很久没有在这里发表原创的文章咯,本来想写那个iexpl0re的分析的,猫叔写了,所以写点其他的吧.今天主要给大家介绍又一款反病毒利器Syscheck,这可不是做广告哦,而是我发现他的确不错,具有进程管理,服务管理,Explorer加载管理,BHO管理,文件右键管理,注册表关键位置修复,SSDT检测与修复,hosts管理,winsock修复,显示隐藏文件修复,端口查看,文件删除与复制等功能,并可以显示某些采用Rootkit技术隐藏的文件.现在的最新版本是1.0.0.69版本(下载地址http://free5.ys168.com/?wangsea里面的soft板块)
    下面就介绍一下该软件的使用方法和一些技巧
    一,进程管理
    双击syscheck.exe后会出现如图1的界面,这个是进程管理的界面,我们可以看到某些进程以高亮显示,这代表该进程是非微软进程或者被插入了非微软的dll
    我们来看上方菜单栏,从左到右依次是
进程名称(这里是进程的详细名称)
详细路径(这里我们可以看见某个进程的在系统中的详细位置,以便判断哪些是伪系统进程)内存(表示该进程的内存使用量)
进程号(即进程的PID)
产品厂商(通过此项目可以对进程所对应的文件的数字签名做核对,如果此项对应的公司为空,那么就要注意了可能是病毒)对于数字签名还要特别提一下,就是这个软件还具有数字签名验证的功能,当我们选中下方的使用微软认证的钩的时候,他将自动进行微软数字签名的认证,因为现在很多病毒会模仿微软的数字签名,从而给发现他们造成困难,此项功能可以揪出那些伪造微软签名的进程)(如图2)
    介绍一下下方几个按钮的功能
批量结束进程,这个功能应该是作者想的比较周到的一个功能,现在的病毒大多都有进程守护功能,也就是说A进程看着B进程,一旦有一个被结束,另一个会自动启动这个进程,从而达到不被轻易查杀的目的,此项功能可以解决该问题.使用方法,在想结束的进程前面挑钩,然后点击批量结束进程就OK了(如图3)
禁止外部线程创建,刚才说了,现在的木马大多有进程守护功能,而这个守护又分为两种,一个是进程相互守护,也就是1.exe守护2.exe,另一种是进程线程相互守护,也就是一个dll和一个exe相互守护,这样的病毒更加难以杀灭,因为那个dll通常会插入系统关键进程,即使结束了那个exe,那个dll还会把那个exe启动,从而难以查杀,这个时候我们就要选择禁止创建线程这个功能了,方法是把那个禁止外部线程创建的钩挑上,然后就可以先把那个dll设法干掉,因为这个时候开启了禁止创建外部线程的功能,所以dll干掉之后,那个exe也无法在启动那个dll,之后我们再干掉那个exe就OK了.

防止驱动阻止修复,这个功能还没用过,不过以他的介绍来看,(如图4)应该是对付某些rootkit用到的,如果哪位网友有使用过他的经验,请告诉我,我将及时补充上来.
介绍一下进程管理的右键菜单,在某个进程上单击右键可以看到一个功能比较多的右键菜单,(如图5)从上往下依次是
使用Google搜索(可以使用google搜索引擎搜索该进程的知识,方便不熟悉进程的人判断其是否是可疑进程)
查看文件属性(直接查看该文件的属性,与在某文件上面单击右键-属性功能相同)
定位文件(可以直接定位到该进程所对应的文件)
复制路径到剪贴簿(当然就是复制那个详细路径到剪贴板咯)
强制删除文件(此项功能慎用,如果不熟悉某个病毒的原理请不要使用,可能造成删除后出现某些系统错误,但是某些病毒实在是太顽固了,可以尝试一下)
仅结束进程(从名字就应该看出来了,不说咯)
删除进程到回收站(结束进程后把对应的文件放到回收站)
永久禁用指定进程(也可以用来对付某些进程守护型病毒,这样他可以不再创建新的进程了)
采用重启并延时删除(直接将选定的文件重启后删除。)
下面看模块功能
这里可以看见进程被插入的dll,这里通常显示的都是非微软认证的dll,所以一般都要仔细检查,看看他的右键菜单.(图6)
使用Google搜索,查看文件属性,定位文件,强制删除文件与前面介绍的进程里面的右键菜单相同,不再赘述.
全局卸载指定模块(这项可以把那些插入很多进程的dll强制从所有进程中卸载,比如某个进程插入了qq,explorer进程,那么可以找到该dll然后右键选择强制从所有进程中卸载,那么他就会从所有进程中被强制踢出来,不过可能会造成对应进程的内存错误,这点要注意,如果是插入系统关键进程(winlogon,svchost等)不建议使用
卸载模块并删除文件(卸载某个dll后同时删除该文件)
采用重启并延时删除与上面相同不再赘述
二,服务管理
打开服务管理界面,这里我们可以看见系统所有的服务和驱动创建的服务,同样,高亮显示的是非微软的服务或者驱动(图7)
菜单栏从左往右依次是服务名(顾名思义,服务的名称,呵呵)
详细路径(该服务或者驱动对应的系统中文件的位置)
类型(分为Boot,系统,自动,手动,禁用几种,且从左往右的权限依次降低,boot级的驱动在安全模式下也会加载,现在许多驱动级木马就采用这种技术,从而使得安全模式也杀不掉他们)
服务状态.(表示此服务或者驱动现在是否在运行之中)

