[sysshield]系统安全盾

wang6071 · 发表于 2005-8-22 12:20:01

[UploadFile=1_1124684324.rar][UploadFile=2_1124684335.rar]
所有因为重启后有问题的兄弟,请下载这个延时5秒后启动的主程序替换原程序试一试.

wang6071 · 发表于 2005-8-22 23:08:07

[这个贴子最后由wang6071在 2005/08/22 11:19pm 第 2 次编辑]

下面引用由emca在 2005/08/22 08:25pm 发表的内容：
壮着胆试了一下，选择引导时加载，结果又不能登录了！安全模式也不行。奇怪的是，我把程序目录名改掉也仍然如此。反复对比排查，找不到其他原因，只要启动时Sysshield加载，不做别的任何事情，都100%不能登录！

真是奇怪呀,偶将设置改为与红叶兄完全一样,如下:
[SysSheild_Filter]
onlymon=*.exe;*.dll;*.inf;*.vbs;*.sys;*.bat;*cmd;
blurring=0-9.exe;0-9.dll;
[SysSheild_PassFile]
[SysSheild_UserDir]
Computer=WANGSEA-QIE2GIW
e:\|a
e:\documents and settings\administrator\local settings\|e
e:\program files\|edb
e:\windows\|edb
经测试,无论是黑名单过滤还是用自定义过滤都没有重启后不能登陆的问题，估计可能是与红叶兄使用某个监测软件相冲突所致．偶的机器的启动项如下：
[RunList]
PHIME2002ASync=E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
KvMonXP=E:\PROGRA~1\KV2005\KVMonXP.kxp /auto
系统安全盾=C:\Tools\syssheild\SysSheild.exe
[UserRun]
ctfmon.exe=E:\WINDOWS\system32\ctfmon.exe
KVFW=E:\Program Files\KVFW\kvfw.exe -silent
[ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972}=
另外，看红叶兄反映的情况，可能是与系统注册表丢失有关(也就说，可能对注册表保存的文件发生了自动删除,与具体过滤设置有关系，但看红叶兄楼上提供的过滤设置又没有可能发生这种情况的过滤），还是请在目录监测中加入一行：
C:\WINDOWS\system32\config\|C
排除注册文件保存目录，再次测试．(别人出现这个问题恐怕就不敢再试了，所以只有请红叶兄再检测一下,以发现问题发生于何处）

wang6071 · 发表于 2005-8-23 23:37:24

[UploadFile=1_1124811080.rar][UploadFile=2_1124811099.rar]
xdg3669兄弟反映的几个参数连用时确实存在BUG,请用上面这个主程序修正它.
推士机兄弟所说的帮助文档问题,暂时未修改,因为程序的结构要做一些调整,说明也会相应的有一些变化.
目前之所以只发主程序未更新全部文档,是想尽量发现一些Bug以修正它.比如说:如果确实存在启动时与某些软件冲突,则可能会取消注册表加载的方式而改用在"启动"菜单中加载的方式.
另外,对注册表部份及文件监视的设置部份也要做一些修改,所以帮助最后写.
请各位兄弟尽量用各种方式试验,以发现存在的问题!

wang6071 · 发表于 2005-8-24 18:39:04

[这个贴子最后由wang6071在 2005/08/24 06:46pm 第 1 次编辑]

xdg3669兄弟,你的问题可能是写的C:\Documents and Settings\目录不符合要求造成的,你是手动写的吧?多一个空格也会认为是不同的目录,所以请用系统提供的目录添加按钮添加目录.
另外,删除的目录名是Document~1,这样的目录名系统认为是与Documents and Settings不相同的目录名,所以你可以在过滤名录中添加这样的目录名c:\Document~1\|e.(简单的方法是,从显示的已删除文件的列表中复制删除文件的目录路径来添加,这样就不会写错了)
因为被系统认为不同的目录名,所以你的此目录定义没有生效,而沿用了它的上级目录的定义
c:\ //不允许创建任何文件
所以会被删除

