[sysshield]系统安全盾

wang6071

原帖由 emca 于 2006-7-4 02:40 AM 发表
1、作为反转辅助工具，可以设计为默认启动后即自动还原服务函数，这样启动后查看进程和服务等项目时，就可以直接对特殊进程和驱动服务等进行直接操作，方便使用的同时，也极大地方便了菜鸟用户的使用（不少人看不 ...

syscheck2的构建基本上已如红叶兄所说,目前难以解决的是老是有兄弟报告说在某些机器上无法列出ssdt,20030703版已采用了驱动技术,可还是有反映在某些机器上无法列出ssdt,原因有待查明,所以syschek2的开发也陷于停滞当中.

不过,从目前的反映看来,仅仅是加载驱动不成功所致,没有出现兰屏与重启,基本上证明驱动是比较稳定的.之所以不能正常工作,分析可能是因为:
1:使用的兄弟的环境没有管理员权限(可能性不大)
2:某些机器上的%temp%取不出来.或是有中文字符.(待验证)

Phexon

给wang6071兄一个建议：安装包默认安装文件夹改为英文的，这样兼容性最好，还符合常规的习惯。可以看一看ms的文件和文件夹，以及注册表项和键值，没有一个用中文命名的。在桌面建立的快捷方式用中文的即可。

[Setup]
AppName=系统安全盾
AppVerName=系统安全盾 版本 1.20
DefaultDirName={pf}\系统安全盾
OutputBaseFilename=安全盾setup
Compression=lzma

[Files]
Source: "{app}\sysshield.exe"; DestDir: "{app}";
Source: "{app}\Filter.dat"; DestDir: "{app}"; Flags: confirmoverwrite
Source: "{app}\inreg.dat"; DestDir: "{app}";
Source: "{app}\readme.chm"; DestDir: "{app}";
Source: "{app}\SafeReg.sys"; DestDir: "{app}";

[Run]
Filename: "{app}\sysshield.exe"; Description: "立即运行安全盾保护系统";

[UninstallRun]
Filename: "{app}\sysshield.exe"; Parameters: """exit""";

[Icons]
Name: "{userdesktop}\系统安全盾"; Filename: "{app}\sysshield.exe";
Name: "{userstartup}\系统安全盾"; Filename: "{app}\sysshield.exe";

好像安装脚本还有一个小瑕疵，最新的是1.21，脚本里面好像是1.20

wang6071

谢谢  Phexon 兄的建议,最近老是丢三落四地忘改一些版本之类的东西.

安装文件夹用中文是偶知道有很多菜鸟往往不知道自已在Program Files下都安装了什么东西.但有时系统出问题或请人清理时,问这个要不要,那个要不要,很可能会答错问题,所以默认给了个中文目录.目前还没有发现问题,以后有兼容问题时再说吧.

syscheck今日再次更新,采用新的算法来取参照表(估计ssdt兼容性不好问题出在这里),请各位测试

lisantt

辛苦，辛苦。多谢！

小木头

反黑辅助syscheck更新了.下一个。谢谢了

Phexon

原帖由 wang6071 于 2006-7-4 11:46 PM 发表
谢谢  Phexon 兄的建议,最近老是丢三落四地忘改一些版本之类的东西.

安装文件夹用中文是偶知道有很多菜鸟往往不知道自已在Program Files下都安装了什么东西.但有时系统出问题或请人清理时,问这个要不要,那个要 ...

这种类型的工具，很多菜鸟也是玩不转的，就算界面再简捷明了，其中的包括进程，启动项等，也不一定能搞明白，毕竟这是属于手工杀毒，杀流氓辅助工具，跟杀毒软件还有有很大区别的，辅助工具永远做不到杀软那种傻瓜化

chujiafu

请教Wang6071兄：
            系统安全盾保护注册表的原理是什么？偶想知道。因为上网助手也有类似的保护IE的标题栏功能，偶想把IE的标题栏改偶想要的，加了一个“window title”，但不能编辑这个Window title。再打开注册表，发现这个Window title又没有了。不知何故。

6618

不错，我在单位试了，一切正常。

pyqkgd

今天中招了．．之前已把安全盾和反黑工具打开，依然没有拦截住.　病毒破坏了EXE关联，安全盾自带的关联修复对EXE没有起作用．红叶以前做的目录固化处理可以很好地拦截住，不仅仅要对付流氓软件，对木马值入也要加强拦截． 付上一个网上找到的修复ＥＸＥ关联的ＲＥＧ和此次所中的病毒，希望wang6071 兄能更好完善这个工具!

