[sysshield]系统安全盾

xdg3669 · 发表于 2006-9-7 00:21:38

在相同条件下测试第三个 syscheck时仍然弹出：WinSock备份.reg可以还原，但服务备份.reg不能导回注册表。

[ 本帖最后由 xdg3669 于 2006-9-7 12:33 AM 编辑 ]

xdg3669 · 发表于 2006-9-7 01:22:49

反馈情况再睡。

经测试#1563的附件：

1、全部关闭了程序包括kis6.0,见图1.

2、启动快速净化后弹出：“system\curentcontrolset\services\avp有键值保护”，点ok后可以重启，用正常模式，安全模式均出现蓝屏信息！只有用最后一次正确配置可以启动！

3、卸载卡巴kis6.0以后，（这里启动项只有安全盾，启动的服务见图2,），关闭安全盾，启动快速净化，没有提示，自动重启动，但两种模式均蓝屏！

4、怪了。我把图3的服务卸掉后，启动快速净化，一样情况。

[ 本帖最后由 xdg3669 于 2006-9-7 07:20 AM 编辑 ]

xdg3669 · 发表于 2006-9-7 07:26:01

6618版主的测试应该是正确的，应该是syscheck2把必要的windows驱动服务也禁用了，建议不要禁用驱动服务，但可对windows系统服务部分处理。

刚才再次测试蓝屏后用XPE进入，设定目标windows后检查了注册表，和驱动服务支是正常的？

[ 本帖最后由 xdg3669 于 2006-9-7 07:59 AM 编辑 ]

xdg3669 · 发表于 2006-9-7 09:51:05

从#1582楼情况，disk驱动应该没更改。是不是在其他地方也更改了其他服务？

比如在

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\]

正在上班，回家测试，辛苦了wang6071！

[ 本帖最后由 xdg3669 于 2006-9-7 09:59 AM 编辑 ]

xdg3669 · 发表于 2006-9-7 13:10:35

用#1583楼的附件测试：

启动快速净化后在自动关闭explorer.exe进程的时候，听到一声警告声，syscheck就消失了，没有重启。我把导出的注册表传上来，大家分析一下！

xdg3669 · 发表于 2006-9-7 17:45:08

原帖由 wang6071 于 2006-9-7 01:57 PM 发表

你的机器上装有卡巴等软件拦载了注册表的操作，这样中途退出syscheck，导出的注册表无用．因为这样重启根本导致不了蓝屏．要syscheck操作了服务项后导出的注册表文件比较才有用．

也就是，必须要执行到生成 ...

测试时所有监视软件都已停止！卡巴软件我已卸载测试的.但在装有卡巴时确实也曾经蓝屏！

[ 本帖最后由 xdg3669 于 2006-9-7 06:05 PM 编辑 ]

xdg3669 · 发表于 2006-9-7 18:08:40

原帖由紫狐于 2006-9-7 05:57 PM 发表
我估计也是SATA的驱动引起的，今天使用快速净化后也是出现蓝屏，也是使用SATA硬盘，使用Intel芯片组，不用安装SATA驱动的。

但我可没有SATA硬盘呀？或许，我用的是克隆版的，也许携带有SATA驱动！这不应该导致我IDE硬盘蓝屏呀！

[ 本帖最后由 xdg3669 于 2006-9-7 07:01 PM 编辑 ]

xdg3669 · 发表于 2006-9-7 18:50:16

用最新的syscheck2测试情况：

未卸载卡巴时和卸载卡巴时两种情况测试快速净化，提示完成所有任务，重启都已经不再蓝屏！但未卸载卡巴时在自启动项目里有一项卡巴的启动项目未停掉(图1)！好像这一项是启动卡巴服务的！

