首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全工具>单机安全>软件详细
软件名称:  syscheck2_V1.0.0.66修正版.rar
文件类型:  .rar
界面语言:  简体中文
软件类型:  国产软件
运行环境:  Win2003,WinXP,Win2000,Win9X
授权方式:  共享软件
软件大小:  384KB
软件等级:  ★★★★☆
发布时间:  2007-02-05
官方网址: 作者:wangsea
演示网址:
软件说明:  
syscheck2 反黑辅助说明:

跟着syscheck测试使用了几个月,伴随着作者和一群热心网友的共同努力,感觉目前的版本已经做的比较完善了。时机成熟,放出来供各位使用吧  :)
软件名称:Syscheck     作者:wangsea  软件BUG报告:wangsea6071@sina.com.cn

软件适用于Win2000WinxpWin2003。以下为功能的简要说明。

 

1:进程管理

 

   红色显示的是非系统的进程或文件。点击一个进程可以列出进程包含的模块。你可以中止包括系统进程在内的所有进程,但不推荐你去中止第一个svchost.exe前的进程(包括第一个svchost.exe),这样做的后果可能是导致系统重启或无法关机。

 

   syscheck的进程管理页可列出win32级的隐藏进程,但不会特别标注它。

 

   通常在手动杀毒中会结束那些红色显示的进程,很多全局钩子会插入到Explorer等系统进程中(注意模块中的红色dll),所以有时也会结束这些系统进程以便删除病毒。为避免病毒进程的重复加载,可以勾选<限制线程的创建>来禁止新的线程。

 

   推存对可疑的模块进行全局卸载再进行注册表的修复工作。

 

   在进程管理页的模块显示栏中右键选项有属性,删除到回收站,加入到重启删除列表三项,可以方便在进程显示页就分析、清理恶软或木马。

   <删除到回收站>会结束该模块的主进程后删除模块列表中选定的文件,支持多选。

   <卸载模块并删除文件>在删除全局HOOKDLL时可能会用到。

   <加入到重启删除列表>直接将选定的文件重启后删除。(注意不要把系统DLL删了)建议只对红色显示的非系统模块进行删除处理。

   <永久禁止此文件的执行>即软件限制策略,仅对exe文件有效。注意,过多地限制软件的执行可能会影响系统运行效率。

 

   使用微软验证耗时较长,但对某些仿冒签名的进程、模块及服务有一定的分辨作用。

 

2:服务管理

 

   红色显示的非系统服务。单击列表标题可以排序以便快速查找新增的系统服务。对于以svchost.exe启动的服务,文件路径显示的是该服务文件而非svchost.exe的路径。这一点区别于sc命令显示出来的文件路径。

 

   中止服务功能是仅在系统重启前中止服务,并不是永久性的中止服务。而删除服务则是删除服务键值(不提供删除前的保存。所以,要删除你得自已去确定是否真要这么做)。

 

   值得注意的是,某些服务是无法中止或删除的(比如划词搜索的驱动服务)。这是因为它可能采用了注册表键值的保护。对付这类服务,要使用内核Hook检查中的ssdt恢复功能后,才能在本页中删除其键值(要注意的是,某些服务不提供终止服务,所以删除服务后它可能仍在运行,需要重启才真正停止)。

 

  右键的禁用服务功能要强大一些,有些服务虽然无法停止,但禁用服务仍然可以成功。重启后再删除相关文件要容易得多。

 

  在服务页使用右键可获得更多的服务控制。

 

3:检测修复

 

  a:活动文件

  

   活动文件页显示了包括启动项在内的容易被侵入改写的注册表键值。syscheck仅关注于改写了的键值,所以不同的机器上显示内容并不一样。

 

   在做恢复前,可以核对一下讯息栏显示的内容,以确定是否要恢复。对于没有讯息显示的项目可以定位文件查看文件的属性。

  

   要注意的是,syschek在本页中的恢复不仅仅是改回系统默认值(或删除不需要的键值),如果需要恢

复的是一个DLL文件工作的键值,syschek还会做反注册该DLL的工作。

 

