進(jìn)程掃描判斷工具

2024-10-06發(fā)布者:zhangliang大?。?/span> 下載:0

文件大小:

軟件介紹

image.png

1:手機(jī)軟件設(shè)定中的模塊,服務(wù)項(xiàng)目簡(jiǎn)約表明

簡(jiǎn)約表明會(huì)過(guò)慮所微軟公司文件,但在應(yīng)用了“校檢微軟公司文件簽字”功能后,不過(guò)關(guān)的微軟公司文件也會(huì)展示出去。

SSDt鼠標(biāo)右鍵“所有表明”是默認(rèn)設(shè)置姿勢(shì),當(dāng)撤銷這一頁(yè)面后,則僅表明SSDT表格中已變更的新項(xiàng)目。

2:有關(guān)Wsyscheck的彩色表明

進(jìn)程頁(yè):

鮮紅色表明非微軟公司進(jìn)程,暗紫色表明盡管進(jìn)程是微軟公司進(jìn)程,但其模塊含有非微軟公司的文件。

服務(wù)項(xiàng)目頁(yè):

鮮紅色表明該服務(wù)項(xiàng)目并不是微軟公司服務(wù)項(xiàng)目,且該服務(wù)項(xiàng)目非.sys推動(dòng)。(最多見(jiàn)的是.exe與.dll的服務(wù)項(xiàng)目,木馬大多數(shù)應(yīng)用這類方法)。

應(yīng)用“查驗(yàn)鍵值”后,深藍(lán)色表明的是有鍵值維護(hù)的隨開(kāi)機(jī)啟動(dòng)的驅(qū)動(dòng)軟件。他們有可能是殺毒軟件的防范意識(shí),也是有可能是木馬的鍵值維護(hù)。

在取消了“模塊,服務(wù)項(xiàng)目簡(jiǎn)約表明”后,查詢第三方服務(wù)能夠點(diǎn)一下文章標(biāo)題條”文件生產(chǎn)商”排列,融合應(yīng)用“運(yùn)行種類”,“改動(dòng)日期”排列更非常容易觀查到增加的木馬服務(wù)項(xiàng)目。

進(jìn)程頁(yè)中查詢模塊與服務(wù)項(xiàng)目頁(yè)中查詢服務(wù)項(xiàng)目敘述能夠應(yīng)用電腦鍵盤的左右鍵操縱。

在應(yīng)用“手機(jī)軟件設(shè)定”-“校檢微軟公司文件簽字”后,暗紫色表明未根據(jù)微軟公司簽字的文件。與此同時(shí),在各表明欄的微軟公司文件校檢會(huì)表明Pass與no pass。(能夠由此參照是不是仿冒微軟公司文件,留意的是假如暗紫色表明太多,很有可能你的操作系統(tǒng)是在網(wǎng)上普遍的Ghost精簡(jiǎn),這種版本號(hào)很有可能精減掉了微軟公司簽字?jǐn)?shù)據(jù)庫(kù)查詢因此效果并不能信)

SSDT管理頁(yè):

默認(rèn)設(shè)置表明所有的SSDT表,鮮紅色表明核心被HOOK的涵數(shù)。查詢第三方模塊,能夠點(diǎn)一下2次標(biāo)識(shí)“印象途徑”排列,則第三方HOOK的模塊會(huì)排在一起列在最前邊。還可以撤銷“所有表明”,則僅表明通道變了的涵數(shù)。

SSDT頁(yè)的“編碼出現(xiàn)異?!睓谌绫砻鳌癥ES”,說(shuō)明該涵數(shù)被Inline Hook。假如一個(gè)涵數(shù)與此同時(shí)存有編碼HOOK與詳細(xì)地址HOOK,則相應(yīng)的模塊途徑表明的是Inline Hook的途徑,而應(yīng)用“修復(fù)當(dāng)今涵數(shù)編碼”功能只修復(fù)Inline Hook,途徑將表明為詳細(xì)地址HOOK的模塊途徑,再應(yīng)用“修復(fù)當(dāng)今涵數(shù)詳細(xì)地址”功能就修復(fù)到默認(rèn)設(shè)置的涵數(shù)了。

