贵州省城乡和住房建设厅网站,360上网安全导航,yeti wordpress,苏州网站建设模版实验目的 #xff08;1#xff09;学习Wsycheck的基本功能#xff1b; #xff08;2#xff09;掌握Wsycheck的基本使用方法#xff1b; 预备知识 windows操作系统的基本知识如#xff1a;进程、网络、服务和文件等的了解。 Wsycheck是一款强大的系统检测维护工具,进程和…实验目的 1学习Wsycheck的基本功能 2掌握Wsycheck的基本使用方法 预备知识 windows操作系统的基本知识如进程、网络、服务和文件等的了解。 Wsycheck是一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等一应俱全。也可以理解为一款手动清理病毒木马的工具其目的是简化病毒木马的识别与清理工作。 本实验需要实验者基本掌握Windows操作系统的基本知识如进程、网络、服务和文件等。实验环境 Windows XP SP3 操作系统实验内容和步骤 打开 Windows XP SP3虚拟机运行桌面上的Wsycheck软件。任务一了解程序主界面 1看看Wsyscheck的标题栏标题栏看似没什么异样仔细观察就会发现它的特点随机文件名。这是IceSword自我保护的方式之一每次打开出现的字串都是随机生成这样那些通过标题栏来关闭程序的病毒木马就无用了。 2下面我们来看看“软件设置”这一栏的功能在这一栏里一共有几个选项我们来看下。 模块、服务简洁显示此项默认选上自动隐藏了微软服务这样看起来更简单明了红色的表示是非微软服务且不是sys驱动一般为exe或dll驱动注意观察签名和路径了。 检验微软文件签名可以通过校验微软文件的签名来看下是否有冒充微软文件紫红色显示的都是未通过微软的正式签名的文件标注为no pass。 禁止进程与文件创建很多病毒会出现删除了又自动生成情况这个选项就是为了防止这种现象专门设计的可以很好的抑制病毒文件和进程的再次生成。强烈建议在删除恶意程序时选中此项。 删除文件前备份文件如果对将要删除的文件不太确定是否是正常文件还是病毒只是觉得可疑出于安全起见你可以选上此项进行删除前的备份以用来误删正常文件的恢复。 删除文件后锁定选上此项后在删除文件或程序后会在Wsyscheck关闭之前保留文件或程序的尸体程序清空为0字节当用户操作完成关闭Wsyscheck后被删除的文件或程序也就被直接删除了可以在有病毒程序有自我保护的情况下使用以确保其删除。 3 “工具”选项里的功能就不再多加说明了需要注意的是如果在修复能力有限时可以直接尝试使用“构建安全环境”但也可能会使一些正常工具出现问题。任务二了解进程管理模块 下面介绍工具栏里的选项功能了Wsyscheck提供了非常方便和强大的修复功能而且用颜色对正常和非正常的程序加以区分对进程dll插入也用非常简洁的方式同时显示出来非常成功。任务三了解内核检查模块(1)SSDT SSDT即系统服务表一些 rootkit 经常通过hook截获你系统的服务函数调用以实现注册表、文件的隐藏。被修改的值以红色显示不过有些安全程序也会修改如windows\System32\drivers\klif.sys 就是卡巴斯基内核驱动。 我们来看一下Wsyscheck的SSDT相关选项 (2) FSD FSD即file system driver就是文件系统驱动。FSD如果对恶意HOOK的话则表现为对其相关程序进行保护拒绝一些文件操作请求。 (3)内核扫描 这里要解释一下ntoskrnl.exe进程是NT OS KerneL的缩写形式它是初始化执行程序子系统并引导系统的驱动程序如果这个文件出现丢失或损坏的话很可能出现无法正常进入系统的故障并且它是Windows系统内核服务进程并且提供了相对应的各个系统服务函数点击选项中的“代码扫描”选项可以查看其INLINE-HOOK的情况。4系统模块 该项比较简单所有标注很清楚。任务四了解服务管理模块 服务管理项显示非常的简洁功能相当的强大更值得一提的是Wsyscheck的功能机制非常全面 在服务管理项里我们可以看到在对某项服务操作时可以同时进行对其文件和服务的一并删除重启删除定位文件查看属性定位注册表选项等等它不会像其它工具那样删服务、相关注册表键值和文件时那样找来找去可以直接相互关联很快很方便的进行定位操作概括一下对于检查键值保护这个是检查此相关驱动是否有自我保护作者声明如下使用“检查键值”后蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护也有可能是木马的键值保护。
任务五了解安全检查模块 这个选项中一共有四个大项分别是HOST、winsock、映像劫持列表、重要键值变动。1HOST查看: hosts文件是用来记录主机ip地址和主机名的对应关系建立后就可以用主机名来访问主机而不必记ip地址了。在Windows2000/XP系统中位于C:\Windows\System32\Drivers\Etc目录中。 HOST一个很重要的功能是屏蔽恶意插件和恶意网站例如会变成“127.0.0.1网址”但有些恶意脚本同样可以达到修改HOST文件的目的也就会出现通常所说的域名解析错误。2活动文件查看: 哪些进程程序正在运行一目了然3IE安全: 实际上就是我们通常所说的IE浏览器加载项4端口状态: 可以查看所有的远程连接和路径5文件搜索: 因为修复了系统后会有些许文件残留需要清理这样的话会干净很多。6重启删除: 建议使用直接删除文件或者是锁定删除但很少用到一般作为备用功能。 任务六了解文件管理模块 文件管理模块可对文件进行管理等相关操作界面较清晰明了。如图所示任务七了解注册表管理模块 这个选项的功能很方便很强大可以对任意的注册表的键值、子项备份删除操作。
