syscheck2(反黑辅助工具箱)是一（yī）个相当不错的软（ruǎn）件，和冰刃类似，据说（shuō）比冰刃还要好用。有进程管理 进程管（guǎn）理 活动文件 敏感（gǎn）键（jiàn）值 内（nèi）核Hook检测 文件搜索 等功能。udH红软基（jī）地

软件（jiàn）功能（néng）

1：进程管理（lǐ）udH红软基地
    红色显示（shì）的是非系统的（de）进程（chéng）或文件。点（diǎn）击一个进程可以列出进程（chéng）包含的模块（kuài）。你可以中止包括系统进udH红软基地
程在内的所有进程（chéng），但不推荐你去（qù）中止第一个svchost.exe前的进（jìn）程（chéng）(包括（kuò）第一（yī）个svchost.exe)。这样（yàng）做的后果可（kě）能是导致系统重启（qǐ）或无法（fǎ）关机。udH红软基地
    syscheck的（de）进程管（guǎn）理页（yè）可（kě）列出win32级（jí）的隐藏进程（chéng），但不会特别标（biāo）注它。udH红软基地
    通常在手动杀毒中会结束（shù）那些红（hóng）色显示（shì）的进程，很多全局钩子会插入到Explorer等系统进程中(注意模udH红软基（jī）地
块中的红色dll)，所以有时也会结束这些系统进程以便删除病毒。为避免病毒（dú）进程的重复加载，可（kě）以（yǐ）勾选udH红软（ruǎn）基（jī）地
来禁止新的线程。udH红软基（jī）地
    在进程管理页的（de）模块显示栏中右（yòu）键选项有（yǒu）属（shǔ）性，删除到回收站，加入（rù）到重启（qǐ）删除列表三项，可以方便在udH红（hóng）软基（jī）地
进程显（xiǎn）示页就分（fèn）析、清理恶（è）软或木马。udH红软基地
会结束（shù）该（gāi）模块（kuài）的主进程后删（shān）除模块列表中选定（dìng）的文件（jiàn），支持多选。udH红软基（jī）地
    在删（shān）除全局HOOK的DLL时可能会用到（dào）。udH红软基地
    直接（jiē）将选定的文件（jiàn）重启后删除（chú）。（注意不（bú）要（yào）把系统DLL删了）建（jiàn）议只对红色显（xiǎn）示的非系（xì）统模块进行删除（chú）处理。udH红软基地
    即软件限制策略，仅对exe文（wén）件有效。注（zhù）意，过（guò）多地限（xiàn）制（zhì）软件的执行（háng）可能会影响系统（tǒng）运行效（xiào）率。udH红软基地
2：服务管理udH红软基地
    红色显示的非系统服务。单击列表标题可以排（pái）序以便（biàn）快速查找新增的系统服（fú）务。对于以svchost.exe启udH红软基地
动的服务，文件（jiàn）路径（jìng）显示的（de）是该（gāi）服（fú）务（wù）文（wén）件而（ér）非svchost.exe的路径。这一点（diǎn）区别于sc命（mìng）令（lìng）显示出来的文（wén）件udH红软（ruǎn）基地
路（lù）径。udH红（hóng）软基地
    中止服务功（gōng）能是仅在系统重启前（qián）中止服务，并（bìng）不是永久性的中止服务。而删除服务则是（shì）删除（chú）服（fú）务键（jiàn）值(udH红软基地
不提供删除（chú）前（qián）的保存。所以，要（yào）删（shān）除你得自（zì）已去确（què）定是否真要这么（me）做)。udH红软基地
    值得注意的是，某（mǒu）些服（fú）务是无法中止或删除的(比如划（huá）词搜（sōu）索的驱（qū）动（dòng）服务（wù）)。这是因为它可能采用了注udH红软（ruǎn）基地
册表键值的保（bǎo）护。对付这类服务，要使用内核Hook检查中的ssdt恢复功能后，udH红软基地
    才能在（zài）本页中删除其（qí）键值。(要注意的是，某些（xiē）服务不提供终止服务，所（suǒ）以删除服务后（hòu）它可能仍（réng）在运行，udH红软基地（dì）
需要重启才真正（zhèng）停（tíng）止) 在（zài）服（fú）务页（yè）使（shǐ）用（yòng）右键可获得更多的服务（wù）控制。udH红（hóng）软基地
3:活动文（wén）件udH红软基（jī）地
    活（huó）动文件页显示了包括启动钤（qián）谀诘娜菀妆磺秩敫（jiǎo）男吹?span href="tag.php?name=%D7%A2%B2%E1"class="t_tag">注册表键值。syscheck仅关注于改写了的键值，所以不同的机器上显示内容并不（bú）一（yī）样。udH红软基地
    在做恢复前，可以核对一（yī）下讯息栏显示的内（nèi）容（róng），以确定是否要（yào）恢复（fù）。对于没有讯息显示的（de）项目（mù）可以定位udH红软基（jī）地
