简洁显示会过滤（lǜ）所微软文件（jiàn），但（dàn）在使用了（le）“校验微软文件签（qiān）名”功能后，通不（bú）过的微软文件也会显（xiǎn）示出来。

  SSDt右键“全部显示”是默认动作（zuò），当取消这个选项后，则仅显示SSDT表中已更改的项目。

  

2:关于Wsyscheck的颜色显（xiǎn）示（shì）

 

进程页（yè）：

 

  红色表（biǎo）示非微（wēi）软进程（chéng），紫（zǐ）红色表（biǎo）示虽然进程（chéng）是微（wēi）软进程，但其模（mó）块中有非微（wēi）软的（de）文件（jiàn）。

 

服务页（yè）：

 

  红色表（biǎo）示该服务不是微软服务（wù），且该服务非.sys驱动。（最常（cháng）见的是.exe与.dll的服务（wù），木马大多使用这种方式（shì））。

 

  使用“检查（chá）键值”后，蓝色（sè）显示的（de）是有键值保（bǎo）护的随（suí）系统启动的驱动程序。它（tā）们（men）有可能（néng）是杀软的（de）自我保（bǎo）护，也有可能是木马的键（jiàn）值保（bǎo）护。

 

  在取消（xiāo）了“模块、服务简洁显示”后，查看第三（sān）方服务可以点击标题条”文（wén）件厂商”排序，结（jié）合使用“启动类（lèi）型”、“修改日期”排序更容易（yì）观（guān）察到新增（zēng）的木马服（fú）务。

 

  进程页中查看模块与服务页中查看服务描（miáo）述可以（yǐ）使用键盘的上下键控（kòng）制。

 

  在使用“软件设置”-“校验微（wēi）软文件签名”后，紫红色显示（shì）未通过微软（ruǎn）签名的文件（jiàn）。同时，在各（gè）显示（shì）栏的"微软文件校验"会（huì）显示Pass与no pass。(可以据此（cǐ）参考是否是假冒微软文件（jiàn），注意（yì）的（de）是如果紫红色显（xiǎn）示过多，可能是你的系统是网上常见的Ghost精简版，这些版本可能精简掉了微（wēi）软（ruǎn）签名数据库所（suǒ）以（yǐ）结果并不可信)