杀毒这件事儿,有时并非只是轻轻点下鼠标这么简单。如果遇到某些病毒,你会发现杀毒软件往往无法启动,而且系统功能均被破坏。这种时候,就得用上安全辅助工具。

wsyscheck.png

今天我们就来介绍 WSysCheck,这个工具可以说是一代经典,其知名度并不亚于 IceSword,只是这款软件也是不再更新,因此并不支持新的系统、平台。这是一款手动杀毒工具,它提供了包括路径、厂商、文件名、启动项、创建日期、数字签名等属性供您分析,并且还提供了对系统各方面的管理功能,极大简化了病毒、木马的识别和清理操作。

  1. 默认简单过滤微软文件,但在使用“校验微软文件签名”功能之后,假冒、伪造的微软文件也会显示出来。
  2. 取消 SSDT 全部显示功能之后,则仅显示表中已更改的项目。
  3. 进程页中红色表示非微软的进程;紫红色表示这个微软进程中有非微软的模块。
  4. 服务页中红色表示非微软的服务;蓝色表示有键值保护的驱动程序;紫红色则表示未通过微软签名的文件。
  5. SSDT 页中红色表示内核被 Hook 的函数。
  6. 活动文件页中红色表示常规启动项的内容。
  7. 如果软件驱动加载成功,对于木马文件可以使用直接删除功能,而且可以直接删除运行中的文件。
  8. 如果卸载某些 Hook 了系统关键进程的模块可能导致系统重启。不要强求卸载某些卸载不了的模块,可以先删除该模块的文件或启动项。
  9. 文件管理页的删除功能是指删除文件到回收站,支持畸形目录下的文件删除。不过需要注意的是,如果文件在回收站,那么应该使用直接删除功能。
  10. 重启删除功能可与 DOS 删除功能一并使用,不过需要多加注意。
  11. 为了避免病毒程序守护,某些文件可能会以零字节文件占位的方式删除,这些文件会在 WSysCheck 退出之后自动清理。可以对删除的文件备份。
  12. 可以禁止文件创建(基于零字节文件占位)、进程创建(基于 IFEO 劫持)。
  13. 可以使用 Ctrl、Shift 多选之后再去执行相关功能。
  14. WSysCheck 可以带参数运行以提高自身的优先级。
  15. 更名之后这款软件将会恢复部分查询类的 SSDT 表的函数,而且会用随机驱动名来释放驱动。
  16. 还提供了清除临时文件、禁用硬盘自动播放、修复安全模式等功能。