老毛桃

原帖由 pyqkgd 于 2006-7-7 02:01 发表
今天中招了．．之前已把安全盾和反黑工具打开，依然没有拦截住.　病毒破坏了EXE关联，安全盾自带的关联修复对EXE没有起作用．红叶以前做的目录固化处理可以很好地拦截住，不仅仅要对付流氓软件，对木马值入也要加 ...

我比较奇怪的是，居然我没有中招，我是裸奔的，没有防火墙，安全盾也没有运行。不知道是不是设置有什么不同。

xubo1971

我用了近几版Syscheck，0704版兼容性似乎还不如0625版。今天试用，2个版本又都可以了。第一次试用0708版，运行正常，而且是在不关闭安全顿的情况下。

小木头

希望版主把此 [sysshield]系统安全盾精华帖置顶!以方便大家交流!

emca

如此好帖，原创，精华，帖主奉献共享的精神和精湛的技术、良好的人品，这样的好帖不置顶天地不容！
提倡原创，鼓励精品，强烈建议版主置顶！
平生不顶帖，本帖却破例！

emca

既然前面有兄弟提及本人制作的流氓程序目录免疫工具，由于好久没有公开更新了，这里顺手放上来与大家共享一下。
即使我采取了各种强悍的安全措施，但对于防不胜防的流氓插件捆绑安装，我发现除了目录权限限制之外，还真的没有百分之百能够堵死它们的好办法：（ 使用各种后台监控工具仍然有可能被突破限制，而且出于各种需要，有时可能得临时禁用一下后台运行的安全工具，因此仍然存在轻易中招的可能！

老毛桃

Wang 兄确实是一位世外高人，技术够严谨，不得不佩服！

xubo1971

我以前在红叶专帖中提及过恶意垃圾插件免疫更新的事，想知道如何自己添加目录，只不过未引起注意而已，后来俺就改用流氓软件免疫程序V2.2（是在红叶恶意垃圾插件免疫基础上制作的）了。现在恶意垃圾插件免疫有更新了，当然要下来试试，只是现在下不下来。

冰上人

又更新了，我还在用老版本， 似乎没遇到什么问题

推士机

原帖由 小木头 于 2006-7-9 01:26 PM 发表
希望版主把此 系统安全盾精华帖置顶!以方便大家交流!

众望所归，弓虽 丁页！！！

wang6071

前段时间儿子发烧住院，每天都得在医院守护，所以没能及时回大家贴子,请见谅．

关于chujiafu问：系统安全盾保护注册表的原理是什么？偶想知道。因为上网助手也有类似的保护IE的标题栏功能，偶想把IE的标题栏改偶想要的，加了一个“window title”，但不能编辑这个Window title。再打开注册表，发现这个Window title又没有了。不知何故。
   　　安全盾注册表保护采取的是类似于固化保护的方法，不同之处是当您暂停或退出安全盾时，修改IE等设置是有效的，再次开启安全盾，则会保护您修改过的内容．所以，在开启安全盾的情况下，IE的修改都将是无效的．也就是说，你可以勇敢地闯好些修改主页的网站，即是它要强设，也可以同意它．（只要没有暂停安全盾，就是你点了同意修改，也改动不了你的IE设置）

pyqkgd兄弟所说的安全盾和反黑工具打开，依然没有拦截住.　病毒破坏了EXE关联
　　不知道你的安全盾更新到20060628版本没有,先前的版本对exe关联未做保护(因为考虑修复起来较容易，且如果设置成自定义监视方式中招的机会几乎为０)
       sysshield20060628版本加入了对exe关联的保护．

最后要说的是：syscheck已更新到syscheck20060711,加入了一个杀鸽子示例，到偶的空间下载：http://wangsea.ys168.com
这里不提供下载是因为有更好的东西送给大家，看看新的syscheck2易用性如何．

wang6071

下面是各界面，有几个界面是支持点击标题条排序的，大家乱点点试试

列出是<活动文件>,<敏感键值>仅是易被修改或已经被黑了的条目，所以不同环境项目的多少是不同，因为我们只关心要还原哪些项目．

wang6071

内置了一个资源管理器，方便删除文件．（某些情况下显示的文件与普通资源管理器有所不同）

rightt

先坐沙发。马上试试。
baby的病可一定要快快好哦，你爸爸和敬畏你爸爸的人同时为你祈福！

rightt

报告：
        不用关闭SysShield。我这边运行的非常稳定，没有任何报错的现象。喜……

另：
        这里很公证不夸张的说，从软件测试的各项指标出发，这款预览版绝对达到了其它国产软件产品远远不及的地步。‘内置了一个资源管理器’ 确实很实用，大大真是了不起！分享国内首席的软件并和大家一同乐在其中，则更是一种至高无上的境界！！