文件查看文（wén）件的属（shǔ）性（xìng）。udH红软（ruǎn）基地（dì）
    要注意的是，syschek在本页（yè）中的恢复不仅仅是（shì）改回系统（tǒng）默认值（或删除不（bú）需要的键值），如果需要恢（huī）udH红软基（jī）地
复的是一个DLL文件（jiàn）工作的键值（zhí），syschek还会（huì）做反注册该DLL的工作。udH红软基地
    Winsock检测用于（yú）检（jiǎn）测Lsp被劫持的情况，不管是否检测到（dào）第（dì）三方的DLL是否加载，也允许用户（hù）强（qiáng）制恢udH红软基地
复Winsock。所以，也可以用来作其它（tā）检测修复工具破（pò）坏掉了Winsock引起网页不能浏（liú）览的恢复（fù）处理。udH红软（ruǎn）基地
4:敏感键值udH红软基地
    本页（yè）显（xiǎn）示的（de）内容是没有对应文件的系统键（jiàn）值。这些是系（xì）统允许的（de），但有改写后可能造成你使用不便的udH红软基地
键值（如（rú）NoRun等，文件关联改写）等（děng）。udH红（hóng）软基地
5:内核Hook检测（cè）udH红软基地
    内核Hook检测（cè）只（zhī）关注于（yú）被Hook了的内核（hé）函数，一般来说对应的模（mó）块（kuài）提供者是一个.sys文（wén）件。udH红软（ruǎn）基地
    以划词（cí）搜索为例，它的（de）驱动（dòng）交叉保（bǎo）护(注册表HOOK及文件HOOK)，自身的卸载（zǎi）与其它的卸（xiè）载（zǎi）工具都不（bú）能删hcalway.sys及abhcop.sys.sys文件(且卸载后这两个驱（qū）动还在运行中，所以，你无法直接（jiē）删（shān）除这（zhè）两个文件。udH红软基地
    对付这样（yàng）的系（xì）统底层驱（qū）动，可以勾（gōu）选并恢复成系统默认函（hán）数（shù）以（yǐ）使（shǐ）其（qí）驱动保护（hù）失效（xiào）。要（yào）注意的是，大部udH红软基地
份的杀软也注册（cè）有底（dǐ）层HOOK，如果（guǒ）你选择（zé）了它们，还原后至重启前这些杀软的（de）实时监视将可能失效（xiào）。 udH红软（ruǎn）基（jī）地
    恢复系（xì）统底层原始（shǐ）函（hán）数地址后，就（jiù）可以在服务（wù）管理页（yè）删除划词搜索的注册表服务项了（恢复前由于受（shòu）其驱abhcop.sys的保护，是（shì）无（wú）法（fǎ）删除其注册（cè）的服务项）。然后重启（qǐ）机器(系统无法删除（chú）一个运行中（zhōng）的文件，而划词的驱动又不停供停（tíng）止功能，所（suǒ）以只能（néng）重启（qǐ）)，就可以手动删（shān）除（chú）这两个文件了(当然也可以用内置的资源管理器中的功能，来代替手动删除的（de）作)。udH红软（ruǎn）基（jī）地
由于底层Hook的优先级很高，所以（yǐ）恢复了SSDT后，可能会有一些隐藏（cáng）的进（jìn）程或文件会显示出来，故可以在恢复SSDT后再次观察各检（jiǎn）测页状（zhuàng）况（kuàng）以删（shān）除受这些驱动隐藏、保护的进程，注册（cè）表（biǎo）项等。udH红软基地
6:文（wén）件搜索udH红软基（jī）地
    通（tōng）过限（xiàn）制一定条件搜（sōu）索，以便清（qīng）除系统中的病毒备（bèi）份或找到未知病毒。udH红软基地（dì）
7:文件浏览udH红软基（jī）地（dì）
    由于syscheck采用了（le）一（yī）些反（fǎn）HOOK手段（duàn），所以内置的资源管理器可以（yǐ）看到隐藏的文件或文件（jiàn）夹（例如灰子，hackdef100隐藏的文（wén）件（jiàn））。这样方便（biàn）你做删除文（wén）件的工（gōng）作。对于（yú）利用系统本身特性隐藏的（de）文件(如Downloaded Program Files)，内置资源管理器也可一览无遗。udH红软（ruǎn）基（jī）地
    内置（zhì）资源管理器用（yòng）法与Explorer基本相（xiàng）同，右（yòu）键菜单除了普通的删除操作外（wài），还有延时删（shān）除（重启后（hòu）udH红软基地
生效），可用于删除顽固（gù）文件（jiàn）。（注意这个选（xuǎn）项没有（yǒu）后悔药（yào），删除前多看（kàn）一眼文（wén）件属性（xìng），修（xiū）改日（rì）期等（děng）讯（xùn）息，不要把（bǎ）受保护（hù）的系统文件也删了！）。udH红（hóng）软（ruǎn）基地