wang6071 · 发表于 2005-8-24 21:29:10

xdg3669 兄弟，就从你贴的那个图显示的列表中复制路径：
C:\DOCUME~1\ 到添加路径列表中，直接贴上C:\DOCUME~1\|E，然后保存．
偶估计是卡巴的升级文件使用windows兼容的路径方式，而偶的这个软件对此兼容方式的路径未做处理，会认为C:\DOCUME~1 不等同于C:\Documents and Settings,所以会用其上级设置删除它．
所以你手动添加这个路径试一试吧．
至于用了C:\|A仍然会删除未定义的路径下文件，可能是你设置后未重新关闭监视，然后再打开监视测试的原因．你试试c:\|A后在其它目录下新建＼粘贴文件，如果均未删除，说明|A参数起作用了．

wang6071 · 发表于 2005-8-24 22:43:05

[这个贴子最后由wang6071在 2005/08/25 00:47am 第 1 次编辑]

[UploadFile=1_1124894430.jpg]
新做了一个syssheild辅助工具,给大家试试.说明:
单击选项,显示已有的注册表操作选单的内容.
保存:可以直接修改已有的选项内容.(如果改变描述,再改变内容,就是新增啦注意,不必加入Windows Registry Editor Version 5.00头,执行时会动态帮你加的
)
删除:不用多说了吧.
执行:导入显示在最下部的注册表文件.
示例仅加入了一个例子(有时间再加一些如IE恢复,系统菜单恢复之类的东东),大家也可参照着自已加吧.希望您喜欢.
[UploadFile=inreg_1124894580.rar]
传完后才发现标签写错了,例子应该是"恶意网页木马垃圾键值删除"
要做免疫使用,将每行前的-号去掉,就是免疫的了.

wang6071 · 发表于 2005-8-27 18:43:05

[UploadFile=1_1125139221.jpg]
新加入了几个还原,修改注册表的键值,同时修正了一下辅助工具.
[UploadFile=inreg_1125139276.rar]
说明:
允许在显示的内容中用';;';号加入注释.点击执行后自动生成tmp.reg,你可以不执行它,
然后看看生成的tmp.reg是否正确.

wang6071 · 发表于 2005-8-28 18:16:11

下面引用由wang6610在 2005/08/28 01:11pm 发表的内容：
红叶提供的防黑注册表键值、xp系统优化之后进不了系统，点用户名一会又自动注销，再点还是如此循环。

问题出在偶在改写红叶兄第15楼提供的防黑键值中的绝结路径改相对路径是有错误造成的,
比如说:
; 保护系统初始化程序
"Userinit"="E:\\WINDOWS\\system32\\userinit.exe,"
正确的应时(偶忘了改回相对路径)
; 保护系统初始化程序
"%SystemRoot%\\system32\\userinit.exe,"
还有：
;修正和防范启动组位置重定向
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Startup"="%USERPROFILE%\「开始」菜单\程序\启动"
应该是(.reg文件中对应的写法是\\，而非\)：
;修正和防范启动组位置重定向
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Startup"="%USERPROFILE%\\「开始」菜单\\程序\\启动"
[UploadFile=inreg_1125223770.rar]这个是更正了的文件．
小提示：
网上找到某个注册表贴子中提到的reg优化位置，您可以直接贴在显示区，然后直接点执行(不用先保存)就生成了tmp.reg，避免了打开注册表找键值,写键值的辛苦过程．

wang6071 · 发表于 2005-8-28 22:53:25

红叶兄费心了,既然syssheild在注册表中启动存在一些兼容问题,那么干脆放弃在
注册表中的启动方式而改用在[开始]\程序\启动中启动.
下图根据红叶兄建议做的新的监视的界面,大家看看如何?
[UploadFile=1_1125240725.jpg]

wang6071 · 发表于 2005-8-29 21:08:55

[这个贴子最后由wang6071在 2005/08/29 09:30pm 第 1 次编辑]