應(yīng)用“修復(fù)全部涵數(shù)”功能則與此同時(shí)修復(fù)以上二種HOOK。

發(fā)覺(jué)木馬改動(dòng)了SSDT表時(shí)請(qǐng)先修復(fù)SSDT,再作注冊(cè)表文件刪除等實(shí)際操作。

主題活動(dòng)文件頁(yè):

鮮紅色表明的基本開(kāi)機(jī)啟動(dòng)項(xiàng)的內(nèi)容。

3:有關(guān)Wsyscheck運(yùn)行后通知欄的提醒“警示!程序流程推動(dòng)未載入取得成功,一些功能沒(méi)法進(jìn)行?!?/p>

大部分狀況下是防護(hù)軟件阻攔了Wsyscheck載入需要的推動(dòng),這類情形下Wsyscheck的功能有一定變?nèi)?,但它仍可用不用推?dòng)的辦法來(lái)進(jìn)行系統(tǒng)的修補(bǔ)。

推動(dòng)載入取得成功的情形下,針對(duì)木馬文件能夠立即應(yīng)用Wsyscheck中各頁(yè)中的刪除文件功能,本功能含有“立即刪除”運(yùn)作中的文件的功能。

4:有關(guān)卸載掉模塊

對(duì)HOOK了系統(tǒng)軟件重要進(jìn)程的模塊卸載掉很有可能可能會(huì)導(dǎo)致重新啟動(dòng),這與該模塊的書寫有關(guān)系,因此卸載掉不上的模塊不必奢求卸載掉,能夠先刪除該模塊的開(kāi)機(jī)啟動(dòng)項(xiàng)或文件(推動(dòng)載入狀況下應(yīng)用刪除后重新啟動(dòng)文件即消退)。

5:有關(guān)文件刪除

推動(dòng)載入的情形下,Wsyscheck的刪除功能早已能用了,大部分文件都能夠馬上刪除(進(jìn)程模塊能夠立即應(yīng)用鼠標(biāo)右鍵下帶刪除的各類功能),載入的DLL文件刪除后盡管文件依然由此可見(jiàn),但實(shí)際上已刪除,重新啟動(dòng)可觀測(cè)到文件已消退。

文件管理方法頁(yè)的“刪除”實(shí)際操作是刪除文件到垃圾回收站,適用畸型文件目錄下的文件刪除。應(yīng)特別注意的是假如文件自身在垃圾回收站內(nèi),請(qǐng)應(yīng)用立即刪除功能?;蚴菓?yīng)用裁切功能將它拷貝到另一個(gè)地區(qū)。不然你很有可能見(jiàn)到垃圾回收站內(nèi)的文件刪除了一個(gè)又加上了那一個(gè)(由于鼠標(biāo)右鍵“刪除”是刪除到垃圾回收站)。

針對(duì)用之上功能仍刪除不上的文件,能夠應(yīng)用Wsyscheck的或“dos刪除功能”,應(yīng)用“dos刪除”功能之后在運(yùn)行菜單欄中加上一項(xiàng)“刪除難除文件”,實(shí)行后自動(dòng)清理文件并除掉它所加上的開(kāi)機(jī)啟動(dòng)項(xiàng)?!癲os刪除”在多系統(tǒng)軟件狀況下很有可能存有一些難題,請(qǐng)謹(jǐn)慎使用。本功能必須將輔助件Wdosdel.dat與Wsyscheck放到一起才會(huì)表明有關(guān)網(wǎng)頁(yè)頁(yè)面。

