file-type

wsyscheck工具及其相关文件解析

RAR文件

wsyscheck
下载需积分: 10 | 473KB | 更新于2025-09-10 | 139 浏览量 | 1 下载量 举报 收藏
download 立即下载
wsyscheck 是一个与系统安全检查相关的工具或程序名称,从其命名结构来看,可以推测其功能可能与 Windows 系统的完整性校验、安全检测或注册表分析有关。尽管在公开的资料中,并没有一个广泛知名的官方工具叫做“wsyscheck”,但从所提供的文件信息来看,我们可以从“wsyscheck.exe”和“Usp10.dll”这两个文件入手,分析可能涉及的技术知识点。 首先,wsyscheck.exe 是一个可执行文件,通常表示某个程序的主程序入口。在 Windows 系统中,.exe 文件是可执行程序文件,用户双击即可运行。此类文件可能用于执行系统维护、安全检测、注册表扫描、驱动加载等功能。由于其名称中带有“check”字样,因此可以合理推测它可能是一个用于检测系统安全状态、注册表完整性、驱动程序合法性或系统漏洞的工具。 从安全角度来看,这类工具通常用于检测恶意软件的存在、系统配置是否被篡改、关键系统文件是否被替换或修改等。例如,类似的功能可以在 Windows 自带的系统文件检查器(sfc /scannow)中看到。wsyscheck.exe 有可能是第三方开发的系统检测工具,或者是一个专用于某个特定软件环境的内部检测程序。 其次,Usp10.dll 是一个动态链接库(Dynamic Link Library),在 Windows 系统中扮演着非常重要的角色。DLL 文件包含了多个程序可以共享使用的代码、数据和资源。Usp10.dll 通常与 Uniscribe(Unicode Script Processor)相关,是微软提供的一种用于处理复杂文本脚本(如阿拉伯语、希伯来语、印度语等)的组件。该 DLL 文件负责文本的复杂排版、字符处理、字体渲染等功能。 从技术角度分析,Usp10.dll 是一个系统级组件,广泛应用于各种 Windows 应用程序中。它负责处理复杂的文本布局,确保不同语言的文字在屏幕上正确显示。如果这个 DLL 文件缺失或损坏,可能会导致某些应用程序无法正常运行,甚至引发系统崩溃。 在某些情况下,恶意软件会伪装成合法的 DLL 文件(如 Usp10.dll)来进行攻击,因此需要确保该文件的真实性和完整性。如果 wsyscheck.exe 与 Usp10.dll 同时存在于一个压缩包中,则可能存在以下几种情况: 1. **wsyscheck.exe 是一个独立的系统检测工具,Usp10.dll 是其运行所依赖的库文件**:在这种情况下,Usp10.dll 可能是作为运行时支持文件,为 wsyscheck.exe 提供必要的文本处理能力或其他功能支持。这在开发多语言支持的系统工具时较为常见。 2. **wsyscheck.exe 用于检测 Usp10.dll 的完整性或安全性**:考虑到 Usp10.dll 是一个系统级 DLL,可能被恶意篡改或注入,wsyscheck 可能是一个用于检测该 DLL 文件是否被修改、是否被恶意程序利用的工具。这种工具通常用于安全审计或系统加固。 3. **两者共同组成一个完整的系统检测套件**:wsyscheck.exe 可能是主程序,而 Usp10.dll 是其扩展模块之一,用于增强程序在多语言支持、文本分析等方面的能力。 此外,从文件命名习惯来看,“wsyscheck”中的“w”可能代表 Windows(Windows 系统相关)、“sys”代表系统(System),而“check”则表明其功能是进行某种检测。这与常见的系统工具命名方式一致,如 winver.exe(显示 Windows 版本信息)、msconfig.exe(系统配置工具)等。 在实际应用中,类似 wsyscheck 的工具可能具备以下功能: - **系统完整性检测**:扫描系统关键文件是否被篡改或替换,确保系统未被恶意入侵。 - **注册表检查**:分析注册表项是否被恶意修改,防止病毒通过注册表实现自启动或隐藏。 - **进程与服务监控**:实时监控系统运行中的进程和服务,识别可疑行为。 - **驱动程序验证**:检查系统加载的驱动程序是否合法,防止恶意驱动注入。 - **日志分析**:读取系统日志、安全日志等,识别潜在的安全威胁。 值得注意的是,如果该工具是第三方开发的,用户在使用时应格外谨慎,确保其来源可信,避免引入恶意软件。此外,Usp10.dll 作为系统核心组件,任何对其操作都应谨慎处理,防止误删或误修改导致系统不稳定。 综上所述,wsyscheck.exe 和 Usp10.dll 构成的系统工具包可能涉及 Windows 系统安全检测、文本处理、注册表扫描、完整性校验等多个方面的技术知识。它可能是用于安全审计、系统维护或恶意软件检测的辅助工具。对于 IT 技术人员而言,理解这类工具的工作原理、依赖关系及其安全影响,有助于更好地进行系统管理、故障排查和安全防护。