下面引用由lj858155在 2005/08/29 02:36pm 发表的内容：
不敢用辅助工具了用了没有办法进系统

不知您是否下载的是470楼修正后的inreg,470楼修正后经过偶的win2003系统测试通过了的。
如是是470楼的inreg,可能问题还是出在将绝对路径改相对路径后某些xp版本会出问题(偶不确定)。如果这样的话请暂不要执行其中的"红叶防黑键值选项"。
inreg在新版的sysheid中会加入到一个页面中，所以请大家可能的话检查一下导出的tmp.reg有哪些不对的地方，以便修正它们。(测试前请使用erdnt备份注册表如果是双系统也可以直接复制system32\config文件夹，出问题后在另一个系统中还原回去.如果用erdnt备份过，则用pe光盘启动，执行windows\erdnt\文件夹下的还原工具erdnt.exe即可还原)

wang6071 · 发表于 2005-8-31 00:54:26

下面引用由mzszwh在 2005/08/30 10:24pm 发表的内容：
人工置顶，新版发布了没有？

新版事实上已基本完成,偶想先自检一下有无问题,过几日再发布

wang6071 · 发表于 2005-8-31 12:49:46

[UploadFile=syssheild_1125463479.rar][UploadFile=syssheild_1125463495.rar]
内测版来了,本次修订了自定义的界面(请单击文件路径的相关栏目进行设置,新增与删除请在文件路径设置区用右键)
帮助还没来得写,请暂用原来的帮助(或放一个readme.chm在程序目录下以测试帮助).启动方式改为加快捷方式到程序-启动中
程序运行后将自动检测注册表是否被锁定及exe关联,自动还原它们.(所以取消了用户自定义注册表监视)
请各位兄弟帮忙测试,以便尽早发现Bug.

wang6071 · 发表于 2005-9-1 00:46:35

syssheild 9月1日版已上传到:
http://wangsea.ys168.com
修正了一个显示问题,并重写了readme.chm.请各位兄弟测试.

wang6071 · 发表于 2005-9-1 08:07:08

下面引用由mzszwh在 2005/09/01 01:19am 发表的内容：
为什么添加的目录会是 d\
按帮助所说，新增加目录如果不进行任何规则设定,保持空白的话，结果将是最强的过滤设置，在我新加的目录 d:\\
但我在D盘建了几个文件都不会自动删除

对根目录的处理确实存在一个bug,已处理，请重新下载!

wang6071 · 发表于 2005-9-1 08:09:31

下面引用由emca在 2005/09/01 07:40am 发表的内容：
看来初步完善了，就收录到深山红叶PEV21中供大家共享吧：）

　谢谢红叶兄对软件的看重，但还是等几天以解决一些显见的bug再收录吧．

wang6071 · 发表于 2005-9-1 18:43:02

[这个贴子最后由wang6071在 2005/09/01 07:23pm 第 1 次编辑]

下面引用由xdg3669在 2005/09/01 05:15pm 发表的内容：
Wang兄：
1、你的系统安全盾好象没有对所有启动项目进行监视？启动监视是否参考WINpatrol plus？
2、你的帮助对自定义目录设置好象说得不太明确！下图中设置意义是本目录及子目录都不能建任何文件吗？
...

关于上图的问题是初始值未校验大小写造成的,所以显示与执行的结果是不一样的.如果您亲自定而不是采用默认定义,可能不会发现这个Bug.偶早上发现并修改了,但因中午在外面,所以未及时更新.
各位兄弟可以重新下载,或直接用下面提供的主程序替换一下.
[UploadFile=1_1125571083.rar][UploadFile=2_1125571097.rar]
关于
1、你的系统安全盾好象没有对所有启动项目进行监视？启动监视是否参考WINpatrol plus？
系统安全盾只对注册表的启动项目进行了监视,应该不会有漏的地方,如果您发现有漏掉的键值请提醒偶哦.
本程序未参照winpatrol,全凭本论的兄弟共同修正打照出来的.:)
关于 2可能参照先前的说明,用记事本打开Filter.dat对照看一下.帮助中的说明及图示是正确的,您的贴图正是我这楼更正的一个Bug!
关于 3,因为我们要做的是防御而不是查杀，所以对系统已有的进程是不会处理的．因为合理配置文件监视后中招的机会将大大减少．比如不更新系统时可以禁止windos\下创建dll,exe,src等.而在要更新或更新失败后关闭文件监视,再次更新一下.

