众所周知，许多病毒、木马都是以进程的形式“镶嵌”在系统中，并且它们还会隐藏和伪装自己。采用服务驱劝的方式，利用一种叫做Rootkit的技术，对自身的服务进行隐藏，使它们的破坏能力得以发挥。

    不过，这一切在遇到“Wsyscheck”后，它们的“隐身衣”便会不幸升级为“皇帝的新装”：无论是普通的木马、病毒，还是采用Rootkit技术的高级恶意程序，都会在“Wsyscheck”面前原形毕露。

    1.验证正常进程

    该工具为绿色工具，无需安装即可使用。运行“Wsyscheck.exe”后开启程序主界面。
    在该主界面中，单击“进程管理”选项卡，便会显示出当前系统中所有处于运行状态的进程（图1）。

图1(点击看大图)

    在进程列表中，我们看到进程名称上有三种不同的颜色显示，那么这又代表什么呢？

    黑色显示的进程为正常的系统进程，它表现当前进程绝对安全，对于这部分进程， 我们无需关注；红色显示的进程表示为第三方程序进程，在这其中，既有健康无害的进程，也有可能存在木马、病毒等有害进程。

    通常，我们可以简单地通过进程名称来辨明木马、病毒。一些木马、病毒会起着与系统进程完全一样或类似的名称，比如SVCHOST.exe为正常的系统进程，而当某个进程为SVCH0ST.exe，即将数字“0”来替代英文字母“O”时，便要格外留意了。

    除了上述方法外，还可通过进程列表中的映像路径列表、文件厂商名称来判断。如某些病毒、木马会主动将进程路径选择为系统所在目录，让用户误将它认为是正常的系统进程。

    小提示：单击进程列表的某个进程名称，可以底部的模块框内显示出与之相关的模块路径。