社区
VB基础类
帖子详情
有一个50k的文件,我想包含到我的程序里,运行时候再写到硬盘,怎么办
ncca
2005-12-03 03:59:26
vb5.0
...全文
248
10
打赏
收藏
有一个50k的文件,我想包含到我的程序里,运行时候再写到硬盘,怎么办
vb5.0
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
10 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
叶帆
2005-12-12
打赏
举报
回复
'这个正是你需要的,含有一个相关示例源码
http://www.bjjr.com.cn/yefan/sourcecode/runfile.rar
唐古拉山
2005-12-12
打赏
举报
回复
呵呵,推荐用资源文件
我的程序里面就曾经用了100多M的资源
exe文件有100多M 呵呵
mylzw
2005-12-11
打赏
举报
回复
如果这个50k的文件是文本。那你搁到textbox里就行了。
ncca
2005-12-11
打赏
举报
回复
vb5.0支持资源文件??
vbman2003
2005-12-04
打赏
举报
回复
赞成用资源文件
paullbm
2005-12-04
打赏
举报
回复
利用文件系统对象进行文件操作就是了啊。
roger_xiong
2005-12-03
打赏
举报
回复
应该放到资源文件里面去,程序启动的时候再将这个文件写出来。
laidon
2005-12-03
打赏
举报
回复
你可以把这个文件做在安装包里,或者用bin写到内存里,运行时直接写成文件就是了
northwolves
2005-12-03
打赏
举报
回复
资源文件。用法参考MSDN。如果是文本文件,可以从资源文件直接读到内存中,不必写到硬盘上了。
ncca
2005-12-03
打赏
举报
回复
只有一个运行文件.exe
vb可以自己写自己吗?
wsyscheck中文版
Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。 一般来说,对病毒体的判断主要可以采用查看路径,查看
文件
名,查看
文件
创建日期,查看
文件
厂商,微软
文件
校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。 最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。 Wsyscheck基本功能简单介绍: 1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软
文件
,但在使用了“校验微软
文件
签名”功能后,通不过的微软
文件
也会显示出来。 SSDt右键“全部显示”是默认动作,当取消这个
Wsyscheck1216中文版(第二版)
1:软件设置中的模块、服务简洁显示
简洁显示会过滤所微软
文件
,但在使用了“校验微软
文件
签名”功能后,通不过的微软
文件
也会显示出来。
SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。
2:关于Wsyscheck的颜色显示
进程页:
红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的
文件
。
服务页:
红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。
使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动
程序
。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”
文件
厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。
进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。
在使用“软件设置”-“校验微软
文件
签名”后,紫红色显示未通过微软签名的
文件
。同时,在各显示栏的"微软
文件
校验"会显示Pass与no pass。(可以据此参考是否是假冒微软
文件
,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信)
SSDT管理页:
默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。
SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果
一个
函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。
使用“恢复所有函数”功能则同时恢复上述两种HOOK。
发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。
活动
文件
页:
红色显示的常规启动项的内容。
3:关于Wsyscheck启动后状态栏的提示“警告!
程序
驱动未加载成功,一些功能无法完成。”
多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。
驱动加载成功的情况下,对于木马
文件
可以直接使用Wsyscheck中各页中的删除
文件
功能,本功能带有“直接删除”
运行
中的
文件
的功能。
4:关于卸载模块
对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的
写
法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或
文件
(驱动加载情况下使用删除后重启
文件
即消失)。
5:关于
文件
删除
驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数
文件
都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL
文件
删除后虽然
文件
仍然可见,但事实上已删除,重启可观察到
文件
已消失。
文件
管理页的“删除”操作是删除
文件
到回收站,支持畸形目录下的
文件
删除。应注意的是如果
文件
本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另
一个
地方。否则你可能看到回收站内的
文件
删除了这个又添加了那个(因为右键“删除”是删除到回收站)。
对于用以上功能仍删除不了的
文件
,可以使用Wsyscheck的或“dos删除功能”,使用“dos删除”功能后会在启动菜单中添加一项“删除顽固
文件
”,执行后自动清理
文件
并去掉它所添加的启动项。“dos删除”在多系统情况下可能存在一些问题,请慎用。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。
“重启删除”仅作为驱动无法加载情况下使用的一种辅助手段,“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行
