52ky 发表于 2022-9-15 09:58:12

syscheck(安检工具、反黑工具)

1:进程管理?赤色显示的对错系统的进程或文件。点击一个进程可以列出进程包括的模块。你可以间断包括系统进程在内的一切进程,但不推荐你去间断第一个svcH/OST.exe前的进程(包括第一个svcH/OST.exe),这样做的结果可能是导致系统重启或无法关机。?syscheck的进程管理页可列出win32级的隐藏进程,但不会格外标示它。?通常在手动杀毒中会完毕那些赤色显示的进程,很多大局钩子会刺进到Explorer等系统进程中(注意模块中的赤色dll),所以有时也会完毕这些系统进程以便删去病毒。为避免病毒进程的重复加载,可以勾选lt;限制线程的创建gt;来阻止新的线程。?推存对可疑的模块进行大局卸载再进行注册表的修复工作。?在进程管理页的模块显示栏中右键选项有属性,删去到回收站,参加到重启删去列表三项,可以方便在进程显示页就分析、整理恶软或木马。?lt;删去到回收站gt;会完毕该模块的主进程后删去模块列表中选定的文件,支持多选。?lt;卸载模块并删去文件gt;在删去大局HOOK的DLL时可能会用到。?lt;参加到重启删去列表gt;直接将选定的文件重启后删去。(注意不要把系统DLL删了)建议只对赤色显示的非系统模块进行删去管理。?lt;持久阻止此文件的履行gt;即软件限制策略,仅对exe文件有效。注意,过多地限制软件的履行可能会影响系统运行效率。?使用微软验证耗时较长,但对某些仿冒签名的进程、模块及服务有必定的分辩效果。2:服务管理?赤色显示的非系统服务。单击列表标题可以排序以便快速查找新增的系统服务。关于以svcH/OST.exe启动的服务,文件途径显示的是该服务文件而非svcH/OST.exe的途径。这一点差异于sc命令显示出来的文件途径。?间断服务功能是仅在系统重启前间断服务,并不是持久性的间断服务。而删去服务则是删去服务键值(不提供删去前的保留。所以,要删去你得自已去断定是不是真要这样做)。?值得注意的是,某些服务是无法间断或删去的(比如划词查找的驱动服务)。这是因为它可能采用了注册表键值的维护。抵挡这类服务,要使用内核Hook检测中的ssdt恢复功能后,才能在本页中删去其键值(要注意的是,某些服务不提供终止服务,所以删去服务后它可能仍在运行,需求重启才真正中止)。右键的禁用服务功能要强大一些,部分服务虽然无法中止,但禁用服务依然可以成功。重启后再删去相关文件要简单得多。在服务页使用右键可获得更多的服务控制。3:检测修复a:流动文件?流动文件页显示了包括启动项在内的简单被侵/入改写的注册表键值。syscheck仅重视于改写了的键值,所以不一样的机器上显示内容并不一样。?在做恢复前,可以核对一下消息栏显示的内容,以断定是不是要恢复。关于没有消息显示的项目可以定位文件检测文件的属性。?要注意的是,syschek在本页中的恢复不仅仅是改回系统默认值(或删去不需求的键值),假如需求恢复的是一个DLL文件工作的键值,syschek还会做反注册该DLL的工作。?Winsock检测用于检测Lsp被劫持的状况,不论是不是检测到第三方的DLL是不是加载,也答使用户强行恢复Winsock。所以,也可以用来作其它检测修复工具损坏掉了Winsock导致页面不能阅读的恢复管理。?b:灵敏键值?本页显示的内容是没有对应文件的系统键值。这些是系统许可的,但有改写后可能形成你使用不方便的键值(如NoRun等文件相关改写)等。?c:内核Hook检测??内核Hook检测只重视于被Hook了的内核函数,一般来说对应的模块提供者是一个.sys文件。?以划词查找为例,它的驱动交叉维护(注册表HOOK及文件HOOK),自身的卸载与其它的卸载工具都不能删去hcalway.sys及abhcop.sys文件(且卸载后这两个驱动还在运行中,所以,你无法直接删去这两个文件。?抵挡这样的系统底层驱动,可以勾选并恢复成系统默认函数以使其驱动维护失效。要注意的是,大部份的杀软也注册有底层HOOK,假如你选择了它们,复原后至重启前这些杀软的实时监视将可能失效。?恢复系统底层初始函数地址后,就可以在服务管理页删去划词查找的注册表服务项了(恢复前因为受其驱动abhcop.sys的维护,是无法删去其注册的服务项)。然后重启机器(系统无法删去一个运行中的文件,而划词的驱动又不断供中止功能,所以只能重启),就可以手动删去这两个文件了(当然也可以用内置的资源管理器中的lt;参加重启删去列表gt;功能,来代替手动删去的操作)。?因为底层Hook的优先级很高,所以恢复了SSDT后,可能会有一些隐藏的进程或文件会显示出来,故可以在恢复SSDT后再次调查各检测页状况以删去受这些驱动隐藏、维护的进程,注册表项等。?d:问题修复?提供了一些方便方便的修复按钮,在相关按钮上悬停可获得相关扼要使用说明。?e:端口检测?主要是用来调查一下本机是不是有不正常的连接。4:文件查找?通过限制必定条件查找,以便清除系统中的病毒备份或找到未知病毒。5:文件阅读?因为syscheck采用了一些反HOOK手法,所以内置的资源管理器可以看到隐藏的文件或文件夹(例如灰鸽子、hackdef100隐藏的文件)。这样方便你做删去文件的工作。关于使用系统自身特性隐藏的文件(如DownloadedProgramFiles),内置资源管理器也可一览无遗。?内置资源管理器用法与Explorer基本一样,右键菜单除了一般的删去操作外,还有延时删去(重启后收效),可用于删去顽固文件。(注意这个选项没有后悔药,删去前多看一眼文件属性,修复日期等消息,不要把受维护的系统文件也删了!)。
syscheck1.0.0.69(安检工具)\SafeHook.dll
syscheck1.0.0.69(安检工具)\SYSCHECK2.EXE
.....太多文件了略.....

(error)




页: [1]
查看完整版本: syscheck(安检工具、反黑工具)