看来成功了！

[ 本帖最后由 xdg3669 于 2006-9-7 07:39 PM 编辑 ]

xdg3669 · 发表于 2006-9-7 21:05:43

经测试syscheck(1.0.0.28），没有任何监视，没有杀软，点ok后重启，用正常模式，安全模式均再次出现蓝屏信息！只有用最后一次正确配置可以启动！

备份信息及服务注册表在附件。

xdg3669 · 发表于 2006-9-7 23:00:07

测试试过#1603楼的syscheck，快速净化后不会蓝屏！比较正常！装回卡巴时在还原禁用的服务.bat多了一行

Rem 服务 AVP 键值受保护,请检测是否是木马！

能正常上网！但在设备管理器中有许多地方出现了黃色叹号！

禁用的服务：

sc config "Adobe LM Service" start= DEMAND
sc config "ALCXWDM" start= DEMAND
sc config "AmdK8" start= system
Rem 服务 AVP 键值受保护,请检测是否是木马
sc config "gameenum" start= DEMAND
sc config "Gpc" start= DEMAND
sc config "HidUsb" start= AUTO
sc config "ialm" start= DEMAND
sc config "Imapi" start= system
sc config "intelppm" start= DEMAND
sc config "Ip6Fw" start= DEMAND
sc config "kbdhid" start= system
sc config "mouhid" start= DEMAND
sc config "mssmbios" start= DEMAND
sc config "ms_mpu401" start= DEMAND
sc config "npkcrypt" start= AUTO
sc config "nv" start= DEMAND
sc config "NwlnkFlt" start= DEMAND
sc config "NwlnkFwd" start= DEMAND
sc config "ose" start= DEMAND
sc config "Processor" start= system
sc config "RDPCDD" start= system
sc config "rdpdr" start= DEMAND
sc config "TermDD" start= system
sc config "USBCCGP" start= DEMAND
sc config "USBOHCI" start= DEMAND

[ 本帖最后由 xdg3669 于 2006-9-8 05:41 PM 编辑 ]

xdg3669 · 发表于 2006-9-8 09:14:56

2. 重启后鼠标无法操作，有些不便。但不知道Windows为什么即插即用此时不生效了，不能再次自动检测到鼠标？

--------------------------------------------------------------------------------------------------------------------------

这个问题我猜测可能是syscheck2禁用到了部分硬件驱动服务，从重启后的设备管理器的叹号应该知道了部分硬件此时不能准确识别。好像c光驱. 处理器.声音部分等。如果是这样的话，不还原禁用的服务前,可能兼容性就很难了！

[ 本帖最后由 xdg3669 于 2006-9-8 10:43 AM 编辑 ]

xdg3669 · 发表于 2006-9-8 17:46:32

原帖由 longwang 于 2006-9-8 11:04 AM 发表
to wang6071：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot键值下有系统默认安全的驱动组，其实就是安全模式的驱动组，不知有没有参考意义。当然也有木马加入了该健下。禁用项可以考虑排除它 ...

分为最小启动和带网络连接,且是本机的！好东西。

xdg3669 · 发表于 2006-9-9 09:14:00

经测试#1621楼和#1627楼的sysckeck2,

1、在我的xp sp2机上没有6618的哪两情况；

2、#1621楼和#1627楼的sysckeck2生成两个禁用的服务对比，#1627楼的没有禁用到系统加载的部分。

3、用#1621楼的和syscheck(1.0.0.28)生成的禁用的服务.bat对比，两个文件相同。

4、用“启动备份.reg”恢复的启动项在Msconfig观看重复了。但能彻底恢复。

其他生成的文件都相同。

xdg3669 · 发表于 2006-9-10 19:20:09

原帖由 小木头 于 2006-9-10 07:18 PM 发表

测试了一下发现不能随系统自动转换。我的系统在F盘，可监视目录被设在C盘。

不会转换？自己转！确实是大虾！

感觉起来：

1、WINPOOCH支持当前路径的通配符和全路径的通配符，可以监视到整台电脑，无法建立规则中的文件或文件夹！增强防护效果相当好。文件真正无法写入！

2、SSM对于保护系统程序、软件做得较好，它采用MD5值校验，但也是交互操作较强！

[ 本帖最后由 xdg3669 于 2006-9-10 07:40 PM 编辑 ]

xdg3669 · 发表于 2006-9-11 07:57:22

给系统安全盾提个建议：

系统安全盾目前的黑名单中的文件随着时间推移势必会越增越多，给安全盾的防护效率带来一定的影响，同时也是在走杀软的老路－－跟在病毒、木马、黑客的屁股后面转的被动防御！虽然通过自定义目录可以阻止所有文件的生成，但安装软件的时候又不得不把关掉，只开着黑名单监视，如果不更新黑名单文件，很多新的垃圾就会进入系统，这样就像杀软一样不断更新病毒库！能不能把被动防御变成主动防御（嘿嘿，现在杀软界谈论热点）呢？我认为有几方面：

