簡(jiǎn)潔顯示會(huì)過(guò)濾所微軟文件，但在使用了“校驗(yàn)微軟文件簽名”功能后，通不過(guò)的微軟文件也會(huì)顯示出來(lái)。

  SSDt右鍵“全部顯示”是默認(rèn)動(dòng)作，當(dāng)取消這個(gè)選項(xiàng)后，則僅顯示SSDT表中已更改的項(xiàng)目。

  

2:關(guān)于Wsyscheck的顏色顯示

 

進(jìn)程頁(yè)：

 

  紅色表示非微軟進(jìn)程，紫紅色表示雖然進(jìn)程是微軟進(jìn)程，但其模塊中有非微軟的文件。

 

服務(wù)頁(yè)：

 

  紅色表示該服務(wù)不是微軟服務(wù)，且該服務(wù)非.sys驅(qū)動(dòng)。（最常見(jiàn)的是.exe與.dll的服務(wù)，木馬大多使用這種方式）。

 

  使用“檢查鍵值”后，藍(lán)色顯示的是有鍵值保護(hù)的隨系統(tǒng)啟動(dòng)的驅(qū)動(dòng)程序。它們有可能是殺軟的自我保護(hù)，也有可能是木馬的鍵值保護(hù)。

 

  在取消了“模塊、服務(wù)簡(jiǎn)潔顯示”后，查看第三方服務(wù)可以點(diǎn)擊標(biāo)題條”文件廠商”排序，結(jié)合使用“啟動(dòng)類型”、“修改日期”排序更容易觀察到新增的木馬服務(wù)。

 

  進(jìn)程頁(yè)中查看模塊與服務(wù)頁(yè)中查看服務(wù)描述可以使用鍵盤(pán)的上下鍵控制。

 

  在使用“軟件設(shè)置”-“校驗(yàn)微軟文件簽名”后，紫紅色顯示未通過(guò)微軟簽名的文件。同時(shí)，在各顯示欄的"微軟文件校驗(yàn)"會(huì)顯示Pass與no pass。(可以據(jù)此參考是否是假冒微軟文件，注意的是如果紫紅色顯示過(guò)多，可能是你的系統(tǒng)是網(wǎng)上常見(jiàn)的Ghost精簡(jiǎn)版，這些版本可能精簡(jiǎn)掉了微軟簽名數(shù)據(jù)庫(kù)所以結(jié)果并不可信)