[sysshield]系统安全盾

老毛桃

今天没有出现蓝屏现象，我开机后去倒了杯水，又等了几分钟，才选择退出安全盾，结果正常。

怀疑应该是时间差的问题。

wang6071

原帖由 老毛桃 于 2006-6-5 09:27 PM 发表
今天没有出现蓝屏现象，我开机后去倒了杯水，又等了几分钟，才选择退出安全盾，结果正常。

怀疑应该是时间差的问题。

那就研究一下最后几个服务,至您退出安全盾运行了多少时间,慢慢减少这段时间.看能否定位到特定的服务事件上.

chujiafu

请教Wang兄：我的系统在C:盘，在“文件监控设置”选项卡下，按照你的使用说明中的把C:\的后所有项都打了“×”，意思是禁止在C:\根目录下创建任何文件，应用设置后，我随即在C:\下新建了一个文本文件，但是系统安全盾却没有任何操作或提示。是我作用不当吗？

wang6071

原帖由 chujiafu 于 2006-6-8 07:41 AM 发表
请教Wang兄：我的系统在C:盘，在“文件监控设置”选项卡下，按照你的使用说明中的把C:\的后所有项都打了“×”，意思是禁止在C:\根目录下创建任何文件，应用设置后，我随即在C:\下新建了一个文本文件，但是系统安 ...

1:可能你需要点击一下应用设置

2:未见效果,可能需要在刷新一下显示.(资源管理器中用右键选刷新).安全盾删除文件不提示用户,在文件监控页去看 已删文件 .

chujiafu

Re Wang兄：

①已点击“应用设置”；
②在文件监控页里无删除文件。

wang6071

原帖由 chujiafu 于 2006-6-10 09:25 AM 发表
Re Wang兄：

①已点击“应用设置”；
②在文件监控页里无删除文件。

点应用设置后,如果文件监视页的监视级别不是"自定义目录过滤",请选择为"自定义目录过滤"
另外:点应用设置后会清空文件监视页的"已删文件".所以,要看效果的话再次到你的C盘根目录下去"新建文件".然后刷新(是资源管理器的问题，所以要刷新一下看)或直接到文件监视页去看"已删文件"的记录．

chujiafu

多谢Wang 兄及时回复。按照你的指点，我把“文件监控”选项卡下的监视级别改为“自定义目录过滤”就行了。

ctsren

经典的贴子，顶上去！

wang6071

发现了一个小bug,所以又更新了一下.
http://wangsea.ys168.com  下载 6月12版即可

老毛桃

原帖由 wang6071 于 2006-6-12 21:49 发表
发现了一个小bug,所以又更新了一下.
http://wangsea.ys168.com  下载 6月12版即可

啊？新的出来了吗？我要下来看看。

奇怪，前几天没有了那种怪怪的蓝屏。

wang6071

原帖由 老毛桃 于 2006-6-12 10:12 PM 发表

啊？新的出来了吗？我要下来看看。

奇怪，前几天没有了那种怪怪的蓝屏。

会不会是内存不稳或cpu接触不良造成的?前几日我的系统也不稳定,每天都要不定时重启1-2次,我还怀疑是sysshield驱动的问题，但其它机器又无问题．最后我将所有硬件大卸八块，全部清洁了一遍，近一周拷机再没出现故障．

老毛桃

原帖由 wang6071 于 2006-6-13 00:18 发表


会不会是内存不稳或cpu接触不良造成的?前几日我的系统也不稳定,每天都要不定时重启1-2次,我还怀疑是sysshield驱动的问题，但其它机器又无问题．最后我将所有硬件大卸八块，全部清洁了一遍，近一周拷机再没出现 ...

也许吧，但我最近并没有对电脑硬件做什么动作，公司的电脑嘛！

倒挺奇怪，再看看说罢

xdg3669

原帖由 wang6071 于 2006-6-12 09:49 PM 发表
发现了一个小bug,所以又更新了一下.
http://wangsea.ys168.com  下载 6月12版即可

谢谢，谢谢！更加完善！

sunkist

不顶不行！！我顶顶顶顶顶
谢谢。。

wang6071

安全盾及sycheck都有一些小修改，在http://wangsea.ys168.com

xubo1971

最近安全盾及sycheck都更新得较快啊。
问一句题外话，大家与安全盾配合使用的监视软件安装的软件是什么？安装软件时要暂停安全盾，因此必须配合其他监视工具，用以监视软件安装和卸载。

wang6071

原帖由 xubo1971 于 2006-6-18 09:47 AM 发表
最近安全盾及sycheck都更新得较快啊。
问一句题外话，大家与安全盾配合使用的监视软件安装的软件是什么？安装软件时要暂停安全盾，因此必须配合其他监视工具，用以监视软件安装和卸载。

1:一个杀软还是要的,因为如果是感染性的病毒而不是木马,则安全盾是没办法防住的.
所以偶还是装了一个kv2005.
2:一般较小的较件都可不停用安全盾试安装运行一下是否安装成功．如果不能运行,打开安全盾看看是否删除了部份文件,分析一下文件名,只要不是很奇怪的文件名,就关闭监测重新再安装一次即可.
3:如果文件比较大,估计也不会是什么木马,可等待安装界面出来后再退出安全盾(主要是预防一下是否被捆绑).

