 | 显示全部楼层

回复 7楼 yuanliu 的帖子

这也是个好办法,呵呵!

只是说,在一些时候,很多维护工具,手工修复比较快,一般不是什么大问题两分钟就可以搞定。系统是否正常,大多数情况下看看就知道了。杀起来比用杀软稍微方便一些,也不那么费时。:)

[ 本帖最后由 曲中求 于 2008-9-28 17:16 编辑 ]
wy569434440
发表于 2008-9-28 19:40:21 | 显示全部楼层
第一次使用,谢谢楼主的介绍
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:59 , Processed in 0.136249 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表