修改时间,创建时间(顾名思义,就是该服务或者进程的修改或者创建时间,不过这里需要提一下,在检测病毒时候可以按一下那个修改时间或者创建时间的按钮,他会自动把服务或者驱动按照时间排列,我们需要注意的是那些最近创建的服务或者驱动)
产品厂商和微软认证上面提到了,不再赘述
看看他的右键菜单吧.(图8)
使用Google搜索,查看文件属性,定位文件,强制删除文件与前面介绍的进程里面的右键菜单相同,不再赘述.
定位注册表项,可以直接定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet或者HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X项目中,直接方便我们对于该项目的注册表进行修改和删除等操作)
加入信任列表(可以把你信任的服务如某些杀毒软件的服务加入其信任列表,下次就不会高亮显示了)
启动服务,停止服务(顾名思义,可以方便的启动或者终止某个服务)
禁用服务(把该服务的启动类型改伪为禁用)
仅删除服务键值(删除服务在注册表中对应的键值,但是不删除文件,效果跟禁用服务差不多,不过要在你完全肯定这个服务是病毒服务的基础上,否则误删后是无法挽回的)
删除服务及文件(即删除服务在注册表中对应的键值及在电脑中对应的文件)
设为自动(把服务的启动类型设置为自动)
设为手动(把服务的启动类型设置为手动)
设为禁用(把服务的启动类型设置为禁用)
三,检测修复
这里又分为活动文件,关键表项,ssdt检测,host查看,疑难修复端口查看等模块
1.活动文件模块(图9)
这里可以方便的对启动项目,右键加载项目,BHO钩子,IE工具栏,IE按钮,IE右键,文件右键进行管理
右键找到需要修复的项目,选择
修复并删除文件(可以对该项目的注册表项目进行修复并删除对应的文件)
仅修复注册表项(则只删除对应的注册表项目,不删除文件)
2.关键表项(图10)
对注册表关键项目进行修复,如IE 主页被劫持,NoRun等文件关联改写等等

3.ssdt检测(图11)
一般被病毒修改的API函数我们可以通过他看见,比如某些采用了Rootkit技术的鸽子或者驱动木马
在 Windows 操作系统里面，API是指由操作系统提供功能的、由应用程序调用的函数。这些函数在Windows操作系统里面有上千个之多，分布于不同的DLL文件里面或者EXE文件里面。应用程序通过调用这些函数来获得一些功能的支持。
API HOOK：API HOOK技术是一种用于改变API执行结果的技术，Microsoft 自身也在Windows操作系统里面使用了这个技术，如Windows兼容模式等。
API HOOK 技术并不是计算机病毒专有技术，但是计算机病毒经常使用这个技术来达到隐藏自己或者无法删除的目的。
  以划词搜索为例，它的驱动交叉保护（注册表HOOK及文件HOOK），自身的卸载与其它的卸载工具都不能删除hcalway.sys及abhcop.sys文件（且卸载后这两个驱动还在运行中，所以，你无法直接删除这两个文件。
  对付这样的系统底层驱动，可以勾选并恢复成系统默认函数以使其驱动保护失效。要注意的是，大部份的杀软也注册有底层HOOK，如果你选择了它们，还原后至重启前这些杀软的实时监视将可能失效。恢复系统底层原始函数地址后，就可以在服务管理页删除划词搜索的注册表服务项了（恢复前由于受其驱动abhcop.sys的保护，是无法删除其注册的服务项）。然后重启机器（系统无法删除一个运行中的文件，而划词的驱动又不停供停止功能，所以只能重启），就可以手动删除这两个文件了（当然也可以用内置的资源管理器中的<加入重启删除列表>功能，来代替手动删除的操作）。由于底层Hook的优先级很高，所以恢复了SSDT后，可能会有一些隐藏的进程或文件会显示出来，故可以在恢复SSDT后再次观察各检测页状况以删除受这些驱动隐藏、保护的进程，注册表项等。(由于本人对于SSDT,API函数不甚了解,所以如果这里出现错误请广大网友指正)
4.host查看(图12)
Host文件位于系统文件夹下drivers下etc文件夹中
当我们访问某个网站时候首先需要做的就是域名解析,也就是说把www类型的网址解析成IP地址,而域名解析的开始,系统会首先访问这个host文件,如果出现了某些网址,则首先按照这里显示的IP地址解析域名,这点也会被病毒利用,如把我们常见的网站解析成病毒网站等.这里我们可以方便的对host文件进行修改,默认的仅有
127.0.0.1      localhost这一项内容
5.疑难修复(图13)
这个功能是基于最近很多恶性病毒修改注册表导致不能显示隐藏文件等恶意行为而设定的
包括:
winsock检测修复
Winsock Provider 用于提供系统网络访问，如果 Winsock Provider 出现问题，将导致不能使用网络功能，包括ICMP协议、TCP 协议等。
    Winsock Provider 重置功能用于将 Winsock Provider 重置为系统初始的默认值。此功能用于解决由于 Winsock Provider 被破坏导致的网络访问异常
如果出现了能上QQ但不能上网等现象,可以尝试此项功能.
显示隐藏文件修复(可以修复某些病毒如熊猫烧香对于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL键值的修改造成无法显示隐藏文件的问题)
清理Autorun加载等木马(可以用来对付某些通过双击硬盘而启动的木马)

