Wsyscheck中文版 v1.68.33.0 绿色服务器版(支持Win10) 免费版

Wsyscheck Server Edition是一个系统检测和维护工具，可以支持多种Windows系统。我们可以使用这个软件来检测重要的内容，如计算机进程，服务驱动程序，注册表等。，从而帮助您发现系统上隐藏的漏洞，快速修复，让系统始终处于最佳状态。

Wsyscheck服务器版软件介绍

Wsyscheck是一个强大的系统检查和维护工具，包括流程和服务驱动的检查、SSDT增强检查、文件查询、注册表操作、DOS删除等。这部作品是望海的主要作品，其他好的作品还有系统安全盾和syscheck，大家应该都不陌生。特别是SysCheck并没有更新，WSysCheck可以说是SysCheck的升级或加强版。

功能介绍

1.流程管理。

2.内核检查。

3.服务管理。

4.安全检查。

5.文档管理。

6.注册表管理。

7.软件设置/工具。

参数介绍

Wsyscheck可以使用参数运行，以提高其优先级。

Wsyscheck 1高于标准Wsyscheck 2和高Wsyscheck 3实时

比如需要实时启动Wsyscheck，可以用Wsyscheck 3的内容编辑一个批处理RunWs.bat。

把RunWs.bat和Wsyscheck放在一起，双击RunWs.bat，用实时优先级启动Wsyscheck。

Wsyscheck -f wsyscheck会恢复一些查询类的SSdt表中的函数，然后退出。

Wsyscheck -s基于-f执行安全环境的创建并退出。

如果Wsyscheck被重命名，Wsyscheck启动后会恢复一些查询类的SSdt表中的功能，恢复结果可以在SSdt显示页面下方的自动恢复中看到。如果不重命名，就不会有这个功能。此外，Wsyscheck将使用随机的驱动程序名称来释放重命名后的驱动程序。

Wsyscheck服务器版说明

1:关于Wsyscheck的颜色显示

流程页面:

红色表示非微软进程，紫色表示虽然进程是微软进程，但模块中有非微软模块。

服务页面:

红色表示该服务不是Microsoft服务，并且该服务由驱动。sys。(最常见的服务是。exe和。dll，木马多使用)。

使用“验证Microsoft文件的签名”后，紫红色显示屏显示的是尚未经过Microsoft签名的Microsoft驱动程序。(可以参考是不是山寨微软驱动。注意，如果紫红色显示过多，可能是你用的系统是网上常见的Ghost的简化版。这些版本可能简化了微软签名数据库。)

使用“检查键值”后，带键值保护的系统启动的驱动程序显示为蓝色。它们可能是查杀软件的自我保护，也可能是木马的键值保护。

至于第三方服务如何排列在一起，可以点击标题栏“文件制造商”来排列顺序。结合“启动类型”和“修改日期”进行排序，更容易观察到新增的木马服务。

SSDT管理页面:红色表示内核被函数钩住。

Wsyscheck启动后状态栏提示“警告！驱动程序加载不成功，一些功能无法完成。

大多数情况下，是你的软件查杀阻止了Wsyscheck加载所需的驱动。在这种情况下，Wsyscheck的功能在一定程度上被削弱了，但它仍然可以通过不需要驱动程序的方法来修复系统。

3:关于卸载模块

卸载钩子系统某个关键进程的模块可能会导致系统重启，这与这个模块的钩子函数有关。所以如果无法卸载，可以先删除这个模块的启动项(或者直接使用Wsyscheck的Dos删除功能)，重启后再删除文件。一些受内核钩子保护的木马请在删除注册表前恢复SSDT。

4:关于文件删除

页面可以使用的方法有:

1.首先禁止程序运行，然后手动删除文件(可以使用Wsyscheck内置的文件管理中的直接删除功能)。

顺便说一下，要删除被禁用的程序，只需使用“安全检查”页面上的“禁用程序管理”功能。这个功能是流行的IFEO劫持功能，所以你可以使用“禁用程序管理”恢复被劫持的程序后，木马劫持与IFEO。

2.使用“结束进程并删除文件”，Wsyscheck会先尝试重命名，然后再删除。目的是防止程序下次启动，即使删除失败。

其他服务管理、文件搜索和文件管理都有相关的删除操作。文件管理页面的删除操作支持删除异常目录中的文件。注意，如果文件本身在回收站，请使用直接删除功能。或者使用剪切功能将其复制到另一个地方。否则，你可能会看到回收站里的文件删除了这个又添加了那个(因为右键“删除”就是删除到回收站)。

对于以上功能无法删除的文件，可以使用Wsyscheck的重启删除或dos删除功能。使用dos删除功能后，会在启动菜单中添加一个“删除顽固文件”，执行后会自动清理文件并删除其添加的启动项。

重启删除和Dos删除可以同时使用。

5:清除特洛伊木马的简单方法:

A.如果SSDT管理中存在木马模块，请先恢复SSDT，然后在服务管理页面清理木马服务和文件。

B.如果木马在完成木马进程后反复被发现启动，可以使用“禁止进程和文件创建”阻止其启动，然后删除。如果此方法失败，可以尝试使用“结束进程并删除文件”或“禁止此程序运行”。

C.有些木马是通过服务启动的。请注意并判断服务页面中的红色显示程序。如果状态为“停止”,类型为“自动”,则它已经运行过一次，因此有可能启动另一个特洛伊木马程序。

D.强烈建议关注“禁用程序管理”。这是相当流行的禁用木马杀死软件或启动木马程序的IFEO。

E.活动文件页面列出了可能的启动方式，所以要有耐心，检查一下有没有木马的启动项。

F.使用文件搜索中的“时间限制”条件来搜索生成的文件可能会对您的清理工作有所帮助。

G.如果您不确定检测到的启动项，您可以在注册表中找到它，并在此启动项的路径前加上“；”等字符让它下次不启动，再观察系统是否正常来确定是不是木马程序。

H.对于Autorun.inf启动的木马，尽量使用Wsyscheck内置的文件管理操作，防止双击盘符再次激活木马。在删除Autorun.inf文件之前，在Wsyscheck的文件管理中打开这个文件，查看木马启动的具体位置，有助于快速找到木马文件。清理这类木马时，请检查每个磁盘的根目录，确保Autorun.inf文件被彻底清理。

一、对于确定的木马文件，能直接删除就删除，不能直接删除就找它的启动项。启动并重新启动系统，以便系统在删除文件之前不会再次加载该程序。如果木马防护比较好，以上方法都失效，可以先用DOS删除功能删除文件，再清理启动项。

6:关于禁止其他程序运行的功能:

Wsyscheck采用的是图像劫持的原理，比如禁止打开记事本。注册表如下所示:

[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Image文件执行选项otepad.exe]

"调试器" = "禁用运行"

以后运行记事本时，会提示找不到。软件缺乏恢复被禁用程序的功能，只能手动清除，即在注册表镜像文件执行选项中找到相应的键，直接删除。