一个
文件
路径即可。关闭
程序
时如果上述两者之一存在删除列表,会问询是否执行。
如果需要对删除的
文件
备份,先启用软件设置下的“删除
文件
前备份
文件
”,它将在删除前将
文件
备份到%SystemDrive%\VirusBackup目录中,且将
文件
名添加.vir后缀以免误执行。
注意,为避免病毒
程序
守护,Wsyscheck在删除
文件
时可能会采取0字节占位
文件
的方式不确保删除结果,所以当您看到被删
文件
仍然但字节数为0时就知道删除已成功了。当Wsyscheck退出后这些0字节
文件
会被自动清理。
6:关于进程的结束后的反复创建
如果确系木马
文件
,可选择结束进程并删除
文件
,这样的话Wsyscheck会将其结束并创建0字节
文件
使其无法再次
运行
。
可以使用进程页的“禁止
程序
运行
”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的
程序
。通过禁用它的执行来清理
文件
。解除禁用的
程序
用“安全检查”页的“禁用
程序
管理”功能,,所以在木马使用IFEO劫持后也可以“禁用
程序
管理”中恢复被劫持的
程序
。
另外,软件设置下的“禁止进程与
文件
创建”功能是针对木马的反复启动,反复创建
文件
,反复
写
注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马
文件
及注册表启动项。
开启禁止“禁止进程与
文件
创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马
文件
。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块
文件
。
如果你有经验,也可以用通过挂起进程或线程的方法来使其无法
运行
。
要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
针对上面的情况,你还可以使用进程中的“线程信息”功能,从线程与模块对应关系中挂起相应的线程,然后结束守护
程序
或挂起守护
程序
,再执行直接删除
文件
功能。
7:关于如何清理木马的简单方法:
1: 批量选择病毒进程,使用“结束进程并删除
文件
”。
2: 插入到进程中的模块多不可怕,全局钩子在各进程中通常都是相同的,处理进程的模块即可。建议采用“直接删除模块
文件
”,本功能执行后看不到变化,但
文件
其实已经删除。不建议使用“卸载模块”功能,原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。
3: 执行“清理临时
文件
”、“清除Autorun.inf”
4:在安全检查中可以修复的修复一下。
5: 重启机器,大部份的病毒应该可以搞定了。
6:重启后再次检查,发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。
7: 清理完后切换到
文件
搜索页,限制
文件
大小为
50K
左右,去除“排除微软
文件
的勾”搜索最近一周的新增的
文件
,从中选出病毒尸体
文件
删除。
8:Wsyscheck可以带参数
运行
以提高自身的优先级
Wsyscheck 1 高于标准 Wsyscheck 2 高 Wsyscheck 3 实时
例如需要实时启动Wsyscheck,可以编辑
一个
批处理 RunWs.bat ,内容为 Wsyscheck 3
将RunWs.bat与Wsyscheck放在一起,双击RunWs.bat即可让Wsyscheck以实时优先级启动。
9:随手工具说明(指菜单工具下的子菜单功能)
一般看其意即识其意,细节说明如下:
清除临时
文件
:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有
文件
。
禁用
硬盘
自动播放:本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。
修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。
如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后
运行
wsyscheck by wangsea
Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。 一般来说,对病毒体的判断主要可以采用查看路径,查看
文件
名,查看
文件
创建日期,查看
文件
厂商,微软
文件
校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。 最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。 Wsyscheck基本功能简单介绍: 1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软
文件
,但在使用了“校验微软
文件
签名”功能后,通不过的微软
文件
也会显示出来。 SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。 2:关于Wsyscheck的颜色显示 进程页: 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的
文件
。 服务页: 红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。 使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动
程序
。它们有可能是杀软的自我保护,也有可能是木马的键值保护。 在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”
文件
厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。 进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。 在使用“软件设置”-“校验微软
文件
签名”后,紫红色显示未通过微软签名的
文件
。同时,在各显示栏的"微软
文件
校验"会显示Pass与no pass。(可以据此参考是否是假冒微软
文件
,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页: 默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。 SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果
一个
函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。 使用“恢复所有函数”功能则同时恢复上述两种HOOK。 发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。 活动
文件
页: 红色显示的常规启动项的内容。 3:关于Wsyscheck启动后状态栏的提示“警告!