   Winsock检测用于检测Lsp被劫持的情况,不管是否检测到第三方的DLL是否加载,也允许用户强制恢

Winsock。所以,也可以用来作其它检测修复工具破坏掉了Winsock引起网页不能浏览的恢复处理。

 

   b: 敏感键值

 

   本页显示的内容是没有对应文件的系统键值。这些是系统允许的,但有改写后可能造成你使用不便的

键值(如NoRun等文件关联改写)等。

 

   c: 内核Hook检测

   

   内核Hook检测只关注于被Hook了的内核函数,一般来说对应的模块提供者是一个.sys文件。

 

   以划词搜索为例,它的驱动交叉保护(注册表HOOK及文件HOOK),自身的卸载与其它的卸载工具都不能删除hcalway.sysabhcop.sys文件(且卸载后这两个驱动还在运行中,所以,你无法直接删除这两个文件。

  

   对付这样的系统底层驱动,可以勾选并恢复成系统默认函数以使其驱动保护失效。要注意的是,大部份的杀软也注册有底层HOOK,如果你选择了它们,还原后至重启前这些杀软的实时监视将可能失效。

 

   恢复系统底层原始函数地址后,就可以在服务管理页删除划词搜索的注册表服务项了(恢复前由于受其驱动abhcop.sys的保护,是无法删除其注册的服务项)。然后重启机器(系统无法删除一个运行中的文件,而划词的驱动又不停供停止功能,所以只能重启),就可以手动删除这两个文件了(当然也可以用内置的资源管理器中的<加入重启删除列表>功能,来代替手动删除的操作)。

 

   由于底层Hook的优先级很高,所以恢复了SSDT后,可能会有一些隐藏的进程或文件会显示出来,故可以在恢复SSDT后再次观察各检测页状况以删除受这些驱动隐藏、保护的进程,注册表项等。

 

   d:疑难修复

 

   提供了一些快捷方便的修复按钮,在相关按钮上悬停可获得相关简要使用说明。

 

   e:端口查看

 

   主要是用来观察一下本机是否有不正常的连接。

 

4: 文件搜索

 

   通过限制一定条件搜索,以便清除系统中的病毒备份或找到未知病毒。

 

5: 文件浏览

 

   由于syscheck采用了一些反HOOK手段,所以内置的资源管理器可以看到隐藏的文件或文件夹(例如灰

鸽子、hackdef100隐藏的文件)。这样方便你做删除文件的工作。对于利用系统本身特性隐藏的文件(如Downloaded Program Files),内置资源管理器也可一览无遗。

 

   内置资源管理器用法与Explorer基本相同,右键菜单除了普通的删除操作外,还有延时删除(重启后生效),可用于删除顽固文件。(注意这个选项没有后悔药,删除前多看一眼文件属性,修改日期等讯息,不要把受保护的系统文件也删了!)。

------------------------------------------------------------------------------------------------------------------

顽固病毒清除步骤:

 

1: 先试试病毒是否自带所谓的“卸载”功能,如果有就先执行,以便快速清除外围普通病毒文件(此时病毒保护机制仍然可能在生效)。对于模块DLL文件,可以试用全局卸载,一般执行1-2次可以使全局DLL退出。

 

2: 进入“内核Hook检测”,还原所有被Hook的系统函数(如果无显示内容,则跳过本步骤)。

 

3: 结束所有非系统进程(红色显示的进程)。如果是删除IE插件类的病毒,请同时结束Explorer及浏览器进程。如果明确知道是病毒进程,可以先单击它,然后在其模块列表中直接用右键删除该文件。

 

4: 进入“服务管理”,找到并删除病毒对应的注册表服务项。

 

5: 进入“活动文件”,删除其启动加载项及BHOIE工具栏等加载项。

 

6: 进入本工具的“资源管理器”(不是Windows的资源管理器!),找到病毒对应的文件,右击,选择“删除所选(含文件夹)”;如果不成功,则选择“加入重启删除列表”。

 

7: 重启,重复上述步骤检查,直到系统干净为止!

