1、“进程管理”功能介绍查看系统中运行的进程和下挂模块,可以对进程进行终止、挂起、删除、禁止执行(IFEO原理)等操作,对模块进行卸载、删除、重命名等操作。定位进程、模块的文件路径、检查文件数字签名。“进程管理”颜色说明红色表示非微软进程,紫红色表示虽然进程是微软进程,但进程中有非微软的模块。效验所有数字签名后签名正常的显示pass,未签名或签名已过期显示no pass。
3、安全检查常规检查:HOST、winsock、映像劫持列表、重要键值变动(文件关联)。活动文件:列出了全部启动项和explorer加载项,清理木马时可以检查一下是否有木马的启动项目。IE安全:IE浏览器加载项,主页。端口状态:可以查看所有的远程连接和路径。文件搜索:修复系统以后,可能会残留一些病毒尸体,最后可以筛选清理一下。重启删除:和LA重启删除原理类似,可以删除一些正在占用的文件,如果直接删除能删除,建议使用直接删除文件,或者是锁定删除。
4、文件管理对磁盘文件进行管理和编辑操作。驱动加载的情况下,WSC的删除功能很强大,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启后该文件消失。文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。
6、软件设置/工具如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。但有时因为木马有关联进程未同时结束,会重新加载木马文件。这时我们可以选择“软件设置”下的“删除文件后锁定”。这时当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件防止木马再生。