程序
驱动未加载成功,一些功能无法完成。” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。 驱动加载成功的情况下,对于木马
文件
可以直接使用Wsyscheck中各页中的删除
文件
功能,本功能带有“直接删除”
运行
中的
文件
的功能。 4:关于卸载模块 对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的
写
法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或
文件
(驱动加载情况下使用删除后重启
文件
即消失)。 5:关于
文件
删除 驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数
文件
都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL
文件
删除后虽然
文件
仍然可见,但事实上已删除,重启后该
文件
消失。
文件
管理页的“删除”操作是删除
文件
到回收站,支持畸形目录下的
文件
删除。应注意的是如果
文件
本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另
一个
地方。否则你可能看到回收站内的
文件
删除了这个又添加了那个。 Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块
文件
WDosDel.dat,将此
文件
与Wsyscheck放在一起会显示出相关页面,添加待删除
文件
并重启,启动菜单中将出现“删除顽固
文件
”字样,选择后转入Dos删除
文件
。在某些机器上,若执行“dos删除”重启后系统报告
文件
损坏要修复(此时修复会造成
文件
系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。) “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行
一个
文件
路径即可。关闭
程序
时如果上述两者之一存在删除列表,会问询是否执行。 注意,为避免病毒
程序
守护,Wsyscheck可以在删除某些
文件
时可能会采取0字节
文件
占位的方式来确保删除。这些0字节
文件
在Wsyscheck退出后会被自动清理。是否采用此方式依赖于“软件设置”下的“删除
文件
后锁定”选项是否勾选。 如果需要对删除的
文件
备份,先启用软件设置下的“删除
文件
前备份
文件
”,它将在删除前将
文件
备份到%SystemDrive%\VirusBackup目录中,且将
文件
名添加.vir后缀以免误执行。 6:关于进程的结束后的反复创建 如果确系木马
文件
,可选择结束进程并删除
文件
,这样的话Wsyscheck会将其结束并删除
文件
。但有时因为木马有关联进程未同时结束,会重新加载木马
文件
。这时我们可以选择“软件设置”下的“删除
文件
后锁定”。这时当结束进程并删除
文件
后Wsyscheck将创建0字节的锁定
文件
防止木马再生。 也可以使用进程页的“禁止
程序
运行
”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的
程序
。通过禁用它的执行来清理
文件
。解除禁用的
程序
用“安全检查”页的“禁用
程序
管理”功能,所以在木马使用IFEO劫持后也可以“禁用
程序
管理”中恢复被劫持的
程序
。 软件设置下的“禁止进程与
文件
创建”功能是针对木马的反复启动,反复创建
文件
,反复
写
注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马
文件
及注册表启动项。开启禁止“禁止进程与
文件
创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马
文件
。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块
文件
。 要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。 对于反复
写
注册表启动项无法修复的情况,可以先用“禁止进程与
文件
创建”找出覆
写
该注册表项的进程,针对木马插入的线程进行挂起,再修复注册表。 懒于查看分析,不
想
太麻烦的话,可以先删除
文件
(直接删除、重启删除),待重启之后再修复注册表。 8:关于批量处理 各页中可尝试用Ctrl,Shift多选再执行相关的功能。
文件
搜索中的“保存
文件
列表”导出搜索结果列表1,在PE启动后再执行一次得到结果2,将结果1与结果2相比较,可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit。 9:关于如何清理木马的简单方法: 1: 勾选“软件设置”下的“删除
文件
后锁定”以阻止
文件
再生。 2: 批量选择病毒进程,使用“结束进程并删除
文件
”。 3: 插入到进程中的模块多不可怕,全局钩子在各进程中通常都是相同的,处理进程的模块即可。建议采用“直接删除模块
文件
”,本功能执行后看不到变化,但
文件
其实已经删除。不建议使用“卸载模块”功能(为保险也可以与“重启删除”联用),原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。 4: 执行“清理临时
文件
”、“清除Autorun.inf” 5:在安全检查中可以修复的修复一下。不强求,重启后再执行二次清理。 6: 重启机器,大部份的病毒应该可以搞定了。此时再次检查,发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。 7: 清理完后切换到
文件
搜索页,限制
文件
大小为
50K
左右,去除“排除微软
文件
的勾”搜索最近一周的新增的
文件
,从中选出病毒尸体
文件
删除。 10:Wsyscheck可以使用的参数说明: Wsyscheck可以带参数
运行
以提高自身的优先级 Wsyscheck 1 高于标准 Wsyscheck 2 高 Wsyscheck 3 实时 例如需要实时启动Wsyscheck,可以编辑
一个
批处理 RunWs.bat ,内容为 Wsyscheck 3 将RunWs.bat与Wsyscheck放在一起,双击RunWs.bat即可让Wsyscheck以实时优先级启动。 Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,然后退出。 Wsyscheck -s 在-f的基础上执行创建安全环境后退出。 如将Wsyscheck.exe更名,则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数,其恢复结果可以在SSdt显示页下面的Auto Restore中看到。不更名则不带此功能。另外,更名后Wsyscheck将使用随机驱动名来释放驱动。 11:随手工具说明(指菜单工具下的子菜单功能) 一般看其意即识其意,仅对部份子项说明: 清除临时
文件
:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有
文件
。 禁用
硬盘
自动播放:本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。 修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。 如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后
运行
。 联系作者:Wang6071#sina.com.cn
wsyscheck--强大的清理病毒木马的工具
Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。 一般来说,对病毒体的判断主要可以采用查看路径,查看
文件
名,查看
文件
创建日期,查看
文件
厂商,微软
文件
校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。 Wsyscheck基本功能简单介绍: 1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软
文件
,但在使用了“校验微软
文件
签名”功能后,通不过的微软
文件
也会显示出来。 SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。 2:关于Wsyscheck的颜色显示 进程页: 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的
文件
。 服务页: 红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。 使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动
程序
。它们有可能是杀软的自我保护,也有可能是木马的键值保护。 在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”
文件
厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。 进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。 在使用“软件设置”-“校验微软
文件
签名”后,紫红色显示未通过微软签名的
文件
。同时,在各显示栏的"微软
文件
校验"会显示Pass与no pass。(可以据此参考是否是假冒微软
文件
,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页: 默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。 SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果
一个
函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。 使用“恢复所有函数”功能则同时恢复上述两种HOOK。 发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。 活动
文件
页: 红色显示的常规启动项的内容。 3:关于Wsyscheck启动后状态栏的提示“警告!
