一、主界面
先来看一下Wsyscheck的主界面:
见图1.1:
⒈ 从标题栏、菜单栏、工具栏从大到小,从整体到局部的顺序来一一介绍,我们先看看Wsyscheck的标题栏,标题栏看似没什么异样,但只要你留心,你就会发现它的特点:随机文件名。每起
动一次,名字就不一样,这样做,我想是防止被病毒映像劫持,目前在修复系统时,Wsyscheck目前不会被病毒禁用并不是因为它名气不大,而是因为采用了随机文件名的起动机制,我们来看看第一次启动和第二次启动的变化就清楚了:
见图1.2、图1.3:
⒉ 下面我们来看看“软件设置”这一栏的功能,在这一栏里一共有几个选项,我们来看下。
见图1.4:
模块、服务简洁显示:此项默认选上,自动隐藏了微软服务,这样看起来更简单明了,红的表示是非微软服务,且不是sys驱动,一般为exe或dll驱动,注意看签名和路径了。
检验微软文件签名:可以通过校验微软文件的签名来看下是否有冒充微软的东东,紫红显示的都是未通过微软的正式签名的文件(标注为no pass)
见图1.5:
禁止进程与文件创建:很多病毒会出现删除了又自动生成情况,这个选项就是为了防止这种现象专门设计的,可以很好的抑制病毒文件和进程的再次生成。强烈建议在删除恶意程序时选中此项。
删除文件前备份文件:如果你对将要删除的文件不太确定是否是正常文件还是病毒,只是觉得可疑,出于安全起见,你可以选上此项进行删除前的备份,以用来误删正常文件的恢复。
删除文件后锁定:这个功能可能了解的朋友不多,其实很简单,选上此项后,在删除文件或程序后,会在Wsyscheck关闭之前,保留文件或程序的尸体,程序清空为0字节,当用户操作完成关闭Wsyscheck后,被删除的文件或程序也就被直接删除了,可以在有病毒程序有自我保护的情况下使用,以确保其删除。
⒊“工具”选项里的功能就不再多加说明了,相信大家一看便明白,注意的是,如果大家在修复能力有限时,可以直接尝试使用“构建安全环境”(但也可能会使一些正常工具出现问题),一看是不是使用上非常的方便?呵呵
见图1.6:
二、进程管理
现在来看工具栏里的选项功能了,Wsyscheck提供了非常方便和强大的修复功能,而且用颜对正常和非正常的程序加以区分,对进程dll插入也用非常简洁的方式同时显示出来,不得不说,这种设计理念理学的成功,很直观,一目了然!
见图2.1:
三、内核检查
这个可能对于刚刚接触安全方面的朋友来说,可能是点陌生的部分,下面我就个人的一点认识对这几个选项做一个大致的说明
3.1SSDT
要了解什么是SSDT,就要先了解一下ring0和ring3以及API的含义:
SSDT,是一个路标,就是一个把ring3的Win32 API和ring0的内核API联系起来的角,那么,这里又涉及到两个概念,一个是ring,一个是API。
所谓的ring,实际按等级分为0-3,但通常只用两个:系统核心层(0)和用户程序层(3),显然,前者有着至高无上的权限,后者只有着普通应用权限,受系统限制。
而API,是应用编程接口,windows中的dll便是其API函数的重要组成部分之一,它是能用来操作组件、应用程序或者操作系统的一组函数。API又分为两级:用户API和原生API。
话说,我们在执行程序操作时,首先会由用户API导出相关函数,在用户API和原生API交换之前,会先经过ntdll.dll这个动态数据链接来实行真正意义上的交换,因为真正处理这个执行请求还是原生API(native API),然后,系统会在SSDT里查原生API的位置,最后由原生API执行完成请求并返回。
实际上,SSDT就是一个表,里面记录的是原生API的位置以及其他一些相关信息。
FSD:file system driver,就是文件系统驱动。通常,在系统中,负责管理磁盘数据和文件读写的部分被称为“文件系统”,而在windows系统中,是叫做“输入输出管理程序”,简称为IOS(汗,全称有一个单词不记得怎么写的……),而在IOS下面,就是“可安装文件系统”,简称为IFS(继续有单词不记得如何拼写……),再下面,也就是最底层,就是这个FSD了(呵呵,全称已经在有了……),很明显,如果控制了这方面的权限,那么,你会出现删除其相关文件出错,或者是储如此类的情况。这个也是Rookit在hook SSDT以及inline hook SSDT以后,用于反anti-Rookit工具的一种自我保护措施。
总结一下,SSDT是程序执行过程中的一组函数路标,而FSD是对文件读写操作控制相关。前者被恶意HOOK后,典型表现为,你执行程序明明做A事,结果却做B事去了,而FSD如
