inlinehookWsyscheck怎么用

什么是 xue tr？

XueTr是近年推出的一款广受好评的ARK工具。

如果您对windows系统不甚熟悉，您还是不要使用本工具,即使要使用，也不要用本工具胡乱操作。

主要功能　　1.进程、线程、进程模块、进程窗口、进程内存信息查看，热键信息查看，杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看，支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看，并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持对这些Notify Routine的删除 5.端口信息查看，目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看，支持基本的文件操作 12.查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举 配置工具：禁止创建线程、进程、文件、注册表值、加载模块、注入消息钩子、禁止待机、注销、关机、重启、修改系统时间、切换桌面、锁定计算机、重置注册表值、加载驱动 关机：强制重启/更为暴力的强制重启 其他：窗口置顶 『百度一下你就知道详细情况』

Wsyscheck怎么用

1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软文件，但在使用了“校验微软文件签名”功能后，通不过的微软文件也会显示出来。

SSDt右键“全部显示”是默认动作，当取消这个选项后，则仅显示SSDT表中已更改的项目。

2:关于Wsyscheck的颜色显示 进程页： 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。

服务页： 红色表示该服务不是微软服务,且该服务非.sys驱动。

（最常见的是.exe与.dll的服务，木马大多使用这种方式）。

使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。

它们有可能是杀软的自我保护，也有可能是木马的键值保护。

在取消了“模块、服务简洁显示”后，查看第三方服务可以点击标题条”文件厂商”排序，结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。

进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。

在使用“软件设置”-“校验微软文件签名”后，紫红色显示未通过微软签名的文件。

同时，在各显示栏的"微软文件校验"会显示Pass与no pass。

(可以据此参考是否是假冒微软文件，注意的是如果紫红色显示过多，可能是你的系统是网上常见的Ghost精简版，这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页： 默认显示全部的SSDT表，红色表示内核被HOOK的函数。

查看第三方模块，可以点击两次标签“映像路径”排序，则第三方HOOK的模块会排在一起列在最前面。

也可以取消“全部显示”,则仅显示入口改变了的函数。

SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。

如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径，而使用“恢复当前函数代码”功能只恢复Inline Hook，路径将显示为地址HOOK的模块路径，再使用“恢复当前函数地址”功能就恢复到默认的函数了。

使用“恢复所有函数”功能则同时恢复上述两种HOOK。

发现木马修改了SSDT表时请先恢复SSDT，再作注册表删除等操作。

活动文件页： 红色显示的常规启动项的内容。

3:关于Wsyscheck启动后状态栏的提示“警告！程序驱动未加载成功，一些功能无法完成。

” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动，这种情况下Wsyscheck的功能有一定减弱，但它仍能用不需要驱动的方法来完成对系统的修复。

驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。