以上是个人安装程序一点心得，供你参考．

同时,syscheck本日又更新了一下，请以前不能正常运行syschek的兄弟测试一下这次的两种版本是否都能正常运行．

xubo1971

wang6071兄，你的使用心得应该很实用，谢谢！
以前用syscheck主要是在一些较新的机子上不能正常运行，我有机会到别人的机子上试试。 请问一下，为何有时候在syscheck的服务函数栏目下可以看见很多函数，有时候却一个也没有，甚至于本来可以看见一些函数，其中有几个函数被Hook了，可是在安装一个软件以后，在服务函数栏目下就什么也没有了。

wang6071

原帖由 xubo1971 于 2006-6-19 12:25 PM 发表
wang6071兄，你的使用心得应该很实用，谢谢！
以前用syscheck主要是在一些较新的机子上不能正常运行，我有机会到别人的机子上试试。 请问一下，为何有时候在syscheck的服务函数栏目下可以看见很多函数，有时候却 ...

用以前的版本存在一定的兼容性问题,所以可能出现你所说的现象.你用最新的
反黑辅助0618版17:21版试试还有没有这个现象.

chujiafu

好多非法网页在C:的根目录下建立以$为头的文件夹，安全盾能不能过滤以$为头的文件夹？

pyqkgd

版本:0618
OS: XP_SP2

BUG:  点开端口查看,自动刷新3-8后程序无响应

wang6071

好多非法网页在C:的根目录下建立以$为头的文件夹，安全盾能不能过滤以$为头的文件夹？
---------------------------
这个功能实现了价值也不大,比如现在的病毒"敲诈者"要建一个隐藏文件名来Move用户的doc等文件．假设安全盾有一个不允许新建文件夹，发现就删除的功能，如果其所建文件夹名（难保以后不会以$开头）的规则定义相符，如一删除即会出现用户数据彻底丢失现象．
所以对于文件夹还是不做要求的好，定期清理一下吧．

to   pyqkgd:
　BUG:  点开端口查看,自动刷新3-8后程序无响应
   你说的是syscheck的在您机器上的兼容问题估计不太好解决．因为这部份我还没找到稳定的解决方案．

xubinfly

请教王兄,上次我发贴请教关于Syscheck在我的机器上一运行就重启的问题,王兄回答可能是amd的cpu问题,我无法解决也就这样认为了.今天无意发现禁用PAE模式就解决了.(multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
这行代码，将其中的程序代码/noexecute=optin改成/execute=optin),我是因为VPc  无法运行,才知道的.可是运行后  Syschec不太正常,k'服务管理'出现'打开服务主健失败,无法DUMP','服务函数'项无法显示,这是怎么回事?王兄能否解惑,谢谢.还有禁用pae有影响吗?

xubo1971

用最新的反黑辅助（0618版），在一台SIS651＋P4 1.8G机子上仍然无法显示服务函数。在我自己的机子上现在都可以显示。

wang6071

关于服务函数不显是因为:
   不能支持x86-64操作系统,不支持:Win2003 SP1及其后版本.
   对于Windows XP SP2,则不支持使用PAE摸式的AMD64系统.
这是因为微软在这些版本中禁用了用户态进入Ring0的原因.

至于"打开服务主健失败,无法DUMP",是syscheck将注册表的服务键Dump成文件放到监时目录下再读入与实际读到的注册表中的服务键比较(使用该方法是为了防止应用程序中注册表隐藏了一定的服务键),无法Dump出可能的原因:
1:监时目录不可写;
2:调用dump出注册键的函数被禁用;
3:权限不足.

lcr

谢谢wang6071 出这么好的dd，我一直在用，希望不断改进，相信你能做的更好...

xubo1971

这几天我试用了一些软件，最开始反黑辅助0618版可以正常运行，后来就不能显示服务函数了，包括反黑辅助0625版，今天再试了一下，居然又可以了。我的机子是图拉丁赛扬1.2G＋512MB RAM＋TNT2/M64，主板芯片组是815ET，OS是WinXP Sp2 Vol。应该是反黑辅助和有些软件有冲突吧。

wang6071

安全盾6月28日更新,修复<暂停监视>然后重新<启动监视>会丢失几项注册表监视项目的错误.
可以用下面附件更新替换安全盾安装目录下的同名文件

也可以下载到偶的空间http://free5.ys168.com/index.aspx?wangsea下载完整版本.