wang6071 · 发表于 2005-9-1 23:29:26

下面引用由xdg3669在 2005/09/01 10:10pm 发表的内容：
作为Winpatrol的长处是启动和服务项做得较好！缺点是每有变动总是提问！
同时我对安全盾的模糊过滤不是怎了解：0—9.exe、0-9.dll 能过滤下列几个文件？我在C:\启用模糊过滤没起作用！一个也没删！
23.dll
25.ex ...

谢谢xdg3669的测试,同时偶也会下载winpatrol学习一下.
关于模糊过滤是这样的:
首先在文件监视页中:监视级别得选择[自定义目录过滤]
其次,你需要模仿安装程序的过程.以上例来说,首先得在未监视的磁盘或目录创建测试文件((比如在d:\test\下创建23.dll等),然后可以手动复制到c:\以测试c:\的模糊过滤.
(也可以用rar打包,让它解压到c:\来测试).
其实对根目录更安全的做法不是设置模糊过滤,而是采用所有选项全打X,表示c:\根目录下不允许创建任何文件.
另外,补充一点说明:
如果已经在自定义过滤选项下去定义目录或改变一些设置后,不必点保存再点应用,直接点应用就同时保存并生效了.
添加目录后设置后,最好在其它单元格点击一下再保存或应用,防止选项变成空白.

wang6071 · 发表于 2005-9-1 23:39:13

下面引用由emca在 2005/09/01 08:36pm 发表的内容：
1、能够荣幸地在PE光盘中收录这个好工具，是大家的幸福；目前已经初步可用，就应当让更多的人了解它，因此不能再等了，光盘已经在9月1日给兄弟们共享了；
2、等基本功能成熟后，可以考虑引入“安全模型”的概念　...

谢谢长期以来红叶兄对软件的规划与指导,关于"安全模型"原本考虑过(所以监视级别做成了下拉选框),但后来考虑到众口难调,且各兄弟的机子安装的文件不一样,对临时文件的位置不好保握,所以仅提供了基本目录的黑名单过滤.要做成"安全模型"还得细细考虑一下如何定义基本目录及权限的问题.
在目录保护路径的确定上，程序内部可以读取系统环境变量或相关函数，以免象目前那样又是C:盘又是E:盘大家不能统一。
其实提供的基本文件监视路径已经是根据不同的系统自动生成的了,但如果采用%system%的表示方法又怕把一些对环境变量不太了解的兄弟弄糊,所以没有这么做.其实,对于熟悉系统的兄弟来说,直接更改filter.dat中的路径及设置也许更适合一些.

wang6071 · 发表于 2005-9-4 09:44:59

[这个贴子最后由wang6071在 2005/09/04 09:55am 第 1 次编辑]

to xdg3669:
  1、在启动主界面时增加密码保护，防止其他人随便更改设置，毕竟关系到系统的安全！
  原来没想把软件做得太复杂,所以未考虑过加密码,并且加密码好别人也可以直接删除软件,好象没多大意思.
  2、在启动项方面增加选择项如：锁定、询问、全部放行
  这是个易用性的问题,当初设想是直接Del掉所有新增的启动组的东西,因为这些项目都可在直接启动相应的项目,而不一并非要在系统启动时启动(比如QQ等).而用提示的方法可能会让一些多电脑不太熟悉的朋友在面对选择是不知所措(比如一些菜鸟在面对网页插件安装时就一律选"是").
  3、目前发现了一个问题：假如如用软件（如微软的磁盘检查、Windows优化大师的磁盘医生、Winpm）对硬盘进行检查错误、除错扫描要对硬盘读写并产生脚本需要重启的话，如忘记提前停止安全盾，系统重启过程中提示硬件错误无法进入系统！不知是删了脚本还是禁了启动项！
如果是删除了某个启动项,应该可以看到syssheild跳出的删除子窗口,应该可以看到被删除的键值(偶试了在黑名单方式下未出现这个问题),如果是删除了文件(具体与您的设置有关,请在运行此类程序后要求重启前打开文件监视页,查看一下到底是删除哪个文件,然后将此文件名添加到免检文件中,应该可以解决这个问题.偶没有重现这个故障,所以无法找到这个文件名,请xdg3669兄弟给观察一下,以便将此文件名预置在软件的初始名单中).
to emca:
  发现缩放窗口时其中的控件大小位置有些错乱，请Wang兄注意修改一下控件的属性。
  新版的syssheild确实做成了窗口最大化而避免控件位置自动缩放时出现的问题，应该是不能改变大小的了．不知红叶兄所说的是何种分辨率下（何种Dpi)下显示的问题?

