syscheck2(反黑辅助工具箱)是一个相当不错的软件，和冰刃类似（sì），据说比冰刃还要（yào）好用。有进程管理 进（jìn）程（chéng）管理 活动（dòng）文（wén）件（jiàn） 敏感键值 内核Hook检测 文件搜（sōu）索 等功能。udH红软（ruǎn）基（jī）地

软件功能

1：进程管理udH红软基地
    红色（sè）显（xiǎn）示的是非系统的进程或文件。点击（jī）一个进程可（kě）以列出（chū）进程包含的模（mó）块。你可以中（zhōng）止包括系（xì）统进udH红软基（jī）地
程在内（nèi）的（de）所有进（jìn）程，但（dàn）不推荐你去中止第一个svchost.exe前的（de）进程（chéng）(包括第一个svchost.exe)。这样做的（de）后果可能是导致系统重启（qǐ）或无法（fǎ）关机。udH红软基地
    syscheck的进程管理页可列出win32级的隐（yǐn）藏进程，但不会特别（bié）标注（zhù）它。udH红（hóng）软（ruǎn）基地
    通常在（zài）手动杀毒中会（huì）结束（shù）那些红色（sè）显示的进程，很多全局钩子会插入到Explorer等（děng）系（xì）统进（jìn）程中(注意（yì）模udH红软基地
块中的红色dll)，所以有时也会结束这些系统进程以便删（shān）除（chú）病（bìng）毒。为（wéi）避免病毒进程（chéng）的（de）重复（fù）加载，可以勾选udH红软基（jī）地
来禁止新的线程（chéng）。udH红软基地
    在（zài）进程管（guǎn）理页（yè）的模块显示栏中（zhōng）右键选项有属性，删除到回收站，加入到重启删除（chú）列表（biǎo）三项，可以方便在udH红软基地
进程显示页就分析、清理恶软（ruǎn）或木马（mǎ）。udH红软基地
会结束该模块的主进程后删除模（mó）块列表中选定的文件，支（zhī）持多选。udH红（hóng）软基地
    在删除全局HOOK的DLL时可能会（huì）用到（dào）。udH红软（ruǎn）基（jī）地
    直接将选（xuǎn）定（dìng）的（de）文件重启后（hòu）删除。（注意不要把系统DLL删了）建（jiàn）议只对红色显示（shì）的非系统模（mó）块进行删除处（chù）理。udH红（hóng）软（ruǎn）基地
    即软（ruǎn）件限（xiàn）制策（cè）略，仅对exe文件有效。注（zhù）意，过（guò）多地限制软件的执行（háng）可能会影响系统（tǒng）运行效率。udH红软基（jī）地
2：服（fú）务管理udH红（hóng）软（ruǎn）基地
    红（hóng）色显示的非系统服务。单击列表标（biāo）题（tí）可以排序以（yǐ）便快速查找新（xīn）增的系统服务。对于以svchost.exe启udH红软基地
动的（de）服务，文（wén）件路径显示的是（shì）该服务（wù）文件而非（fēi）svchost.exe的路径。这一（yī）点区别于（yú）sc命（mìng）令显（xiǎn）示出来的（de）文件udH红软基地
路（lù）径。udH红软基地
    中止服务（wù）功能是仅在系统重启前中止服务，并（bìng）不（bú）是永久性的（de）中止（zhǐ）服务。而删（shān）除服务（wù）则是删除服务键值(udH红（hóng）软基地
不提供删除（chú）前的保存。所以，要删除你得（dé）自已（yǐ）去确定是否真要这么做)。udH红软基地
    值得注意的是，某些服务是无法中止或删除的(比如划（huá）词搜（sōu）索的驱动服（fú）务)。这是因为它可能采用了注udH红软（ruǎn）基地
册表键（jiàn）值（zhí）的保护。对付这类服务，要使用内（nèi）核Hook检查中的（de）ssdt恢复功能（néng）后，udH红软（ruǎn）基地
    才能在本页中删除其键值。(要注意的是（shì），某些服务不提供终止服（fú）务（wù），所以删除（chú）服务（wù）后它可能仍在运行，udH红软基（jī）地
需要重启才真正停（tíng）止) 在（zài）服务页使用右键可获得更多（duō）的（de）服务（wù）控（kòng）制。udH红软（ruǎn）基地
3:活动文件（jiàn）udH红软基地
    活动（dòng）文（wén）件（jiàn）页显示（shì）了包括启动钤谀诘娜（nà）菀妆磺秩敫（jiǎo）男吹?span href="tag.php?name=%D7%A2%B2%E1"class="t_tag">注册表键值。syscheck仅关注于改写了（le）的键值，所以不同的机器上显（xiǎn）示内（nèi）容并（bìng）不一（yī）样。udH红软基地（dì）