软件说明

    1. 先试试病毒是否（fǒu）自带所谓的（de）“卸载”功能，如果有就（jiù）先执（zhí）行，以便（biàn）快速清除外（wài）围普（pǔ）通病毒文件（jiàn）（此时病毒保护（hù）机制（zhì）仍然可能在生（shēng）效）。udH红软（ruǎn）基地
    2. 进入“内（nèi）核Hook检测”，还原（yuán）所有被 Hook 的（de）系统（tǒng）函数（shù）（如果（guǒ）无显（xiǎn）示内容（róng），则跳过本步骤）。udH红软（ruǎn）基地
    3. 结束所有非系统进（jìn）程(红色（sè）显示的（de）进程)。如果（guǒ）是删除IE插（chā）件类（lèi）的病毒，请同（tóng）时结束Explorer及浏览器进程。如（rú）果明确知道是病毒（dú）进（jìn）程，可（kě）以先单（dān）击（jī）它，然后在其模（mó）块列（liè）表中直接用右键（jiàn）删除该文（wén）件。udH红（hóng）软基（jī）地（dì）
    4. 进入“服务管（guǎn）理”，找到并删除病毒对应的注（zhù）册表（biǎo）服务项；udH红软基地
    5：进入（rù）“活动文件”，删除其启动加载项（xiàng）及BHO、IE工具栏等加载项。udH红软基地
    6. 进入本工具的“资源管理（lǐ）器”（不是Windows的资源管（guǎn）理器！），找到病（bìng）毒对应的文件，右击（jī），选择“udH红软基（jī）地
删除所选（含文（wén）件（jiàn）夹）”；如（rú）果不（bú）成功，则选择（zé）“加入重（chóng）启删除列表”。udH红（hóng）软基地
    7. 重启，重复上述步骤检查，直到（dào）系统干（gàn）净为止！udH红软基地

使用（yòng）说明（míng）

加入注（zhù）册（cè）表跟（gēn）踪.exe，比较运行软件（jiàn）前后对系（xì）统（tǒng）的动作 udH红软基地
加入管理器禁用修复，拒绝**禁用任（rèn）务管理器 udH红软基地（dì）
配合杀软或其（qí）它工具（jù）使用 更（gèng）完美 udH红软基地
因为这（zhè）是反黑（hēi）客专用软件（jiàn），所以部分杀软误（wù）报.udH红（hóng）软基地

软（ruǎn）件截图

udH红软基地