Wsyscheck是一款系統(tǒng)檢測工具，用戶可以在Wsyscheck內(nèi)檢測注冊表、查詢文件，方便您可以更好的來進行使用。此外還可以對驅(qū)動進行檢查，便于您的電腦系統(tǒng)更加的安全、健康。

【軟件介紹】

Wsyscheck一款強大的系統(tǒng)檢測維護工具，進程和服務(wù)驅(qū)動檢查，SSDT強化檢測，注冊表操作，文件查詢，DOS刪除等一應(yīng)俱全。Wsyscheck為wangsea近期的主打作品，深山紅葉系出自他之手。其他比較好的作品還有系統(tǒng)安全盾、syscheck，大家應(yīng)該不會陌生。特別說明一下，SysCheck現(xiàn)在已經(jīng)不再更新，不再提供下載。 WSysCheck可以說是SysCheck的升級版或強化版。

【功能介紹】

“進程管理”功能介紹
查看系統(tǒng)中運行的進程和下掛模塊，可以對進程進行終止、掛起、刪除、禁止執(zhí)行（IFEO原理）等操作，對模塊進行卸載、刪除、重命名等操作。
定位進程、模塊的文件路徑、檢查文件數(shù)字簽名。
“進程管理”顏色說明
紅色表示非微軟進程，紫紅色表示雖然進程是微軟進程，但進程中有非微軟的模塊。
效驗所有數(shù)字簽名后簽名正常的顯示pass，未簽名或簽名已過期顯示no pass。



服務(wù)管理
紅色表示該服務(wù)一不是微軟服務(wù)，而且該服務(wù)是非.sys驅(qū)動。（最常見的是.exe與.dll的服務(wù)，木馬大多使用這種方式）。
使用“校驗微軟文件的簽名”后，紫紅色顯示未通過微軟簽名的微軟驅(qū)動。
使用“檢查鍵值”后，藍(lán)色顯示的是有鍵值保護的隨系統(tǒng)啟動的驅(qū)動程序。他們有可能是殺軟的自我保護，也有可能是木馬的鍵值保護。
點擊標(biāo)題條“文件廠商”排序，結(jié)合使用“啟動類型”。“修改日期”排序更容易觀察到新增的木馬服務(wù)。



安全檢查
常規(guī)檢查：HOST、winsock、映像劫持列表、重要鍵值變動（文件關(guān)聯(lián)）。
活動文件：列出了全部啟動項和explorer加載項，清理木馬時可以檢查一下是否有木馬的啟動項目。
IE安全：IE瀏覽器加載項，主頁。
端口狀態(tài)：可以查看所有的遠(yuǎn)程連接和路徑。
文件搜索：修復(fù)系統(tǒng)以后，可能會殘留一些病毒尸體，最后可以篩選清理一下。
重啟刪除：和LA重啟刪除原理類似，可以刪除一些正在占用的文件，如果直接刪除能刪除，建議使用直接刪除文件，或者是鎖定刪除。







文件管理
對磁盤文件進行管理和編輯操作。
驅(qū)動加載的情況下，WSC的刪除功能很強大，大多數(shù)文件都可以立即刪除（進程模塊可以直接使用右鍵下帶刪除的各項功能），加載的DLL文件刪除后雖然文件仍然可見，但事實上已刪除，重啟后該文件消失。
文件管理頁的“刪除”操作是刪除文件到回收站，支持畸形目錄下的文件刪除。



注冊表管理
對任意的注冊表的鍵值，子項備份刪除操作。
即使系統(tǒng)自帶的regedit注冊表編輯器被禁用后者破壞，也不影響wsc的注冊表編輯功能上方有一些注冊表常用路徑的收藏夾，點擊可以直接跳轉(zhuǎn)到指定路徑。



軟件設(shè)置/工具
如果確系木馬文件,可選擇結(jié)束進程并刪除文件,這樣的話Wsyscheck會將其結(jié)束并刪除文件。但有時因為木馬有關(guān)聯(lián)進程未同時結(jié)束，會重新加載木馬文件。這時我們可以選擇“軟件設(shè)置”下的“刪除文件后鎖定”。這時當(dāng)結(jié)束進程并刪除文件后Wsyscheck將創(chuàng)建0字節(jié)的鎖定文件防止木馬再生。



模塊，服務(wù)簡潔顯示：
此項默認(rèn)選中，自動隱藏了微軟服務(wù)，這樣看起來更簡單明了，紅色的表示此項是非微軟服務(wù)，且不是sys驅(qū)動（一般為exe或dll驅(qū)動，注意看簽名和路徑辨別）；紫紅色表示雖然進程是微軟進程，但進程中有非微軟的模塊。
檢驗微軟文件簽名：
通過校驗微軟文件的簽名來看下掛是否有冒充微軟的進程或模塊，未通過微軟正式簽名的文件標(biāo)注為no pass。
禁止進程與文件創(chuàng)建：
很多病毒會出現(xiàn)刪除了又自動生成情況，這個選項就是為了防止這種現(xiàn)象專門設(shè)計的，可以很好的抑制病毒文件和進程的再次生成。建議在刪除惡意程序時選中此項。
刪除文件前備份文件：
如果對將要刪除的文件不太確定是正常文件還是病毒，只是覺得可疑，出于安全起見，可以選上此項進行刪除前的備份，以用來恢復(fù)誤刪的正常文件。備份路徑為%SystemDrive%\VirusBackup目錄，會將文件名添加.vir后綴以免誤執(zhí)行。
刪除文件后鎖定：
為避免病毒程序守護，Wsyscheck在刪除某些文件時可能會采取0字節(jié)文件占位的方式來確保刪除。這些0字節(jié)文件在Wsyscheck退出后會被自動清理。
注：
1.Wsyscheck的窗口本身已采取隨機字符，如果仍然被木馬禁用，可將Wsyscheck改名后運行，加載的驅(qū)動被攔截時可暫時退出安全軟件。
2.修復(fù)能力有限時，可以直接嘗試使用，“構(gòu)建安全環(huán)境”（但也可能會使一些正常工具出現(xiàn)問題）。

【使用方法】

1、進程管理，可以查看系統(tǒng)正在運行的程序
2、內(nèi)核檢測，深入掃描系統(tǒng)文件
3、服務(wù)管理，可以查看后臺的運行軟件，并強制關(guān)閉，可以查看后臺的運行軟件，并強制關(guān)閉



4、安全檢測，進行系統(tǒng)病毒掃描模式
5、文件管理，可以對指定的文件進行安全管理

【更新說明】

V1.68.33
修正內(nèi)置注冊表瀏覽器顯示二進制數(shù)據(jù)錯誤的BUG。
調(diào)整使用-run啟動腳本時顯示腳本窗體。

V1.68.32
修正因為磁碟機變種導(dǎo)致本軟件界面無法顯示的BUG。