6.端口查看(图14)
可以查看当前计算机打开的端口和他们对应的进程
四,文件搜索(图15)
通过限制一定条件搜索，以便清除系统中的病毒备份或找到未知病毒。
这里我们可以看到通过创建日期,文件大小,厂商,目录等限制条件搜索文件,还可以对搜索出来的文件进行删除移动等操作
五,文件浏览
由于syscheck采用了一些反HOOK手段，所以内置的资源管理器可以看到隐藏的文件或文件夹（例如灰鸽子隐藏的文件）。这样方便你做删除文件的工作。对于利用系统本身特性隐藏的文件（如Downloaded Program Files），内置资源管理器也可一览无遗。
在界面下方有一个仅显示隐藏的文件的钩,一般推荐挑钩,因为病毒一般是隐藏的居多,这样可以省去大部分时间,直接照隐藏的文件下手.(注意一般系统文件夹中是不会有隐藏的exe或者dll的,所以一旦在这里发现了隐藏的exe或者dll,那么就要注意咯)
下面看看他的右键菜单(图16)
打开(打开对应文件或者文件夹)
剪切,复制,重命名与在系统里的操作原理一样
删除(把文件删除到回收站)
延时删除(某些病毒文件必须重启后删除,如果你嫌麻烦,那么可以直接点击重启删除,他将会自动在重启后删除那个文件)
强制删除(上面介绍过)
属性(查看文件或者文件夹的属性)
六,输出信息
点击这个按钮后可以生成一个系统报告
以便高手对你的电脑进行检查,生成的报告有第三方进程及模块,服务状态,当前活动文件情况, 当前敏感键值情况等项目
七,快速净化(由于自己没有使用过这个功能,所以这里引用作者的帮助说明)
关于快速净化功能键的说明:
1: 快速净化后会在你的桌面上生成[Syscheck修复前备份]文件夹，本文件中包含文件如下:
  a.WinSock备份.reg；
  b.hosts还原.bat 及hosts文件；
  c.如是有启动组中的快捷方式或程序，也会移入本文件夹中；
  d.原来的注册表启动备份到“启动备份.reg”备份文件中。
  多次执行快速净化请将第一个[Syscheck修复前备份]文件夹改名保存，因为程序会覆盖原有文件，仅
第一个备份是您的最初系统备份。
2: 快速净化的功能:
  a.禁用了一切启动文件；
  b.删除了一切插件，一切对正常系统不该存在的键值；
  c.还原了默认winsock；
  d.将hosts文件改为了默认的127.0.0.1      localhost 一行；
  e.删除各盘根目录下的Autorun.inf；
  f.删除windows及Program Files目录下的*.com文件；
    删除system32下与*.exe同名的*.com文件。
3: 使用快速净化的处理方法:
  快速净化处理完毕，有一个倒计时对话框提示是否重启。手动能力较强的用户可以选择不重启。此时
系统关闭了许多进程，可以执行一些先前无法执行的一些操作，当然此时用清它清理工具来清理的效果也
更好。同时也可以手动编辑快速净化中生成的.reg及.bat文件并立即执行，重启后会有更好的兼容性。
  a.净化后你的系统的一些功能可能不能使用，不必担心，备份中都有，都可以还原；
  b.建议先直接双击"启动备份.reg"还原启动项，再打开syscheck中将不再使用的启动项目删除；
    快捷方式如果想保持启动也可拖回到启动组中；
  c.打开hosts文件，查看有无您不想要的项目，修改后可用"host还原.bat"持贝它到原有的位置（根据需要，本操作可以不必执行）；
4: 做完清理工作再重启一次。上网打开网页试一试，如果不行，则用备份的winsock.reg还原（还原后可能需要重启一次才能生效）。
    通过以上步骤，我们就可以在一个干净的环境下清除木马，快速处理文件删除了。

以上就是我给大家介绍的一款比较不错的反病毒利器syscheck,声明一下哦,绝对没有做广告什么的意思,只是看着这个软件不错,向大家介绍一下而已,另外在文章中参考了作者的帮助说明和sreng的帮助说明,在此表示感谢.
因作者水平有限,如果文章中有纰漏或者不足的地方,请广大网友予以指正,谢谢!

本文版权归清新阳光所有 如需转载,请注明原作者,谢谢合作

图1

图2

图3

图4

图5