果对恶意HOOK的话,则表现为对其相关程序进行保护,拒绝一些文件操作请求。HOOK FSD是RK在HOOK SSDT后期产生的自我保护隐藏技术。
我们来看一下Wsyscheck的SSDT相关选项:
见图3.1:
3.2 FSD项
见图3.2:
3.3 内核扫描
关于这个选项,先看图再慢慢解释
见图3.3:
这里要解释一下进程,是NT OS KerneL的缩写形式,它是初始化执行程序子
系统并引导系统的驱动程序,换句话说,如果这个文件出现丢失或损坏的话,很可能出现无法正常进入系统的故障,并且它是Windows系统内核服务进程,并且提供了相对应的各个系统服务函数,点击选项中的“代码扫描”选项,可以查看其INLINE-HOOK的情况。
3.4 系统模块
这个就比较简单了,就不多说了,红黑两,所有标注很清楚,直接看图:
见图3.4:
四、服务管理
服务管理项显示非常的简洁,功能相当的强大,更值得一提的是,Wsyscheck的功能机制非常全面到位, 在服务管理项里我们可以看到,在对某项服务操作时,可以同时进行对其文件和服务的一并删除,重启删除,定位文件,查看属性,定位注册表选项等等,也就是说,不会像其它工具那样删服务、相关注册表键值和文件时那样来去,可以直接相互关联很快很方便的进行定位操作,三个字概括一下:对于检查键值保护,这个是检查此相
关驱动是否有自我保护,作者声明如下:使用“检查键值”后,蓝显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
见图4.1
五、安全检查
这是最后一个大项了,呵呵,一个一个来看吧!
见图5.1:
5.1 常规检查
怎么显示文件的扩展名这个选项中,一共有四个大项,分别是HOST、winsock、映像劫持列表、重要键值变动。
⑴.HOST:hosts文件是用来记录主机ip地址和主机名的对应关系,建立后就可以用主机名来访问主机,而不必记ip地址了。在Windows2000/XP系统中位于C:\Windows\System32\Drivers\Etc目录中。Wsyscheck正是显示得这个host文件里的内容,
自己查看的话也可以用记事本打开,内容如下:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:(格式举例)
#
#
102.54.94.97
rhino.acme
# source server
#
38.25.63.10
x.acme
# x client host
127.0.0.1
Localhost(本机IP地址)
大致翻译:这个文件是根据TCP/IP for Windows 的标准来工作的,它的作用是包含IP地址和Host name 主机名 的映射关系,是一个映射IP地址和Host name 主机名 的规定,规定要求每段只能包括一个映射关系,IP地址要放在每段的最前面,空格后再写上映射的Host name 主机名 。对于这段的映射说明用“#”分割后用文字说明。
关于HOST的其它用途不说了,但HOST一个很重要的功能是屏蔽恶意插件和恶意网站,例如会变成:“127.0.0.1 网址”,但有些恶意脚本同样可以达到修改HOST文件的目的,也就会出现我们通常所说的域名解析错误。
⑵.winsock:winsock是用来网络传输的控件,可进行Tcp/ip和udp协议,但邦定端口的形式
不一样,winsock可传输字符串和字节,但字节更安全准确,网络传输时,客户端和服务器端,tcp协议,邦定形式不同,Udp基本一样,确定连接时connectionRequest事件,接收数据dataArray事件。
里面的mswsock.dll、rsvpsp.dll以及winrnr.dll分别和Winsock网络服务、Rsvp Service Provider以及LDAP传输协议有关,具体相关的东西我也不介绍了,网上很多,大家有兴趣可以自己。
⑶.关于映像劫持,自从AV终结者诞生以来,已经对这个再熟悉不过了,不介绍了,此选项添加了禁用或允许程序运行的选项。
⑷.重要键值变动:这个是文件关联部分,我的这里显示的ini和chm是文件扩展名,后面是当前的键值,可以用右键修复错误的文件关联。
5.2 活动文件
哪些进程程序正在运行,一目了然:
见图5.2:
5.3 IE安全
实际上就是我们通常所说的IE浏览器加载项:
见图5.3:
5.4 端口状态
可以查看所有的远程连接和路径:
见图5.4
5.5 文件搜索
发布评论