“重新啟動(dòng)刪除”僅做為推動(dòng)沒(méi)法載入狀況下采用的一種輔助方式,“重新啟動(dòng)刪除”與“Dos刪除”能夠一起應(yīng)用。其目錄都能夠手動(dòng)式編寫,一行一個(gè)文件途徑就可以。結(jié)束進(jìn)程時(shí)假如以上二者之一存有刪除目錄,會(huì)詢問(wèn)是不是實(shí)行。

假如必須對(duì)刪除的文件備份數(shù)據(jù),先開(kāi)啟手機(jī)軟件設(shè)定下的“刪除文件前備份數(shù)據(jù)文件”,它將在刪除前將文件備份數(shù)據(jù)到%SystemDrive%\VirusBackup文件目錄中,且將文件名加上.vir后綴名以防誤實(shí)行。

6:有關(guān)進(jìn)程的之后的不斷建立

能夠應(yīng)用進(jìn)程頁(yè)的“嚴(yán)禁程序執(zhí)行”,這一功能便是時(shí)興的IFEO挾持功能,我們可以應(yīng)用它來(lái)屏蔽掉一些完畢后又全自動(dòng)重啟的程序流程。根據(jù)禁止使用它的實(shí)施來(lái)清除文件。消除禁止使用的過(guò)程用“安全大檢查”頁(yè)的“禁止使用程序管理”功能,,因此在木馬應(yīng)用IFEO挾持后還可以“禁止使用程序管理”中修復(fù)遭劫持的程序流程。

此外,手機(jī)軟件設(shè)定下的“嚴(yán)禁進(jìn)程與文件建立”功能是對(duì)于木馬的頻繁運(yùn)行,不斷建立文件,不斷寫注冊(cè)表文件開(kāi)機(jī)啟動(dòng)項(xiàng)開(kāi)展監(jiān)控或阻攔,應(yīng)用本功能后能更清松地刪除木馬文件及注冊(cè)表文件開(kāi)機(jī)啟動(dòng)項(xiàng)。

打開(kāi)嚴(yán)禁“嚴(yán)禁進(jìn)程與文件建立”后會(huì)全自動(dòng)加上“監(jiān)管日志”頁(yè),撤銷后此頁(yè)消退。能夠考察一下日志狀況便于從所阻攔的姿勢(shì)中遇到較為潛藏的木馬文件。留意的是,假如木馬插進(jìn)系統(tǒng)軟件進(jìn)程,則體現(xiàn)的日志是阻攔系統(tǒng)軟件進(jìn)程的姿勢(shì),你需要自身辨別該姿勢(shì)是不是有危害并剖析該進(jìn)程的模塊文件。

要保存日志請(qǐng)?jiān)诔蜂N前Ctrl A都選后拷貝。留意,為避免日志太多,滿1000條后全自動(dòng)刪除前400條日志。

對(duì)于上邊的狀況,你還是能夠應(yīng)用進(jìn)程中的“進(jìn)程信息內(nèi)容”功能,從進(jìn)程與模塊對(duì)應(yīng)關(guān)系中掛起來(lái)相對(duì)應(yīng)的進(jìn)程,隨后完畢守衛(wèi)程序流程或掛起來(lái)守衛(wèi)程序流程,再實(shí)行立即刪除文件功能。

7:有關(guān)如何清理木馬的通俗方式:

非常簡(jiǎn)單的辦法是:推動(dòng)載入取得成功的情形下,針對(duì)木馬文件能夠立即應(yīng)用Wsyscheck中各頁(yè)中的刪除文件功能(即先用環(huán)刪除功能解決木馬文件),實(shí)行完后重新啟動(dòng)系統(tǒng)軟件,,再消除它的開(kāi)機(jī)啟動(dòng)項(xiàng),注冊(cè)表項(xiàng)等載入方式。