相关推荐

filetype

Wsyscheck.rar


Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。

一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。

最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。

Wsyscheck基本功能简单介绍:

1:软件设置中的模块、服务简洁显示

简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。
SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。

2:关于Wsyscheck的颜色显示

进程页:

红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。

服务页:

红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。

使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。

在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。

进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。

在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信)

SSDT管理页:

默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。

SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。

使用“恢复所有函数”功能则同时恢复上述两种HOOK。

发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。

活动文件页:

红色显示的常规启动项的内容。

3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。”

多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。

驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。

4:关于卸载模块

对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的写法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。

5:关于文件删除

驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启后该文件消失。

文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。

Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面,添加待删除文件并重启,启动菜单中将出现“删除顽固文件”字样,选择后转入Dos删除文件。在某些机器上,若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。)

“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。

注意,为避免病毒程序守护,Wsyscheck可以在删除某些文件时可能会采取0字节文件占位的方式来确保删除。这些0字节文件在Wsyscheck退出后会被自动清理。是否采用此方式依赖于“软件设置”下的“删除文件后锁定”选项是否勾选。


如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%SystemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。


6:关于进程的结束后的反复创建

如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。但有时因为木马有关联进程未同时结束,会重新加载木马文件。这时我们可以选择“软件设置”下的“删除文件后锁定”。这时当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件防止木马再生。

也可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能,所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。

软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。

要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。

对于反复写注册表启动项无法修复的情况,可以先用“禁止进程与文件创建”找出覆写该注册表项的进程,针对木马插入的线程进行挂起,再修复注册表。

懒于查看分析,不想太麻烦的话,可以先删除文件(直接删除、重启删除),待重启之后再修复注册表。

8:关于批量处理

各页中可尝试用Ctrl,Shift多选再执行相关的功能。

文件搜索中的“保存文件列表”导出搜索结果列表1,在PE启动后再执行一次得到结果2,将结果1与结果2相比较,可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit。

9:关于如何清理木马的简单方法:

1: 勾选“软件设置”下的“删除文件后锁定”以阻止文件再生。

2: 批量选择病毒进程,使用“结束进程并删除文件”。

3: 插入到进程中的模块多不可怕,全局钩子在各进程中通常都是相同的,处理进程的模块即可。建议采用“直接删除模块文件”,本功能执行后看不到变化,但文件其实已经删除。不建议使用“卸载模块”功能(为保险也可以与“重启删除”联用),原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。

4: 执行“清理临时文件”、“清除Autorun.inf”

5:在安全检查中可以修复的修复一下。不强求,重启后再执行二次清理。

6: 重启机器,大部份的病毒应该可以搞定了。此时再次检查,发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。

7: 清理完后切换到文件搜索页,限制文件大小为50K左右,去除“排除微软文件的勾”搜索最近一周的新增的文件,从中选出病毒尸体文件删除。


10:Wsyscheck可以使用的参数说明:

Wsyscheck可以带参数运行以提高自身的优先级
Wsyscheck 1 高于标准 Wsyscheck 2 高 Wsyscheck 3 实时
例如需要实时启动Wsyscheck,可以编辑一个批处理 RunWs.bat ,内容为 Wsyscheck 3
将RunWs.bat与Wsyscheck放在一起,双击RunWs.bat即可让Wsyscheck以实时优先级启动。

Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,然后退出。
Wsyscheck -s 在-f的基础上执行创建安全环境后退出。

如将Wsyscheck.exe更名,则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数,其恢复结果可以在SSdt显示页下面的Auto Restore中看到。不更名则不带此功能。另外,更名后Wsyscheck将使用随机驱动名来释放驱动。


11:随手工具说明(指菜单工具下的子菜单功能)

一般看其意即识其意,仅对部份子项说明:

清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。

禁用硬盘自动播放:本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。

修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。

如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。


Wangsea 20071222
[email protected]
http://wangsea.ys168.com















filetype

wsyscheck.rar

wsyscheck.rarwsyscheck.rarwsyscheck.rarwsyscheck.rar
filetype

wsyscheck--强大的清理病毒木马的工具

Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。 一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法...
filetype

浅析通信夏季施工安全注意事项.docx

浅析通信夏季施工安全注意事项.docx
filetype

社交互联网的英语作文.docx

社交互联网的英语作文.docx
filetype

图书管理系统数据库创建.doc

图书管理系统数据库创建.doc
filetype

pythia8-data-8.3.12-4.el8.tar.gz

# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
filetype

pwgen-2.08-3.el8.tar.gz

# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
filetype

新互联网科技项目年终总结模板ppt模板.pptx

新互联网科技项目年终总结模板ppt模板.pptx
filetype

局域网综合布线设计施工方案.doc

局域网综合布线设计施工方案.doc
filetype

直接插入排序算法的C语言实现

直接插入排序算法的C语言实现 完整代码可直接运行 详细注释一看就懂
filetype

2020-2021学年高中人教A版数学必修3学案:1.1.1-算法的概念-【含答案】.doc

2020-2021学年高中人教A版数学必修3学案:1.1.1-算法的概念-【含答案】.doc
filetype

java后端练习java练习java练习

java后端练习java练习java练习java练习java练习
filetype

全国30个省份先进制造业细分30行业产值数据2021.xlsx

## 01、数据介绍 数据整理全国30个省份制造业细分行业产值,能够反映一定时期内细分行业工业生产总规模和总水平的指标,是计算工业生产发展速度和主要比例关系、计算工业产品销售率等其他经济指标的基础。先进制造业数据可用于两业融合测算。 数据名称:全国30省-制造业细分行业产值/先进制造业细分行业产值数据 数据年份:2001-2022年 ## 02、数据指标 农副食品加工业;食品制造业;饮料制造业;烟草制造业;纺织业;纺织服装鞋帽制造业;皮革、毛皮、羽毛(绒)极其制品业;木材加工及木、竹、藤、棕、草制品业;家具制造业;造纸及纸制品业;印刷业和记录媒介的复制;文教体育用品制造业;石油加工、炼焦及核燃料加工业化;学原料及化学制品制造业;医药制造业;化学纤维制造业;橡胶和塑料制品制品业;非金属矿物制品业;黑色金属冶炼及压延加工业;有色金属冶炼及压延加工业;金属制品业;通用设备制造业;专用设备制造业;汽车制造业;其他运输设备制造业;电气机械及器材制造业;通信设备计算机及其他电子设备制造业;仪器仪表及文化、办公用机械制造业;其他制造业;废弃资源和废旧材料回收加工业;制造业总产值 印刷业和记录媒介的复制;石油加工、炼焦及核燃料加工业;化学原料及化学制品制造业;医药制造业;橡胶和塑料制品制品业;非金属矿物制品业;黑色金属冶炼及压延加工业;有色金属冶炼及压延加工业;金属制品业;通用设备制造业;专用设备制造业;汽车制造业;其他运输设备制造业;电气机械及器材制造业;通信设备计算机及其他电子设备制造业;仪器仪表及文化、办公用机械制造业;废弃资源和废旧材料回收加工业
filetype

县重点项目管理暂行办法.docx

县重点项目管理暂行办法.docx
filetype

宝马销量数据-数据集(宝马 - 动力、豪华和创新的终极融合)

该数据集是关于宝马(豪华车)的,使人们更容易使用它进行分析。 该数据集包含 50,000 行和 11 列。它没有缺失值。 列描述: 型:它提供了各种型号 年:它显示时间 地区:它显示区域和区域 颜色:关于不同的颜色 燃料类型:燃料种类
filetype

poly2tri-0.0-21.20130501hg26242d0aa7b8.el8.tar.gz

# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
filetype

XX百货班组项目管理的方法.ppt

XX百货班组项目管理的方法.ppt
filetype

python-editorconfig-doc-0.12.4-4.el8.tar.gz

# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
filetype

项目管理知识体系及实战应用培训课程大纲.doc

项目管理知识体系及实战应用培训课程大纲.doc
filetype

Excel表格通用模板:企业固定资产折旧模板(自动统计).xls

Excel表格通用模板:企业固定资产折旧模板(自动统计).xls
xiaopeng941212
  • 粉丝: 0
上传资源 快速赚钱

最新资源