《wsyscheck教程.doc》由会员分享,可在线阅读,更多相关《wsyscheck教程.doc(5页珍藏版)》请在三一办公上搜索。
1、一、主界面 先来看一下Wsyscheck的主界面:见图1.1: 从标题栏、菜单栏、工具栏从大到小,从整体到局部的顺序来一一介绍,我们先看看Wsyscheck的标题栏,标题栏看似没什么异样,但只要你留心,你就会发现它的特点:随机文件名。每起动一次,名字就不一样,这样做,我想是防止被病毒映像劫持,目前在修复系统时,Wsyscheck目前不会被病毒禁用并不是因为它名气不大,而是因为采用了随机文件名的起动机制,我们来看看第一次启动和第二次启动的变化就清楚了:见图1.2、图1.3: 下面我们来看看“软件设置”这一栏的功能,在这一栏里一共有几个选项,我们来看下。见图1.4: 模块、服务简洁显示:此项默认选
2、上,自动隐藏了微软服务,这样看起来更简单明了,红色的表示是非微软服务,且不是sys驱动,一般为exe或dll驱动,注意看签名和路径了。检验微软文件签名:可以通过校验微软文件的签名来看下是否有冒充微软的东东,紫红色显示的都是未通过微软的正式签名的文件(标注为no pass)见图1.5: 禁止进程与文件创建:很多病毒会出现删除了又自动生成情况,这个选项就是为了防止这种现象专门设计的,可以很好的抑制病毒文件和进程的再次生成。强烈建议在删除恶意程序时选中此项。删除文件前备份文件:如果你对将要删除的文件不太确定是否是正常文件还是病毒,只是觉得可疑,出于安全起见,你可以选上此项进行删除前的备份,以用来误删
3、正常文件的恢复。删除文件后锁定:这个功能可能了解的朋友不多,其实很简单,选上此项后,在删除文件或程序后,会在Wsyscheck关闭之前,保留文件或程序的尸体,程序清空为0字节,当用户操作完成关闭Wsyscheck后,被删除的文件或程序也就被直接删除了,可以在有病毒程序有自我保护的情况下使用,以确保其删除。“工具”选项里的功能就不再多加说明了,相信大家一看便明白,注意的是,如果大家在修复能力有限时,可以直接尝试使用“构建安全环境”(但也可能会使一些正常工具出现问题),一看是不是使用上非常的方便?呵呵见图1.6: 二、进程管理现在来看工具栏里的选项功能了,Wsyscheck提供了非常方便和强大的修
4、复功能,而且用颜色对正常和非正常的程序加以区分,对进程dll插入也用非常简洁的方式同时显示出来,不得不说,这种设计理念理学的成功,很直观,一目了然!见图2.1: 三、内核检查这个可能对于刚刚接触安全方面的朋友来说,可能是点陌生的部分,下面我就个人的一点认识对这几个选项做一个大致的说明3.1SSDT要了解什么是SSDT,就要先了解一下ring0和ring3以及API的含义:SSDT,是一个路标,就是一个把ring3的Win32 API和ring0的内核API联系起来的角色,那么,这里又涉及到两个概念,一个是ring,一个是API。所谓的ring,实际按等级分为0-3,但通常只用两个:系统核心层(
5、0)和用户程序层(3),显然,前者有着至高无上的权限,后者只有着普通应用权限,受系统限制。而API,是应用编程接口,windows中的dll便是其API函数的重要组成部分之一,它是能用来操作组件、应用程序或者操作系统的一组函数。API又分为两级:用户API和原生API。话说,我们在执行程序操作时,首先会由用户API导出相关函数,在用户API和原生API交换之前,会先经过ntdll.dll这个动态数据链接来实行真正意义上的交换,因为真正处理这个执行请求还是原生API(native API),然后,系统会在SSDT里查找原生API的位置,最后由原生API执行完成请求并返回。实际上,SSDT就是一个
6、表,里面记录的是原生API的位置以及其他一些相关信息。FSD:file system driver,就是文件系统驱动。通常,在系统中,负责管理磁盘数据和文件读写的部分被称为“文件系统”,而在windows系统中,是叫做“输入输出管理程序”,简称为IOS(汗,全称有一个单词不记得怎么写的),而在IOS下面,就是“可安装文件系统”,简称为IFS(继续有单词不记得如何拼写),再下面,也就是最底层,就是这个FSD了(呵呵,全称已经在有了),很明显,如果控制了这方面的权限,那么,你会出现删除其相关文件出错,或者是储如此类的情况。这个也是Rookit在hook SSDT以及inline hook SSDT
7、以后,用于反anti-Rookit工具的一种自我保护措施。总结一下,SSDT是程序执行过程中的一组函数路标,而FSD是对文件读写操作控制相关。前者被恶意HOOK后,典型表现为,你执行程序明明做A事,结果却做B事去了,而FSD如果对恶意HOOK的话,则表现为对其相关程序进行保护,拒绝一些文件操作请求。HOOK FSD是RK在HOOK SSDT后期产生的自我保护隐藏技术。我们来看一下Wsyscheck的SSDT相关选项:见图3.1: 3.2 FSD项见图3.2: 3.3 内核扫描关于这个选项,先看图再慢慢解释见图3.3: 这里要解释一下ntoskrnl.exe进程,是NT OS KerneL的缩写
8、形式,它是初始化执行程序子系统并引导系统的驱动程序,换句话说,如果这个文件出现丢失或损坏的话,很可能出现无法正常进入系统的故障,并且它是Windows系统内核服务进程,并且提供了相对应的各个系统服务函数,点击选项中的“代码扫描”选项,可以查看其INLINE-HOOK的情况。3.4 系统模块这个就比较简单了,就不多说了,红黑两色,所有标注很清楚,直接看图:见图3.4: 四、服务管理服务管理项显示非常的简洁,功能相当的强大,更值得一提的是,Wsyscheck的功能机制非常全面到位, 在服务管理项里我们可以看到,在对某项服务操作时,可以同时进行对其文件和服务的一并删除,重启删除,定位文件,查看属性,