wang6071 · 发表于 2005-9-5 02:10:26

下面引用由lj858155在 2005/09/05 00:47am 发表的内容：
1600 1200下最大化要被郁闷死我的笔记本高分频只能用1600 1200 希望能缩小一些谢谢

[UploadFile=1_1125857327.rar][UploadFile=2_1125857340.rar]
这个是可调大小的主程序，试试在你的笔记本上显示如何

wang6071 · 发表于 2005-9-5 20:23:02

[UploadFile=1_1125922842.rar][UploadFile=2_1125922852.rar]
小调整一下:
1:自动删除注册表新增键值时弹出报告窗口延时至10秒
2:文件监视设置中的路径列表的列调整为可手动拖动改变列宽.

wang6071 · 发表于 2005-9-5 22:13:41

to xubo1971 :
主程序窗口不能移动,是因为使用了程序窗体屏幕居中(因为要适应不同分辨率),改为可移动的在不同分辨率下显示的位置出入很大（当然也可在程序中计算位置，不过好象没太大的必要．)
有的进程不能显示路径是因为这类进程是通过服务启动的，要显示路径只能从注册表中读出其路径，实现起来不难，只是有些烦琐:)
对常见的进程显示简要说明,这个要求有点难．如果是系统服务还好，从注册表中可读出其描述，其它的就不好办了．

wang6071 · 发表于 2005-9-6 12:47:15

下面引用由mzszwh在 2005/09/06 09:38am 发表的内容：
windows2003应用问题重启后全部目录设置变为空

您一定使用了早期的版本!请更新一下主程序.

wang6071 · 发表于 2005-9-7 12:54:19

下面引用由mzszwh在 2005/09/07 00:23am 发表的内容：
0901版不算很老吧？

to mzszwh兄弟:
0901不算很老,但这一版更正过几次,因为都是当天更正,所以都命名为0901版,只是在其后注明了修复哪一个问题.
同时,一般在本贴中的小修正短期内并未更新http://wangsea.ys168.com上发布的程序.都是过几日后看看没有大的BUG了,再更正http://wangsea.ys168.com的程序.

wang6071 · 发表于 2005-9-7 21:42:13

下面引用由emca在 2005/09/07 02:26pm 发表的内容：
好啊，越来越成熟了！
以后可以适当考虑一下在功能上添加“修改”的防护功能，而目前只有“写入”防护功能。相信Wangsea兄弟有了前期这么长时期的经验积累，再扩展起来也应当比当初容易得多！
我们有理由相信，　...

其实对文件的"修改"是可以截获的,偶只是在监控时屏蔽了这一部份.因为还没考虑好要如何使用这个功能.:)
今天研究了一下系统服务,做了一个syssheild的系统服务查看器
[UploadFile=1_1126100495.jpg]
请各位兄弟试用.[UploadFile=servers_1126100528.rar]

wang6071 · 发表于 2005-9-8 23:21:13

谢谢各位的建议,偶会考虑实施地,目前进展缓慢:
仅解决了分出系统本身的服务的问题,见下图
[UploadFile=1_1126192450.jpg]
强行关闭某个服务功能原本就有,用"超强杀进程"功能可以强行关闭一切服务.
关于设置一个恢复系统默认设置的功能应该好实现,导出注册表部份加到inreg中就有了这个功能了.
其它功能慢慢实现它.

