syscheck2(反黑輔助工具箱)是一個相當(dāng)不錯的軟件，和冰刃類似，據(jù)說比冰刃還要好用。有進(jìn)程管理 進(jìn)程管理 活動文件 敏感鍵值 內(nèi)核Hook檢測 文件搜索 等功能。rc8紅軟基地

軟件功能

1：進(jìn)程管理rc8紅軟基地
    紅色顯示的是非系統(tǒng)的進(jìn)程或文件。點(diǎn)擊一個進(jìn)程可以列出進(jìn)程包含的模塊。你可以中止包括系統(tǒng)進(jìn)rc8紅軟基地
程在內(nèi)的所有進(jìn)程，但不推薦你去中止第一個svchost.exe前的進(jìn)程(包括第一個svchost.exe)。這樣做的后果可能是導(dǎo)致系統(tǒng)重啟或無法關(guān)機(jī)。rc8紅軟基地
    syscheck的進(jìn)程管理頁可列出win32級的隱藏進(jìn)程，但不會特別標(biāo)注它。rc8紅軟基地
    通常在手動殺毒中會結(jié)束那些紅色顯示的進(jìn)程，很多全局鉤子會插入到Explorer等系統(tǒng)進(jìn)程中(注意模rc8紅軟基地
塊中的紅色dll)，所以有時也會結(jié)束這些系統(tǒng)進(jìn)程以便刪除病毒。為避免病毒進(jìn)程的重復(fù)加載，可以勾選rc8紅軟基地
來禁止新的線程。rc8紅軟基地
    在進(jìn)程管理頁的模塊顯示欄中右鍵選項(xiàng)有屬性，刪除到回收站，加入到重啟刪除列表三項(xiàng)，可以方便在rc8紅軟基地
進(jìn)程顯示頁就分析、清理惡軟或木馬。rc8紅軟基地
會結(jié)束該模塊的主進(jìn)程后刪除模塊列表中選定的文件，支持多選。rc8紅軟基地
    在刪除全局HOOK的DLL時可能會用到。rc8紅軟基地
    直接將選定的文件重啟后刪除。（注意不要把系統(tǒng)DLL刪了）建議只對紅色顯示的非系統(tǒng)模塊進(jìn)行刪除處理。rc8紅軟基地
    即軟件限制策略，僅對exe文件有效。注意，過多地限制軟件的執(zhí)行可能會影響系統(tǒng)運(yùn)行效率。rc8紅軟基地
2：服務(wù)管理rc8紅軟基地
    紅色顯示的非系統(tǒng)服務(wù)。單擊列表標(biāo)題可以排序以便快速查找新增的系統(tǒng)服務(wù)。對于以svchost.exe啟rc8紅軟基地
動的服務(wù)，文件路徑顯示的是該服務(wù)文件而非svchost.exe的路徑。這一點(diǎn)區(qū)別于sc命令顯示出來的文件rc8紅軟基地
路徑。rc8紅軟基地
    中止服務(wù)功能是僅在系統(tǒng)重啟前中止服務(wù)，并不是永久性的中止服務(wù)。而刪除服務(wù)則是刪除服務(wù)鍵值(rc8紅軟基地
不提供刪除前的保存。所以，要刪除你得自已去確定是否真要這么做)。rc8紅軟基地
    值得注意的是，某些服務(wù)是無法中止或刪除的(比如劃詞搜索的驅(qū)動服務(wù))。這是因?yàn)樗�可能采用了�?span style="display:none">rc8紅軟基地
冊表鍵值的保護(hù)。對付這類服務(wù)，要使用內(nèi)核Hook檢查中的ssdt恢復(fù)功能后，rc8紅軟基地
    才能在本頁中刪除其鍵值。(要注意的是，某些服務(wù)不提供終止服務(wù)，所以刪除服務(wù)后它可能仍在運(yùn)行，rc8紅軟基地
需要重啟才真正停止) 在服務(wù)頁使用右鍵可獲得更多的服務(wù)控制。rc8紅軟基地
3:活動文件rc8紅軟基地
    活動文件頁顯示了包括啟動鈐諛詰娜菀妝磺秩敫男吹?span href="tag.php?name=%D7%A2%B2%E1"class="t_tag">注冊表鍵值。syscheck僅關(guān)注于改寫了的鍵值，所以不同的機(jī)器上顯示內(nèi)容并不一樣。rc8紅軟基地
    在做恢復(fù)前，可以核對一下訊息欄顯示的內(nèi)容，以確定是否要恢復(fù)。對于沒有訊息顯示的項(xiàng)目可以定位rc8紅軟基地
文件查看文件的屬性。rc8紅軟基地
    要注意的是，syschek在本頁中的恢復(fù)不僅僅是改回系統(tǒng)默認(rèn)值（或刪除不需要的鍵值），如果需要恢rc8紅軟基地
復(fù)的是一個DLL文件工作的鍵值，syschek還會做反注冊該DLL的工作。rc8紅軟基地
    Winsock檢測用于檢測Lsp被劫持的情況，不管是否檢測到第三方的DLL是否加載，也允許用戶強(qiáng)制恢rc8紅軟基地
復(fù)Winsock。所以，也可以用來作其它檢測修復(fù)工具破壞掉了Winsock引起網(wǎng)頁不能瀏覽的恢復(fù)處理。rc8紅軟基地
4:敏感鍵值rc8紅軟基地
    本頁顯示的內(nèi)容是沒有對應(yīng)文件的系統(tǒng)鍵值。這些是系統(tǒng)允許的，但有改寫后可能造成你使用不便的rc8紅軟基地
鍵值（如NoRun等，文件關(guān)聯(lián)改寫）等。rc8紅軟基地
5:內(nèi)核Hook檢測rc8紅軟基地
    內(nèi)核Hook檢測只關(guān)注于被Hook了的內(nèi)核函數(shù)，一般來說對應(yīng)的模塊提供者是一個.sys文件。rc8紅軟基地
    以劃詞搜索為例，它的驅(qū)動交叉保護(hù)(注冊表HOOK及文件HOOK)，自身的卸載與其它的卸載工具都不能刪hcalway.sys及abhcop.sys.sys文件(且卸載后這兩個驅(qū)動還在運(yùn)行中，所以，你無法直接刪除這兩個文件。rc8紅軟基地
    對付這樣的系統(tǒng)底層驅(qū)動，可以勾選并恢復(fù)成系統(tǒng)默認(rèn)函數(shù)以使其驅(qū)動保護(hù)失效。要注意的是，大部rc8紅軟基地
份的殺軟也注冊有底層HOOK，如果你選擇了它們，還原后至重啟前這些殺軟的實(shí)時監(jiān)視將可能失效。 rc8紅軟基地
    恢復(fù)系統(tǒng)底層原始函數(shù)地址后，就可以在服務(wù)管理頁刪除劃詞搜索的注冊表服務(wù)項(xiàng)了（恢復(fù)前由于受其驅(qū)abhcop.sys的保護(hù)，是無法刪除其注冊的服務(wù)項(xiàng)）。然后重啟機(jī)器(系統(tǒng)無法刪除一個運(yùn)行中的文件，而劃詞的驅(qū)動又不停供停止功能，所以只能重啟)，就可以手動刪除這兩個文件了(當(dāng)然也可以用內(nèi)置的資源管理器中的功能，來代替手動刪除的作)。rc8紅軟基地
由于底層Hook的優(yōu)先級很高，所以恢復(fù)了SSDT后，可能會有一些隱藏的進(jìn)程或文件會顯示出來，故可以在恢復(fù)SSDT后再次觀察各檢測頁狀況以刪除受這些驅(qū)動隱藏、保護(hù)的進(jìn)程，注冊表項(xiàng)等。rc8紅軟基地
6:文件搜索rc8紅軟基地
    通過限制一定條件搜索，以便清除系統(tǒng)中的病毒備份或找到未知病毒。rc8紅軟基地
7:文件瀏覽rc8紅軟基地
    由于syscheck采用了一些反HOOK手段，所以內(nèi)置的資源管理器可以看到隱藏的文件或文件夾（例如灰子，hackdef100隱藏的文件）。這樣方便你做刪除文件的工作。對于利用系統(tǒng)本身特性隱藏的文件(如Downloaded Program Files)，內(nèi)置資源管理器也可一覽無遺。rc8紅軟基地
    內(nèi)置資源管理器用法與Explorer基本相同，右鍵菜單除了普通的刪除操作外，還有延時刪除（重啟后rc8紅軟基地
生效），可用于刪除頑固文件。（注意這個選項(xiàng)沒有后悔藥，刪除前多看一眼文件屬性，修改日期等訊息，不要把受保護(hù)的系統(tǒng)文件也刪了�。�。rc8紅軟基地