1、加强在系统目录和黑名单目录中的文件生成的禁止。使黑客、木马在规则中的文件夹根本无法生成文件。

2、设置规则只允许系统目录windows/winnt中系统程序或者确认程序执行，其他程序不能执行，这样就算装进了系统也无法执行！是垃圾一堆。

3、采取特征值验证或其他的办法（像SSM或卡巴一样），验证系统进程、系统程序锁定系统进程、系统程序，防止黑客、木马更改系统进程ID，注入系统进程，植入系统的执行文件exe、链接库文件dll。

4、同现在的注册表监视一起构成安全网防止从服务、自启动项启动。

全方位防御！这样装进系统的文件就是垃圾了。以上建议不知是否正确，请大家指正！！！

[ 本帖最后由 xdg3669 于 2006-9-11 12:12 PM 编辑 ]

xdg3669 · 发表于 2006-9-12 08:56:38

用syscheck快速净化就行了！或者往前面找找，红叶提供有一个恢复分区正常的清册表清理！

[ 本帖最后由 xdg3669 于 2006-9-12 08:58 AM 编辑 ]

xdg3669 · 发表于 2006-9-12 12:03:14

原帖由 uime 于 2006-9-12 11:17 AM 发表
系统安全盾
初次接触这个软件，希望能全面防止木马
在文件监视中，监视级别－－用黑名单完全匹配，是不是黑名单中的文件不能被创建？与自定义目录没有关系？
如果用自定义目录的话，是根据自定义的目录来监视文 ...

多多看看用法帮助－－说明。再提问！

xdg3669 · 发表于 2006-9-12 12:58:31

原帖由 wang6071 于 2006-9-12 12:10 PM 发表
安全盾1.32更新:

可以完全取消黑名单了,目前仅在自定义监视中保留起作用,所以黑名单可以不必做得很多了。（个人住荐完全不使用黑名单，监视级别使用自定义设置，通过设定目录的规则来过滤）

不管哪种监 ...

祝贺！安全盾进入了一个新的里程碑！

测试：

我在windows内建立文件夹xdg3669,选择安全盾中选择不信任程序安装，然后把图1中复制到xdg3669中，安全盾弹出提示：

安装25.com到。。。。选择“同意安装”

再弹出：安装3721.exe到。。。。选择“同意安装”

再弹出：安装12345.exe到。。。。。选择“终止安装”

然后xdg3669文件夹内除25.com、3721.exe外其他文件全部删除，见图2。不会删除所同意安装的文件或文件夹。

点安全盾恢复监视弹出图3,点确定后出现图4情况。这时只有终止安全盾重启才正常。

[ 本帖最后由 xdg3669 于 2006-9-12 01:55 PM 编辑 ]

xdg3669 · 发表于 2006-9-12 18:00:05

　哇，如此，那些杀软不就真的要下课了吗？

　　想想就兴奋。　　... 　　

唉，不知能否实现，期待中。

哈哈。。。。。除非在电脑出现之前？？？？！！！！

[ 本帖最后由 xdg3669 于 2006-9-12 06:02 PM 编辑 ]

xdg3669 · 发表于 2006-9-12 21:02:07

用 #1687楼的附件测试的在windows文件夹及其子目录生成新的文件均能弹出提示并能正常删除！但在Program Files下没有什么提示！（用自解压文件，里面包含有执行文件，但没有往注册表写注册信息。就像复制文件一样！）