wang6071 · 发表于 2005-9-10 15:19:30

syssheild 9月10日主程序更新,请各位兄弟更新测试:
1:主窗口标题条拖动允许,可以移动位置了.
2:随机退出码减为1-2位.
3:进程更新:
  a:非系统进程及服务以红色显示,系统本身服务与进程为黑色.更表中显示系统中加载的所有进程.若此进程是服务的话,则看b说明.
  b:过滤掉系统的重要服务(不过滤的话,可能某些兄弟不知道该杀哪些进程与服务,哪些进程与服务不能杀),现在列表中显示的每一个进程都可安全杀除.使有其来也清析了些.
  可能有兄弟要问,过滤掉的服务如果被恶意替换了怎么办.不必担心,程序采用了一种判别方法(当然得保密,说出来本方法就失效了:) ),即使是与系统同名的进程与服务,也可鉴别出来.当发现不是系统服务时会显示它.
  c:只保留一个杀进程与服务的按钮.
[UploadFile=1_1126336730.rar][UploadFile=2_1126336741.rar]
效果见下图
[UploadFile=1_1126336766.jpg]

wang6071 · 发表于 2005-9-10 21:22:54

下面引用由xdg3669在 2005/09/10 08:36pm 发表的内容：
退出确认框就没必要搞最大化了！服务项能否单列？锁定？

退出框最大化按钮已取消
不准备单独给出页面来显示或设置服务项,因为考虑很多菜鸟一看到那么一堆列表头就昏,所以就不提供这个页面的设置或改变服务了.且偶认为没多大必要,我们要做的是简化并安全地操作.现在楼上给出的进程(含服务)显示页已经可以方便地杀死外部进程与服务,杀毒与防黑已经比较方便了(比如说通过杀死大部份进程,只保留杀毒软件进程,则不会再有清除不了的程序出现了,也不用再进什么安全模式杀毒了)
服务项的新增(锁定)将弹出一个对话框以确认是否是用户允许的新增(正在编写中,已外理完监测部份,等完成了一并提供)

wang6071 · 发表于 2005-9-11 12:13:50

下面引用由lj858155在 2005/09/11 01:28am 发表的内容：
怎么还有不能显示路径的请全部加上谢谢
软件已经很不错了谢谢

事实上要显示进程中服务的路径有点困难,因为服务启动了哪些程序是无法得知的,所以许多软件对此都是单独给出服务页来解决问题.
根据各兄弟的要求,用查表法查出进程中服务的路径,作为一个参考吧.(因为查表法查出的路径是服务中获取的,所以有一点不足,某些系统进程依然无法获取路径.原因见上面所说),但绝大多数的外部服务应该可以显示出路径来(比如lj858155贴图中的几个服务),请大家测试.

[UploadFile=1_1126411986.rar][UploadFile=2_1126411997.rar]

wang6071 · 发表于 2005-9-11 17:12:58

[这个贴子最后由wang6071在 2005/09/11 05:28pm 第 4 次编辑]

syssheild现在添加了系统服务新增监视.当syssheild发现系统中有新增服务时,弹出如
下对话框:
[UploadFile=1_1126430838.jpg]
如果30秒内不操作或点击确定,表示用户认可这个新增的服务.
如果点击取消,则会尝试关闭并删除新增的服务.
用下面提供的主程序替换掉原来的主程序,注意:
如果你原来的syssheild选项<锁定启动组>是勾选了的,请在运行新的syssheild前取消
这个选择.或者关闭syssheild,然后删除程序目录下的yousrset.ini.
一定要做这个操作,因为这样程序才能初始化时记录你的机器上已有的服务,否则就会跳
出上图的对话框让您一个一个地确认您机器上已有的服务.
为了避免误选造成删除本机的服务项,请在测试前备份好注册表.
下面是新版的主程序:
[UploadFile=3_1126430887.rar][UploadFile=4_1126430899.rar]

		自动登录	找回密码
密码			注册