------------------------------------------------------------------------------------------------------------------

关于快速净化功能键的说明:

 

1: 快速净化后会在你的桌面上生成[Syscheck修复前备份]文件夹,本文件中包含文件如下:

   a.WinSock备份.reg 

   b.hosts还原.bat hosts文件;

   c.如是有启动组中的快捷方式或程序,也会移入本文件夹中;

   d.原来的注册表启动备份到“启动备份.reg”备份文件中。

 

   多次执行快速净化请将第一个[Syscheck修复前备份]文件夹改名保存,因为程序会覆盖原有文件,仅第一个备份是您的最初系统备份。

 

2: 快速净化的功能:

   a.禁用了一切启动文件;

   b.删除了一切插件,一切对正常系统不该存在的键值;

   c.还原了默认winsock

   d.hosts文件改为了默认的127.0.0.1       localhost 一行;

   e.删除各盘根目录下的Autorun.inf

   f.删除windowsProgram Files目录下的*.com文件;

     删除system32下与*.exe同名的*.com文件。

 

3: 使用快速净化的处理方法:

 

   快速净化处理完毕,有一个倒计时对话框提示是否重启。手动能力较强的用户可以选择不重启。此时系统关闭了许多进程,可以执行一些先前无法执行的一些操作,当然此时用清它清理工具来清理的效果也更好。同时也可以手动编辑快速净化中生成的.reg.bat文件并立即执行,重启后会有更好的兼容性。

 

   a.净化后你的系统的一些功能可能不能使用,不必担心,备份中都有,都可以还原;

   b.建议先直接双击"启动备份.reg"还原启动项,再打开syscheck中将不再使用的启动项目删除;

     快捷方式如果想保持启动也可拖回到启动组中;

   c.打开hosts文件,查看有无您不想要的项目,修改后可用"host还原.bat"持贝它到原有的位置(根据需要,本操作可以不必执行);

 

4: 做完清理工作再重启一次。上网打开网页试一试,如果不行,则用备份的winsock.reg还原(还原后可能需要重启一次才能生效)。

  

   通过以上步骤,我们就可以在一个干净的环境下清除木马,快速处理文件删除了。




syscheck(1.0.0.66)
疑难修复中加入了一个"显示隐藏文件修复"按钮。
调整活动文件的内容的显示顺序。
加入安全环境功能,提供一个清理不必要进程及第三方DLL的系统环境,并附带清理Autorun.inf加载的木马及清理已确定的病毒木马文件等。
服务页加入了文件创建时间。


       
下载地址: 进入下载地址列表
下载说明: ☉推荐使用网际快车下载本站软件,使用 WinRAR v3.10 以上版本解压本站软件。
☉如果这个软件总是不能下载的请点击报告错误,谢谢合作!!
☉下载本站资源,如果服务器暂不能下载请过一段时间重试!
☉如果遇到什么问题,请到本站论坛去咨寻,我们将在那里提供更多 、更好的资源!
☉本站提供的一些商业软件是供学习研究之用,如用于商业用途,请购买正版。
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热门软件
·冰盾DDOS防火墙v8.1免注册专业破
·ASPSecurity1.1.rar
·Windows Server 2003 Service Pa
·iis5recycle_zip.exe
·BlackRose反黑工具
·rkhunter-1.2.7
·apache_tools
·Rootkit Unhooker v3.7.300.509.
·LimitLogin
·sysinfo.exe
·ms04-028GDIScan.rar
·yinyang-1.0.zip
  相关软件
·ASPSecurity1.1.rar
·rkhunter-1.2.7
·apache_tools
·Windows Server 2003 Service Pa
·LimitLogin
·sysinfo.exe
·ms04-028GDIScan.rar
·Windows XP Service Pack 2 Buil
·yinyang-1.0.zip
·iis5recycle_zip.exe
·BlackRose反黑工具
·冰盾DDOS防火墙v8.1免注册专业破
 
  推荐广告
CopyRight © 2002-2018 VFocuS.Net All Rights Reserved