假如出現(xiàn)較難解決的木馬,下列流程能夠當(dāng)作一個(gè)參照:

a.假如SSDT管理中有木馬模塊在工作中,請(qǐng)先修復(fù)SSDT,再在管理與服務(wù)頁(yè)清除木馬的服務(wù)項(xiàng)目及文件。

b.假如完畢木馬進(jìn)程后不斷發(fā)覺(jué)木馬運(yùn)行,能夠試著應(yīng)用“完畢進(jìn)程并刪除文件”或“嚴(yán)禁這一程序執(zhí)行”,讓其不會(huì)再運(yùn)行后刪除。

還能夠相互配合應(yīng)用“嚴(yán)禁進(jìn)程與文件建立”讓其不會(huì)再建立新進(jìn)程,建立文件失效而清除它。

c.有一些木馬運(yùn)用服務(wù)項(xiàng)目運(yùn)行,一定要注意一下并分辨一下服務(wù)項(xiàng)目頁(yè)中的鮮紅色表明程序流程。假如情況是STOP,而種類是Auto,則它已運(yùn)作過(guò)一次,因此有可能運(yùn)行了其他木馬程序流程。

d.強(qiáng)烈要求留意一下“禁止使用程序管理”,現(xiàn)階段運(yùn)用IFEO禁止使用殺毒軟件或運(yùn)行木馬程序流程的木馬是非常盛行的。

e.主題活動(dòng)文件頁(yè)列舉了很有可能的運(yùn)行方式,因此細(xì)心一點(diǎn)檢查一下是不是有木馬的運(yùn)行新項(xiàng)目。

f.文件檢索中運(yùn)用“限定時(shí)間”標(biāo)準(zhǔn)來(lái)檢索最近造成的文件很有可能有利于您的清洗工作中。

g.針對(duì)檢查出的開(kāi)機(jī)啟動(dòng)項(xiàng),要不是十分毫無(wú)疑問(wèn),能夠精準(zhǔn)定位到注冊(cè)表文件,將這一運(yùn)行程序流程的途徑前再加上“;”等標(biāo)識(shí)符讓其下一次不運(yùn)行再觀查系統(tǒng)軟件能否一切正常以分辨它是不是一個(gè)木馬程序流程。

h.針對(duì)以Autorun.inf方法運(yùn)行的木馬,可以用專用工具下的“消除Autorun.inf”功能(可相互配合“嚴(yán)禁進(jìn)程與文件建立”應(yīng)用以獲取最好是的實(shí)際效果)。假如手動(dòng)式清除,實(shí)際操作中盡可能應(yīng)用Wsyscheck內(nèi)嵌的文件管理方法實(shí)際操作防止雙擊鼠標(biāo)本地磁盤再度激話木馬。在手動(dòng)式刪除Autorun.inf文件前要Wsyscheck的文件管理方法中開(kāi)啟這一文件查詢木馬運(yùn)行的具體地址有益于您迅速尋找木馬文件。清除時(shí)完后檢查一下各盤網(wǎng)站根目錄以確保徹底清除了Autorun.inf文件。

i.應(yīng)用“嚴(yán)禁進(jìn)程與文件建立”留意一下增加的日志頁(yè),便于尋找木馬的根本原因。假如在日志頁(yè)觀查到不斷寫建立文件,不斷寫注冊(cè)表文件,不斷建立的進(jìn)程。當(dāng)此進(jìn)程是是非非系統(tǒng)軟件進(jìn)程時(shí)還可以立即關(guān)掉并刪除它。如果是系統(tǒng)軟件進(jìn)程,必須手動(dòng)式剖析一下該進(jìn)程的模塊(相互配合查詢一下主題活動(dòng)頁(yè)的載入項(xiàng)有利于迅速尋找木馬插進(jìn)系統(tǒng)軟件進(jìn)程的模塊)。清除文件注冊(cè)表文件進(jìn)行后不必撤出“嚴(yán)禁進(jìn)程與文件建立”,而應(yīng)立即應(yīng)用專用工具下的“重新啟動(dòng)電子計(jì)算機(jī)”,以保證大家的清除取得成功。

j.針對(duì)已明確的木馬文件,能立即刪除就刪除,不可以立即刪除就尋找它的開(kāi)機(jī)啟動(dòng)項(xiàng)刪除啟并重新啟動(dòng)系統(tǒng)軟件讓系統(tǒng)軟件不會(huì)再載入此程序流程后再做文件刪除。假如木馬維護(hù)的比較好,以上方法無(wú)效,可以用DOS刪除功能先刪文件再清除開(kāi)機(jī)啟動(dòng)項(xiàng)。