[ 本帖最后由 rightt 于 2006-7-12 12:54 AM 编辑 ]

emca

Syscheck 不久应当是安全界的重大必用工具了，非常有可能超载 Icesword（起码易用性上）。
但类划词搜索之类的流氓病毒，也极有可能在中毒后会对窗口控件标题中含有Syscheck字样的对象进行拦截而导致其无法运行。因此在功能基本完成后，建议学习一下 Icesword，启动时自动随机生成一个窗口标题。
另，预览版怎么取消了极其重要的精华“系统函数”项目？

emca

另外对Shscheck2的几个建议：
1、界面是漂亮了不少，但上面的按钮切换后外观状态没有任何改变，因此不方便一眼看出目前打开的是哪个项目；
2、服务管理中，不少进程明明确实正在运行，上面显示也是正在运行，但后面的文件修改时间中却显示“文件丢失”。判断文件存在的方法是否有些问题？
3、在几个选项卡中，建议学习一下微软的 Msconfig，添加一个“只显示非系统进程”和“只显示非系统自带服务”的选项，操作时可能更加快捷方便。
4、希望尽量不要对界面考虑太多而大幅度增加程序体积：）

最后，祝小家伙永远健康活泼！！！！

wang6071

谢谢诸位对syscheck2的肯定及意见,这仅是一个预览版,还有一些Bug未修正.

关于服务管理中，不少进程明明确实正在运行，上面显示也是正在运行，但后面的文件修改时间中却显示“文件丢失”。判断文件存在的方法是否有些问题？

如果是该服务未采用特手段隐藏应该没有问题,运行的服务显示“文件丢失”可能是该服务是动态加载的,加载运行后就删除了服务文件,所以可能显示是"文件丢失",如有其它情况,请核实一下该服务的路径下是否真有文件存在.对svchost以参数加载的系统服务,有些是定位不到文件的,所以也只能显示是"文件丢失"

顺便说一下,可以点击标题栏按时间排序,按状态排序加快查找速度,这样红色的非系统服务等立即到了最上边,所以就没细分哪些是系统的哪些是第三方的服务了(有可能今后冒充系统的服务会增多,感觉点一下标题栏排序更方便一些)

syscheck2的界面是增加了一些体积,不过提供给大家是未用upx压缩过的版本,压缩一下就仅有400多K,想来大家也可接受吧,今后新增功能,估计也不会超过500K,因为大多数的东西都引用过了.

ssdt功能未加,是因为一直想等ssdt兼容性调整好了再加入.不过可能syschek2的ssdt功能不采用驱动方式,因为毕竞用win2003 sp1之后版本的兄弟还不是很多,用原来的方式就够用了.前段时间测试的驱动留作备用.(已开始着手在重写ssdt检测部份,决定放弃以前的那种读PE的方式,想来定比原来的兼容性更好)

对自身的防护来说,目前syschek2还在不断探索改动中,所以估计不会太引起其它软件的注意，所以这部份还是暂时不作处理．（想得到好的防护，可能得采取驱动HOOK方式，如KV的进程保护，但保护与突破总是相对的，所以暂不涉入这个部份）

luxp

原帖由 emca 于 2006-7-12 09:29 AM 发表
另外对Shscheck2的几个建议：
1、界面是漂亮了不少，但上面的按钮切换后外观状态没有任何改变，因此不方便一眼看出目前打开的是哪个项目；
2、服务管理中，不少进程明明确实正在运行，上面显示也是正在运行，但 ...

非常赞成!

wang6071

syscheck 1.0.0.3 版，修正了一些小Bug,增加了ssdt检测功能(ssdt检测只对内核已被HOOK的函数给出列表，如果您的系统没有任何被HOOK的内核函数，该表就是空的了)

注意，ssdt功能可以恢复安全盾注册表工作的内核HOOK,如果你恢复的话则安全盾的注册表监控会失效．（必须关闭安全盾，再重新打开才有效，所以可以恢复一下安全盾的内核HOOK函数来测试ssdt恢复功能）．

emca

运行上述最新版本后，点击“内核HOOK检测”，出现如图错误。
操作系统：Windows XP SP2 VOL
系统服务状态：全部默认
后台进程：常用工作程序（QQ/MSN等），无杀毒软件等，未启用安全盾，可确保系统无毒。

zxplhzlt

我在点击资源管理器时出现.