    在做（zuò）恢复（fù）前，可以核对（duì）一下讯息栏显示（shì）的内容，以确定（dìng）是否要恢复。对于没有（yǒu）讯（xùn）息显（xiǎn）示的项目可以（yǐ）定（dìng）位（wèi）udH红软基地
文件查看文件（jiàn）的属性。udH红软基地
    要注（zhù）意的是，syschek在本页中的恢复不仅（jǐn）仅是改回系统默认值（或删除不需要的键值），如果需要恢udH红软基（jī）地
复（fù）的（de）是一个DLL文件工作的键值，syschek还（hái）会做反注册该DLL的工作。udH红软基地
    Winsock检测用于检测Lsp被劫（jié）持的（de）情况，不管是否检测到第三方的DLL是否加载，也允许用户强制恢（huī）udH红软基地
复Winsock。所以，也（yě）可以用来作（zuò）其它检测修复工具破坏掉（diào）了Winsock引起网页（yè）不能浏（liú）览的恢复处（chù）理。udH红软基（jī）地（dì）
4:敏感键值（zhí）udH红软基地
    本页显示的内容是没有对应文件的系统键值。这些是系统允（yǔn）许的，但有改写后可能造（zào）成你使（shǐ）用（yòng）不便的udH红软基地（dì）
键值（如NoRun等，文件关联改（gǎi）写）等（děng）。udH红软基（jī）地
5:内核Hook检测udH红软基地（dì）
    内核Hook检测只关注于被Hook了的内核函数，一（yī）般来（lái）说（shuō）对应的模块提供者是一个.sys文件。udH红软基地
    以（yǐ）划词（cí）搜索为（wéi）例，它的驱（qū）动交叉保护(注册表HOOK及文件HOOK)，自身的卸（xiè）载与其它（tā）的卸载工具（jù）都不能删（shān）hcalway.sys及（jí）abhcop.sys.sys文件(且卸载后这两个驱动还在运行中，所（suǒ）以，你无法直接删（shān）除这两个文件（jiàn）。udH红软基地（dì）
    对付这样的（de）系统底层驱动，可以勾选并恢复成系（xì）统默认函（hán）数以使（shǐ）其驱动保护失效（xiào）。要注意的（de）是，大部udH红软基地
份（fèn）的杀软也注册有底层HOOK，如果你（nǐ）选择了它们（men），还原（yuán）后至重启前（qián）这些杀软的（de）实时监视将可能失效（xiào）。 udH红软（ruǎn）基地
    恢复系统底层原始函数地址后，就可以在服务管理页（yè）删除划（huá）词搜索的注册表服务项了（恢复前由于受（shòu）其驱abhcop.sys的保护，是无法删除其（qí）注册的服务项）。然后（hòu）重（chóng）启机器(系统无（wú）法删除一个运行中的文件（jiàn），而划词的（de）驱动又不停（tíng）供停（tíng）止功能（néng），所以只能重启)，就可（kě）以（yǐ）手动删除这两个文件了(当然也可以（yǐ）用内置的资源管理器中的功能（néng），来代替手动删除的作)。udH红（hóng）软基地
由于底层Hook的优先级（jí）很高，所以（yǐ）恢（huī）复（fù）了SSDT后，可能会（huì）有一些隐藏的进程或文件会显示出来，故（gù）可以在恢复SSDT后（hòu）再（zài）次观察各检测页状况以删除受这些驱动（dòng）隐藏（cáng）、保护的进程，注册表（biǎo）项等。udH红软基地
6:文（wén）件搜索udH红软基（jī）地
    通（tōng）过限制一定条件搜索，以便（biàn）清（qīng）除系统中的病毒备份或找（zhǎo）到未知（zhī）病毒。udH红软基（jī）地
7:文件浏（liú）览udH红（hóng）软基地
    由于syscheck采（cǎi）用了一些反HOOK手段，所以内置（zhì）的资源管（guǎn）理器可以看到隐藏的（de）文件或文（wén）件夹（例如灰子，hackdef100隐藏的（de）文件）。这样方便你做（zuò）删除（chú）文件的（de）工作（zuò）。对（duì）于利用系统本（běn）身特性隐藏（cáng）的（de）文件(如（rú）Downloaded Program Files)，内置资源管理（lǐ）器也可一览无遗。udH红（hóng）软基地
    内置（zhì）资源管理器用法与Explorer基本相同，右（yòu）键菜单除（chú）了普通（tōng）的（de）删除操作外，还有延时删除（重启后（hòu）udH红软基地
生（shēng）效），可用于（yú）删除（chú）顽（wán）固文件。（注意这个选项没有（yǒu）后悔药，删（shān）除前（qián）多看一眼文件属性，修改日期等（děng）讯息，不（bú）要把受保护的系（xì）统文件也删了（le）！）。udH红软基地