8:Wsyscheck能夠帶主要參數(shù)運(yùn)作以提升自己的優(yōu)先

Wsyscheck 1 高過(guò)規(guī)范 Wsyscheck 2 高 Wsyscheck 3 即時(shí)

比如必須即時(shí)運(yùn)行Wsyscheck,能夠編寫一個(gè)批處理命令 RunWs.bat ,內(nèi)容為 Wsyscheck 3

將RunWs.bat與Wsyscheck放到一起,雙擊鼠標(biāo)RunWs.bat就可以讓W(xué)syscheck以即時(shí)優(yōu)先運(yùn)行。

9:順手專用工具表明(指菜單欄專用工具下的子菜單欄功能)

消除臨時(shí)性文件:刪除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的全部文件。

消除Autorun.inf:程序流程剖析各盤根目錄下的Autorun.inf偏向的文件,刪除各盤的Autorun.inf以及偏向的文件。

修補(bǔ)掩藏文件表明及禁止使用電腦硬盤全屏播放:工具欄過(guò)長(zhǎng)寫不完,本功能還包含硬盤沒(méi)法雙擊鼠標(biāo)開(kāi)啟常見(jiàn)故障。留意,一些常見(jiàn)故障修補(bǔ)后可能必須銷戶或重新啟動(dòng)才可以起效。

修補(bǔ)安全中心:一些木馬會(huì)毀壞安全中心的鍵值造成沒(méi)法進(jìn)到安全中心,本功能先備份數(shù)據(jù)當(dāng)今安全中心鍵值再修復(fù)默認(rèn)設(shè)置的安全中心鍵值。

搭建安全性自然環(huán)境:復(fù)原SSDT(一些殺毒軟件復(fù)原SSDT會(huì)造成卡死,本功能僅檢測(cè)在Kv系列產(chǎn)品,Kav6.0下應(yīng)用沒(méi)有問(wèn)題,其他版本號(hào)請(qǐng)自主檢測(cè)。如不確定性,應(yīng)用本功能前最好是撤出殺毒軟件進(jìn)程),只保存系統(tǒng)軟件務(wù)必的好多個(gè)進(jìn)程,隨后實(shí)行以上三個(gè)子菜單欄功能。

假如Wsyscheck的對(duì)話框自身已采用任意標(biāo)識(shí)符,假如依然被木馬禁止使用,請(qǐng)將Wsyscheck更名后運(yùn)作。

發(fā)表評(píng)論(共0條評(píng)論)
請(qǐng)自覺(jué)遵守互聯(lián)網(wǎng)相關(guān)政策法規(guī),評(píng)論內(nèi)容只代表網(wǎng)友觀點(diǎn),發(fā)表審核后顯示!

版權(quán)聲明:

1 本站所有資源(含游戲)均是軟件作者、開(kāi)發(fā)商投稿,任何涉及商業(yè)盈利目的均不得使用,否則產(chǎn)生的一切后果將由您自己承擔(dān)!

2 本站將不對(duì)任何資源負(fù)法律責(zé)任,所有資源請(qǐng)?jiān)谙螺d后24小時(shí)內(nèi)刪除。

3 若有關(guān)在線投稿、無(wú)法下載等問(wèn)題,請(qǐng)與本站客服人員聯(lián)系。

4 如侵犯了您的版權(quán)、商標(biāo)等,請(qǐng)立刻聯(lián)系我們并具體說(shuō)明情況后,本站將盡快處理刪除,聯(lián)系QQ:2499894784

返回頂部