程序
驱动未加载成功,一些功能无法完成。” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。 驱动加载成功的情况下,对于木马
文件
可以直接使用Wsyscheck中各页中的删除
文件
功能,本功能带有“直接删除”
运行
中的
文件
的功能。 4:关于卸载模块 对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的
写
法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或
文件
(驱动加载情况下使用删除后重启
文件
即消失)。 5:关于
文件
删除 驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数
文件
都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL
文件
删除后虽然
文件
仍然可见,但事实上已删除,重启后该
文件
消失。
文件
管理页的“删除”操作是删除
文件
到回收站,支持畸形目录下的
文件
删除。应注意的是如果
文件
本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另
一个
地方。否则你可能看到回收站内的
文件
删除了这个又添加了那个。 Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块
文件
WDosDel.dat,将此
文件
与Wsyscheck放在一起会显示出相关页面,添加待删除
文件
并重启,启动菜单中将出现“删除顽固
文件
”字样,选择后转入Dos删除
文件
。在某些机器上,若执行“dos删除”重启后系统报告
文件
损坏要修复(此时修复会造成
文件
系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。) “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行
一个
文件
路径即可。关闭
程序
时如果上述两者之一存在删除列表,会问询是否执行。 注意,为避免
Wsyscheck0119中文版
Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。 一般来说,对病毒体的判断主要可以采用查看路径,查看
文件
名,查看
文件
创建日期,查看
文件
厂商,微软
文件
校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。 最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。 Wsyscheck基本功能简单介绍: 1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软
文件
,但在使用了“校验微软
文件
签名”功能后,通不过的微软
文件
也会显示出来。 SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。 2:关于Wsyscheck的颜色显示 进程页: 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的
文件
。 服务页: 红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。 使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动
程序
。它们有可能是杀软的自我保护,也有可能是木马的键值保护。 在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”
文件
厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。 进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。 在使用“软件设置”-“校验微软
文件
签名”后,紫红色显示未通过微软签名的
文件
。同时,在各显示栏的"微软
文件
校验"会显示Pass与no pass。(可以据此参考是否是假冒微软
文件
,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页: 默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。 SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果
一个
函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。 使用“恢复所有函数”功能则同时恢复上述两种HOOK。 发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。 活动
文件
页: 红色显示的常规启动项的内容。 3:关于Wsyscheck启动后状态栏的提示“警告!