9、定位注册表选项等等,也就是说,不会像其它工具那样删服务、相关注册表键值和文件时那样找来找去,可以直接相互关联很快很方便的进行定位操作,三个字概括一下:对于检查键值保护,这个是检查此相关驱动是否有自我保护,作者声明如下:使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。见图4.1 五、安全检查这是最后一个大项了,呵呵,一个一个来看吧!见图5.1: 5.1 常规检查这个选项中,一共有四个大项,分别是HOST、winsock、映像劫持列表、重要键值变动。.HOST:hosts文件是用来记录主机ip地址和主机名的对应关系,建立后就可
10、以用主机名来访问主机,而不必记ip地址了。在Windows2000/XP系统中位于C:WindowsSystem32DriversEtc目录中。Wsyscheck正是显示得这个host文件里的内容,自己查看的话也可以用记事本打开,内容如下:# Copyright (c) 1993-1999 Microsoft Corp.# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.# This file contains the mappings of IP addresses to host names. Each# e
11、ntry should be kept on an individual line. The IP address should# be placed in the first column followed by the corresponding host name.# The IP address and the host name should be separated by at least one# space.# Additionally, comments (such as these) may be inserted on individual# lines or follo
12、wing the machine name denoted by a # symbol.# For example:(格式举例)#102.54.94.97# source server#38.25.63.10# x client host127.0.0.1Localhost(本机IP地址)大致翻译:这个文件是根据TCP/IP for Windows 的标准来工作的,它的作用是包含IP地址和Host name 主机名的映射关系,是一个映射IP地址和Host name 主机名的规定,规定要求每段只能包括一个映射关系,IP地址要放在每段的最前面,空格后再写上映射的Host name 主机名。对于这段
13、的映射说明用“#”分割后用文字说明。关于HOST的其它用途不说了,但HOST一个很重要的功能是屏蔽恶意插件和恶意网站,例如会变成:“127.0.0.1 网址”,但有些恶意脚本同样可以达到修改HOST文件的目的,也就会出现我们通常所说的域名解析错误。.winsock:winsock是用来网络传输的控件,可进行Tcp/ip和udp协议,但邦定端口的形式不一样,winsock可传输字符串和字节,但字节更安全准确,网络传输时,客户端和服务器端,tcp协议,邦定形式不同,Udp基本一样,确定连接时connectionRequest事件,接收数据dataArray事件。里面的mswsock.dll、rsv
14、psp.dll以及winrnr.dll分别和Winsock网络服务、Rsvp Service Provider以及LDAP传输协议有关,具体相关的东西我也不介绍了,网上很多,大家有兴趣可以自己找找。.关于映像劫持,自从AV终结者诞生以来,已经对这个再熟悉不过了,不介绍了,此选项添加了禁用或允许程序运行的选项。.重要键值变动:这个是文件关联部分,我的这里显示的ini和chm是文件扩展名,后面是当前的键值,可以用右键修复错误的文件关联。5.2 活动文件哪些进程程序正在运行,一目了然:见图5.2: 5.3 IE安全实际上就是我们通常所说的IE浏览器加载项:见图5.3: 5.4 端口状态可以查看所有的
15、远程连接和路径:见图5.4 5.5 文件搜索这个功能笔者个人很喜欢,因为修复了系统以后,多少还有一些尸体之类的东东最后还要清理一下,这样一来的话会干净很多。见图5.5: 5.6 重启删除一般来说,笔者建议使用直接删除文件,或者是锁定删除,基本上用到这个很少,算是备用功能吧。见图5.6: 六、文件管理非常强大的文件管理功能见图6.1: 七、注册表管理这个选项的功能很方便,很强大,可以对任意的注册表的键值、子项备份删除操作。见图7.1: 这里要说一下,提供的快捷的注册表键值位置,一共包括15个目录,分2组:.HKEY_LOCAL_MACHINE:包含该计算机针对于任何用户的配置信息,包括软、硬件的,这里提供了软件方面的信息。.HKEY_CURRENT_USER:包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”等设置均存储在此处。该信息被称为用户配置文件。具体相关键值的说明,请参见其它专著资料,看了以后,相信很多都是大家早熟悉的,就是因为常用,所以才被应用到快捷操作层面上来,比如启动项,映像劫持项、Explorer、ShellExecuteHooks和IE项。