实验目的
(1)学习Wsycheck的基本功能;
(2)掌握Wsycheck的基本使用方法;
预备知识
windows操作系统的基本知识如:进程、网络、服务和文件等的了解。
Wsycheck是一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等一应俱全。也可以理解为一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。
本实验需要实验者基本掌握Windows操作系统的基本知识如:进程、网络、服务和文件等。
实验环境
Windows XP SP3 操作系统
实验内容和步骤
打开 Windows XP SP3虚拟机,运行桌面上的Wsycheck软件。
任务一:了解程序主界面
(1)看看Wsyscheck的标题栏,标题栏看似没什么异样,仔细观察就会发现它的特点:随机文件名。这是IceSword自我保护的方式之一:每次打开出现的字串都是随机生成,这样那些通过标题栏来关闭程序的病毒木马就无用了。
(2)下面我们来看看“软件设置”这一栏的功能,在这一栏里一共有几个选项,我们来看下。
模块、服务简洁显示:此项默认选上,自动隐藏了微软服务,这样看起来更简单明了,红色的表示是非微软服务,且不是sys驱动,一般为exe或dll驱动,注意观察签名和路径了。
检验微软文件签名:可以通过校验微软文件的签名来看下是否有冒充微软文件,紫红色显示的都是未通过微软的正式签名的文件(标注为no pass)。
禁止进程与文件创建:很多病毒会出现删除了又自动生成情况,这个选项就是为了防止这种现象专门设计的,可以很好的抑制病毒文件和进程的再次生成。强烈建议在删除恶意程序时选中此项。
删除文件前备份文件:如果对将要删除的文件不太确定是否是正常文件还是病毒,只是觉得可疑,出于安全起见,你可以选上此项进行删除前的备份,以用来误删正常文件的恢复。
删除文件后锁定:选上此项后,在删除文件或程序后,会在Wsyscheck关闭之前,保留文件或程序的尸体,程序清空为0字节,当用户操作完成关闭Wsyscheck后,被删除的文件或程序也就被直接删除了,可以在有病毒程序有自我保护的情况下使用,以确保其删除。
(3) “工具”选项里的功能就不再多加说明了,需要注意的是,如果在修复能力有限时,可以直接尝试使用“构建安全环境”(但也可能会使一些正常工具出现问题)。
任务二:了解进程管理模块
下面介绍工具栏里的选项功能了,Wsyscheck提供了非常方便和强大的修复功能,而且用颜色对正常和非正常的程序加以区分,对进程dll插入也用非常简洁的方式同时显示出来,非常成功。
任务三:了解内核检查模块
(1)SSDT
SSDT即系统服务表,一些 "rootkit" 经常通过hook截获你系统的服务函数调用,以实现注册表、文件的隐藏。被修改的值以红色显示,不过,有些安全程序也会修改,如windows\System32\drivers\klif.sys 就是卡巴斯基内核驱动。
我们来看一下Wsyscheck的SSDT相关选项:
(2) FSD
FSD即:file system driver,就是文件系统驱动。FSD如果对恶意HOOK的话,则表现为对其相关程序进行保护,拒绝一些文件操作请求。
(3)内核扫描
这里要解释一下ntoskrnl.exe进程,是NT OS KerneL的缩写形式,它是初始化执行程序子系统并引导系统的驱动程序,如果这个文件出现丢失或损坏的话,很可能出现无法正常进入系统的故障,并且它是Windows系统内核服务进程,并且提供了相对应的各个系统服务函数,点击选项中的“代码扫描”选项,可以查看其INLINE-HOOK的情况。
(4)系统模块
该项比较简单,所有标注很清楚。
任务四:了解服务管理模块
服务管理项显示非常的简洁,功能相当的强大,更值得一提的是,Wsyscheck的功能机制非常全面, 在服务管理项里我们可以看到,在对某项服务操作时,可以同时进行对其文件和服务的一并删除,重启删除,定位文件,查看属性,定位注册表选项等等,它不会像其它工具那样删服务、相关注册表键值和文件时那样找来找去,可以直接相互关联很快很方便的进行定位操作,概括一下:对于检查键值保护,这个是检查此相关驱动是否有自我保护,作者声明如下:使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
任务五:了解安全检查模块
这个选项中,一共有四个大项,分别是HOST、winsock、映像劫持列表、重要键值变动。
(1)HOST查看:
hosts文件是用来记录主机ip地址和主机名的对应关系,建立后就可以用主机名来访问主机,而不必记ip地址了。在Windows2000/XP系统中位于C:\Windows\System32\Drivers\Etc目录中。
HOST一个很重要的功能是屏蔽恶意插件和恶意网站,例如会变成:“127.0.0.1网址”,但有些恶意脚本同样可以达到修改HOST文件的目的,也就会出现通常所说的域名解析错误。
(2)活动文件查看:
哪些进程程序正在运行,一目了然:
(3)IE安全:
实际上就是我们通常所说的IE浏览器加载项:
(4)端口状态:
可以查看所有的远程连接和路径:
(5)文件搜索:
因为修复了系统后,会有些许文件残留需要清理,这样的话会干净很多。
(6)重启删除:
建议使用直接删除文件,或者是锁定删除,但很少用到,一般作为备用功能。
任务六:了解文件管理模块
文件管理模块可对文件进行管理等相关操作,界面较清晰明了。如图所示:
任务七:了解注册表管理模块
这个选项的功能很方便,很强大,可以对任意的注册表的键值、子项备份删除操作。