程序
驱动未加载成功,一些功能无法完成。” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。 驱动加载成功的情况下,对于木马
文件
可以直接使用Wsyscheck中各页中的删除
文件
功能,本功能带有“直接删除”
运行
中的
文件
的功能。 4:关于卸载模块 对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的
写
法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或
文件
(驱动加载情况下使用删除后重启
文件
即消失)。 5:关于
文件
删除 驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数
文件
都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL
文件
删除后虽然
文件
仍然可见,但事实上已删除,重启后该
文件
消失。
文件
管理页的“删除”操作是删除
文件
到回收站,支持畸形目录下的
文件
删除。应注意的是如果
文件
本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另
一个
地方。否则你可能看到回收站内的
文件
删除了这个又添加了那个。 Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块
文件
WDosDel.dat,将此
文件
与Wsyscheck放在一起会显示出相关页面,添加待删除
文件
并重启,启动菜单中将出现“删除顽固
文件
”字样,选择后转入Dos删除
文件
。在某些机器上,若执行“dos删除”重启后系统报告
文件
损坏要修复(此时修复会造成
文件
系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。) “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行
一个
文件
路径即可。关闭
程序
时如果上述两者之一存在删除列表,会问询是否执行。 注意,为避免病毒
程序
守护,Wsyscheck可以在删除某些
文件
时可能会采取0字节
文件
占位的方式来确保删除。这些0字节
文件
在Wsyscheck退出后会被自动清理。是否采用此方式依赖于“软件设置”下的“删除
文件
后锁定”选项是否勾选。 如果需要对删除的
文件
备份,先启用软件设置下的“删除
文件
前备份
文件
”,它将在删除前将
文件
备份到%SystemDrive%\VirusBackup目录中,且将
文件
名添加.vir后缀以免误执行。 6:关于进程的结束后的反复创建 如果确系木马
文件
,可选择结束进程并删除
文件
,这样的话Wsyscheck会将其结束并删除
文件
。但有时因为木马有关联进程未同时结束,会重新加载木马
文件
。这时我们可以选择“软件设置”下的“删除
文件
后锁定”。这时当结束进程并删除
文件
后Wsyscheck将创建0字节的锁定
文件
防止木马再生。 也可以使用进程页的“禁止
程序
运行
”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的
程序
。通过禁用它的执行来清理
文件
。解除禁用的
程序
用“安全检查”页的“禁用
程序
管理”功能,所以在木马使用IFEO劫持后也可以“禁用
程序
管理”中恢复被劫持的
程序
。 软件设置下的“禁止进程与
文件
创建”功能是针对木马的反复启动,反复创建
文件
,反复
写
注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马
文件
及注册表启动项。开启禁止“禁止进程与
文件
创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马
文件
。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块
文件
。 要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。 对于反复
写
注册表启动项无法修复的情况,可以先用“禁止进程与
文件
创建”找出覆
写
该注册表项的进程,针对木马插入的线程进行挂起,再修复注册表。 懒于查看分析,不
想
太麻烦的话,可以先删除
文件
(直接删除、重启删除),待重启之后再修复注册表。 8:关于批量处理 各页中可尝试用Ctrl,Shift多选再执行相关的功能。
文件
搜索中的“保存
文件
列表”导出搜索结果列表1,在PE启动后再执行一次得到结果2,将结果1与结果2相比较,可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit。 9:关于如何清理木马的简单方法: 1: 勾选“软件设置”下的“删除
文件
后锁定”以阻止
文件
再生。 2: 批量选择病毒进程,使用“结束进程并删除
文件
”。 3: 插入到进程中的模块多不可怕,全局钩子在各进程中通常都是相同的,处理进程的模块即可。建议采用“直接删除模块
文件
”,本功能执行后看不到变化,但
文件
其实已经删除。不建议使用“卸载模块”功能(为保险也可以与“重启删除”联用),原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。 4: 执行“清理临时
文件
”、“清除Autorun.inf” 5:在安全检查中可以修复的修复一下。不强求,重启后再执行二次清理。 6: 重启机器,大部份的病毒应该可以搞定了。此时再次检查,发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。 7: 清理完后切换到
文件
搜索页,限制
文件
大小为
50K
左右,去除“排除微软
文件
的勾”搜索最近一周的新增的
文件
,从中选出病毒尸体
文件
删除。 10:Wsyscheck可以使用的参数说明: Wsyscheck可以带参数
运行
以提高自身的优先级 Wsyscheck 1 高于标准 Wsyscheck 2 高 Wsyscheck 3 实时 例如需要实时启动Wsyscheck,可以编辑
一个
批处理 RunWs.bat ,内容为 Wsyscheck 3 将RunWs.bat与Wsyscheck放在一起,双击RunWs.bat即可让Wsyscheck以实时优先级启动。 Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,然后退出。 Wsyscheck -s 在-f的基础上执行创建安全环境后退出。 如将Wsyscheck.exe更名,则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数,其恢复结果可以在SSdt显示页下面的Auto Restore中看到。不更名则不带此功能。另外,更名后Wsyscheck将使用随机驱动名来释放驱动。 11:随手工具说明(指菜单工具下的子菜单功能) 一般看其意即识其意,仅对部份子项说明: 清除临时
文件
:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有
文件
。 禁用
硬盘
自动播放:本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。 修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。 如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后
运行
。
VB基础类
7,759
社区成员
197,606
社区内容
发帖
与我相关
我的任务
VB基础类
VB 基础类
复制链接
扫一扫
分享
社区描述
VB 基础类
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章