简洁显示会（huì）过滤所微（wēi）软文件（jiàn），但在使用（yòng）了（le）“校验微软（ruǎn）文件签名”功能后，通不过的微软文件也会显示出来。

  SSDt右键“全部显示”是默认动作，当取消这个选（xuǎn）项后，则（zé）仅显示SSDT表中已更（gèng）改的项目。

  

2:关于Wsyscheck的颜色显示

 

进程页：

 

  红色表示非微软进（jìn）程，紫（zǐ）红（hóng）色表示虽然进程是微（wēi）软（ruǎn）进程，但其（qí）模块中有非微软的文件（jiàn）。

 

服务页：

 

  红色（sè）表示该服务（wù）不是（shì）微软服（fú）务，且该服务非.sys驱动。（最常见的是.exe与.dll的服务，木马大多（duō）使用这种方式）。

 

  使用“检查（chá）键（jiàn）值”后，蓝色显示的（de）是有键（jiàn）值保护的随系（xì）统启动的驱动程（chéng）序。它们有可能是杀软的自我保（bǎo）护，也有可（kě）能是木马的键（jiàn）值保（bǎo）护（hù）。

 

  在（zài）取消了“模块、服务简洁显示”后，查看第三方服（fú）务可以点击标题条”文（wén）件厂商”排序，结合使用“启动（dòng）类型”、“修改日期（qī）”排序更（gèng）容易观察到新增的木马服务。

 

  进（jìn）程（chéng）页（yè）中查看模块与（yǔ）服务（wù）页（yè）中查（chá）看服务描述可以（yǐ）使用键盘的（de）上下键控制。

 

  在使（shǐ）用（yòng）“软件设置”-“校验微软文件签名”后，紫红色（sè）显示（shì）未通过（guò）微软签名的文件。同时（shí），在各显（xiǎn）示栏的"微软文件校验（yàn）"会显示（shì）Pass与no pass。(可以据此参考是否是假（jiǎ）冒（mào）微（wēi）软文件，注意的是（shì）如果紫红色显示过多，可能是你的系统（tǒng）是网上（shàng）常见的Ghost精简版（bǎn），这（zhè）些版本可能精（jīng）简掉（diào）了（le）微软签名数（shù）据库所以结（jié）果并不可信)