軟件說明

    1. 先試試病毒是否自帶所謂的“卸載”功能，如果有就先執(zhí)行，以便快速清除外圍普通病毒文件（此時病毒保護(hù)機(jī)制仍然可能在生效）。rc8紅軟基地
    2. 進(jìn)入“內(nèi)核Hook檢測”，還原所有被 Hook 的系統(tǒng)函數(shù)（如果無顯示內(nèi)容，則跳過本步驟）。rc8紅軟基地
    3. 結(jié)束所有非系統(tǒng)進(jìn)程(紅色顯示的進(jìn)程)。如果是刪除IE插件類的病毒，請同時結(jié)束Explorer及瀏覽器進(jìn)程。如果明確知道是病毒進(jìn)程，可以先單擊它，然后在其模塊列表中直接用右鍵刪除該文件。rc8紅軟基地
    4. 進(jìn)入“服務(wù)管理”，找到并刪除病毒對應(yīng)的注冊表服務(wù)項(xiàng)；rc8紅軟基地
    5：進(jìn)入“活動文件”，刪除其啟動加載項(xiàng)及BHO、IE工具欄等加載項(xiàng)。rc8紅軟基地
    6. 進(jìn)入本工具的“資源管理器”（不是Windows的資源管理器�。�，找到病毒對應(yīng)的文件，右擊，選擇“rc8紅軟基地
刪除所選（含文件夾）”；如果不成功，則選擇“加入重啟刪除列表”。rc8紅軟基地
    7. 重啟，重復(fù)上述步驟檢查，直到系統(tǒng)干凈為止！rc8紅軟基地

使用說明

加入注冊表跟蹤.exe，比較運(yùn)行軟件前后對系統(tǒng)的動作 rc8紅軟基地
加入管理器禁用修復(fù)，拒絕**禁用任務(wù)管理器 rc8紅軟基地
配合殺軟或其它工具使用 更完美 rc8紅軟基地
因?yàn)檫@是反黑客專用軟件，所以部分殺軟誤報.rc8紅軟基地

軟件截圖

rc8紅軟基地