to xubo1971
     要完全解决<反黑辅助>服务函数兼容问题,可能需要一段时间,主要与其采用的方法有关系.该方法可能存在兼容问题.需要查找,研究新的办法来解决它.

wang6071

反黑辅助syscheck更新了，顺手再附上使用说明,请以前服务函数页显示不正常的兄弟测试．

yscheck 反黑辅助说明:

   红色显示的是非系统的进程或文件，在各个管理页均可尝试选择后右键，有定位文件弹出菜单的，都可定位到该文件所在的位置。

   1：进程管理页

   syscheck允许你中止包括系统进程在内的所有进程，但不推荐你去中止第一个svchost.exe前的进程(包括第一个svchost.exe)。这样做的后果可能是导致系统重启或无法关机。

   syscheck的进程管理页可列出win32级的隐藏进程，但不会特别标注它。对于此类隐藏进程所隐藏的目录，通过右键<定位文件>可直接进入其隐藏的目录。

   现在很多程序通过注册全局钩子，注入系统进程Explorer.exe工作，你可以查看Explorer.exe的进程模块中红色显示的外部程序，以确定红色显示的模块是否都是你需要的。

   一般来说，如果某个dll无法删除，一是该dll被某个进程加载；二是注入到了explorer中；三是进程之间互相监视。所以，对某个删除不了的dll文件，可以采用批量结束进程的方式（不会判断就选择 explorer.exe+其它的红色进程）。

   由于进程的模块可能在进程使用中，所以卸载模块可能造成该进程的崩溃。这也是另一种杀进程的方式。

   2：服务管理页

   要注意的还是红色显示的内容，通过右键菜单选择查看该文件的属性，可以方便地找到第三方的服务程序。中止服务功能是仅在系统重启前中止服务，并不是永久性的中止服务。而删除服务则是删除服务键值(不提供删除前的保存。所以，要删除你得自已去确定是否真要这么做)。

   值得注意的是，某些服务是无法中止或删除的(比如划词搜索的驱动服务)。因为其自身可能采用了注册表键值的保护。对付这类服务，要使用服务函数页中的ssdt恢复功能，才能删除其键值。

  3:服务函数

  还是以划词搜索为例(因为它的驱动交叉保护，自身的卸载与其它的卸载工具都不能删除hcalway.sys及abhcop.sys.sys文件，且卸载后这两个驱动还在运行中)，它的驱动采用注册表HOOK及文件HOOK，所以，你无法直接删除。Icesword也不能直接删除这两个文件(不信你在IcesWord中删除这两个文件后再刷新看一下。不过Icesword中可以在它的注册表工具中手动找到其服务项删除，然后重启，再删除这两个文件就可以了)。
  
  对付这样的系统底层驱动，可在服务函数中找到其驱动文件（注意红色显示的内容，结合右键定位判断），勾选它们，然后恢复即可(大部份的杀软也注册有底层HOOK,如果你选择了它们，还原后至重启前这些杀软的实时监视将失效)。

  恢复系统底层原始函数地址后，就可以在服务管理页删除划词搜索的注册表服务项了（恢复前由于受其驱动abhcop.sys的保护，是无法删除其注册的服务项）。然后重启机器，就可以直接删除这两个文件了。之所以要重启，是因为该驱动未提供中止功能，无法中止。系统无法删除一个运行中的文件。

   要注意的是,在服务函数中恢复了被HOOK的函数,并删除了其服务键，重启机器前，可以再切换到<进程管理页>及<IE检测页>，查看是否多出了一些被隐藏的内容，或者是先前不能删除的启动项现在可以再做删除处理。（划词搜索在Program Files目录下的文件现在就可以删除了,因为其驱动保护已经失效。如果此时某些文件删不掉，则可能是你还未在进程页结束划词的Win32进程,可参见1处理）

另外，如果您安装有本人的另一作品<系统安全盾>，请在使用syscheck前暂停一下监视，否则syscheck的服务函数功能将不能使用。

emca

1、作为反转辅助工具，可以设计为默认启动后即自动还原服务函数，这样启动后查看进程和服务等项目时，就可以直接对特殊进程和驱动服务等进行直接操作，方便使用的同时，也极大地方便了菜鸟用户的使用（不少人看不懂为什么要还原服务函数的）。
2、进程管理、服务管理和服务函数三个页面中，最好能够支持排序，或者把红色内容优先、集中地排列在上面，以方便直观地快速查看。
3、IE 检测中，建议把项目做得稍全面一些，最好能够涵盖IE常见故障，并能够进行基本的修复，这样实用性更强（因为IE被修改的情况极其多见）。

    感谢！！！！！！！

                                      深山红叶敬上