[ 本帖最后由 xdg3669 于 2006-9-12 09:17 PM 编辑 ]

xdg3669 · 发表于 2006-9-13 07:40:18

支持和理解Wangsea！毕竟是Wangsea的一番心血！也为了软件的更好的发展！但一定是正规的！别再警匪一家！到时候就是又是一巨大损失了！

xdg3669 · 发表于 2006-9-14 11:31:51

原帖由 longwang 于 2006-9-14 11:13 AM 发表

从写保护的U盘中运行syscheck，多数机子也会出现写保护提示，需要按三次忽略，有的不会，而办公室的2000server反而不会出现提示。

在启用快速净化时要看提示！把所有其他杀软、监视关掉！

还有syscheck(1.0.0.30)加颜色后，查看进程效率太低了！特别对于中毒较深的机子，应该会更慢！一般是看前面几个系统进程有没有其他模块就行了，最后一个svchost.exe之后的进程卡喀掉，无非就看几个进程了！这样效率会高很多！

[ 本帖最后由 xdg3669 于 2006-9-14 12:22 PM 编辑 ]

xdg3669 · 发表于 2006-9-14 17:10:57

增加提示这种东西，一方面导致增大程序的大小！二方面鼠标动到地方不断检测影响软件运行的效率。三方面鼠标动到的地方总弹出一大堆东西，烦人！！！

[ 本帖最后由 xdg3669 于 2006-9-14 05:12 PM 编辑 ]

xdg3669 · 发表于 2006-9-14 18:23:40

禁止写入是采用：只读＋ntfs权限但是现在已经有流氓软件已经突破了这个限制！像cnnic!

xdg3669 · 发表于 2006-9-14 20:17:02

另外，建议加入密码保护。防止别人随意修改防护规则。这样，在公司或公共场合用安全盾就不会被别人随意修改规则了。

好是好！但其他人一样可以停止它！

顺便说一下winpooch最大的弱点，winpooch只对本机上的操作者有效，winpooch的所有规则对网络用户来说无效，通过网上邻居能写入所有winpooch的所有阻规则，所以建议大家不要用winpooch！

你所设置规则问题！不能说winpooch不好！通过网上邻居能写入所有winpooch的所有阻规则？？？？

[ 本帖最后由 xdg3669 于 2006-9-14 08:20 PM 编辑 ]

xdg3669 · 发表于 2006-9-14 23:44:26

将快速净化中的禁用第三方服务的功能去除.

复制代码

这会不会影响快速净化　的效果？许多木马都启动服务！如果在快速净化之前不关掉木马的服务，许多注册表、文件能删除吗？

xdg3669 · 发表于 2006-9-15 13:57:37

原帖由 wang6071 于 2006-9-15 12:20 PM 发表
自定义列表太复杂了,需浪费很多时间与精力搞这个"可能"有用的东西,sfc,sigverif有用吗?有几个人修复系统时用过?Ms本身的校验功能又用了多少呢?

气泡提示无助于软件功能提高,界面做得再好功能一包草有 ...

支持wangsea朋友！

我提个建议:

与其取消了禁用服务列表，不如仍然导出禁用服务列表.bat,然后在退出快速净化之前提示用户[/Size]检查禁用服务列表.bat，选择还原部分禁用服务列表.bat，毕竟禁用服务列表.bat无非区区几行，比系统服务列表简单！

快速净化之结束前导致来不及更改禁用服务列表.bat，就自动重启，不一定是禁用服务导致吧？它跟用户不正确操作有很大关系。如没有先停止杀毒软件或者监视工具都有可能！

搞得五颜六色的，看到眼都花了——取实用功能，去花俏的东东。

对！:lol:lol

[ 本帖最后由 xdg3669 于 2006-9-15 02:02 PM 编辑 ]

xdg3669 · 发表于 2006-9-15 20:49:00

winpooch规则好像分先后顺序的不能调错！

xdg3669 · 发表于 2006-9-16 21:42:13

wangsea ：难为他了，可能只有在组策略里找得到！

xdg3669 · 发表于 2006-9-17 18:04:33

采取与某硬件同名的服务名,也就是自我限制在某些系统中不安装

试问有哪个黑客、木马如此笨？自我限制自己？也许。。。。

[ 本帖最后由 xdg3669 于 2006-9-17 06:07 PM 编辑 ]

		自动登录	找回密码
密码			注册