软件说明

    1. 先试试病毒（dú）是否自带（dài）所谓（wèi）的“卸（xiè）载（zǎi）”功（gōng）能，如果有就先执行，以（yǐ）便快速（sù）清除外围普通病毒文件（jiàn）（此时病毒保护（hù）机（jī）制（zhì）仍然可能在生效）。udH红（hóng）软基（jī）地
    2. 进入“内核（hé）Hook检测”，还原所有被 Hook 的系（xì）统函数（shù）（如果无显示内容，则跳过本步骤）。udH红软基地
    3. 结束所有非系统进程(红（hóng）色显示的进程（chéng）)。如果是删除IE插（chā）件（jiàn）类的病（bìng）毒，请同时结束Explorer及浏览（lǎn）器进程（chéng）。如果明确知道（dào）是病毒进（jìn）程，可以（yǐ）先（xiān）单击它，然后在（zài）其模块（kuài）列表（biǎo）中直接用右键删除该文件（jiàn）。udH红（hóng）软基地
    4. 进入“服务管理（lǐ）”，找（zhǎo）到并删除病毒对（duì）应的注（zhù）册表（biǎo）服务项；udH红软基地
    5：进入“活动文件”，删除其启（qǐ）动（dòng）加（jiā）载项（xiàng）及（jí）BHO、IE工（gōng）具栏等加（jiā）载项（xiàng）。udH红软基（jī）地
    6. 进入本工具的“资源（yuán）管理器”（不是Windows的资源管理器！），找到病毒对应的文件，右击，选（xuǎn）择“udH红（hóng）软基（jī）地
删除（chú）所选（含文件夹）”；如果不成（chéng）功，则（zé）选择“加入（rù）重启删除（chú）列表”。udH红软（ruǎn）基地
    7. 重（chóng）启（qǐ），重复上述步骤检查，直（zhí）到系统干净为止！udH红软（ruǎn）基地

使用说明

加入注（zhù）册表跟踪.exe，比（bǐ）较运（yùn）行软件前后对系统的动作 udH红软基地
加入管（guǎn）理器禁用修复，拒绝**禁用（yòng）任务管理器 udH红软基地
配合杀软或其它工具使用 更完美 udH红软基（jī）地
因为这是反黑（hēi）客专（zhuān）用（yòng）软件（jiàn），所（suǒ）以部（bù）分杀软误报（bào）.udH红软（ruǎn）基地

软件截图

udH红软基地