[sysshield]系统安全盾

258

原帖由 wang6071 于 2006-9-25 11:56 PM 发表
20060925安全盾1.36b更新说明:

   再次修改删除算法,缩短响应时间(原来只需缩短响应时间就成了,加快响应后它连那个ini文件也来不及生成，所以删除列表中见不到的),在多次删除无效后才采用延时删除(还是保留这个 ...

觉得大侠没理解那个提供灰鸽子软件朋友的意思，我觉得他的意思是，用那个提供的灰鸽子可以生成服务端，应该是用安全盾监控那个服务端的运行，看大侠1978楼的帖子，好像拦截的是客户端，大侠应该是理解错了，

不过我也希望安全盾拦截的是服务端
我没有太多的时间上网测试，希望大侠多研究下现在的盗号、远程控制、网页木马等木马的安装和一些流氓插件的安装，
同时也希望安全盾的规则制定更灵活，最好能加上拦截发email的功能，有些盗号就是通过这个来实现的
这里预祝大侠的作品人见人爱！

wang6071

原帖由 258 于 2006-9-26 12:20 AM 发表


觉得大侠没理解那个提供灰鸽子软件朋友的意思，我觉得他的意思是，用那个提供的灰鸽子可以生成服务端，应该是用安全盾监控那个服务端的运行，看大侠1978楼的帖子，好像拦截的是客户端，大侠应该是理解错了，
...

这个有必要控讨一下：

客户端未拦截是因为我们下载后放在了安全区测试，如果它是一个网页木马，第一时间生成在哪里?绝大部份来说是在
c:\Documents and Settings\登陆用户\Local Settings\Temporary Internet Files
下吧?如果我们对此有模糊过滤，那它还能成生服务端吗?
另外，不写注册表，不写服务的服务端能发送什么，就在本次重启前运行一下?服务端都被杀了客户端又接收什么呢?

另外，上述例程我们是在本机快速双击执行，所以响应时间很重要，但如果是通过网页下载，考虑网络延时，恐怕不需要这么短的响应时间．

当然，有更多的监控总是好的，安全盾不是杀毒软件，定位在一个辅助上，限于个人的能力可能有些东西办不到，这点请大家见谅．

[ 本帖最后由 wang6071 于 2006-9-26 12:42 AM 编辑 ]

xdg3669

原帖由 250662772 于 2006-9-26 12:39 PM 发表
大家开着安全盾去测试一下，这个网站会自己下载2个EXE文件到c盘，http://www.adabao.com/Soft/yyrj2/200607/20060708222228.html

?????？，。没有吧！！

gdlgh

原帖由 250662772 于 2006-9-26 12:39 PM 发表
大家开着安全盾去测试一下，这个网站会自己下载2个EXE文件到c盘，http://www.adabao.com/Soft/yyrj2/200607/20060708222228.html

没发现！！！

250662772

有啊C:\Documents and Settings\user\Cookies\user@www.adabao[2].txt  2006-09-26 13:33:48
C:\Documents and Settings\user\Local Settings\Temp\gimm.exe  2006-09-26 13:33:54
C:\Documents and Settings\user\Local Settings\Temp\SearchCar.exe  2006-09-26 13:33:58
C:\Documents and Settings\user\Cookies\user@narrowad[1].txt  2006-09-26 13:34:03

卡巴报有木马的，我截图的时候把卡巴报警的图也截出来了，但是截完之后就没有了，有一个病毒会加载到exeplorer里面

emca

Syscheck 小BUG：
检查活动文件时，如果病毒直接把EXE放在启动组目录，则能够检测并显示删除成功，但刷新后却没有清除（内存无病毒进程保护情况下）！必须手工在启动组中删除病毒EXE文件。可能是忘记对启动组的文件删除做处理，只处理了注册表中的。请修正。

zgrrr

emca讲的对，我就遇到这种情况。打开一个关于输入法下载的网页后出现卡顿现象，我意识到可能遇到流氓了，赶紧关网页，但这个网页却关不掉，显然浏览器已被控制。我的安全盾设置非常严，几乎是√××××这类格式。等了会，网页全部关掉后打开安全盾发现启动栏里多了两项，删除这两项时又出现了怪事，一是这两项被删除的同时，没有打勾的一个正常启动项也被删了，但不影响该项的正常启动(这项是放在所有用户的启动文件夹内)，到现在升级为1.36B，该项仍不在启动栏内出现；二是删除多出的两个启动项后，发现安全盾监控设置全乱了，原WINDOWS＼目录是按上述格式设置，现在全是X，是不是安全盾缺乏自我保护？
     不管怎样，安全盾是我用起来感觉最好的一款保护软件，特点是有效、省资源、设置灵活方便，请王兄能不断完善。谢谢能提供这么好的软件产品!

wang6071

原帖由 emca 于 2006-9-26 01:45 PM 发表
Syscheck 小BUG：
检查活动文件时，如果病毒直接把EXE放在启动组目录，则能够检测并显示删除成功，但刷新后却没有清除（内存无病毒进程保护情况下）！必须手工在启动组中删除病毒EXE文件。可能是忘记对启动组的文 ...

奇怪,我复制xxx.exe到
Documents and Settings\All Users\「开始」菜单\程序\启动
与
Documents and Settings\当前用户\「开始」菜单\程序\启动
都可正常删除,各位再试试看,以便发现原因.

原帖由 zgrrr 于 2006-9-26 05:08 PM 发表
emca讲的对，我就遇到这种情况。打开一个关于输入法下载的网页后出现卡顿现象，我意识到可能遇到流氓了，赶紧关网页，但这个网页却关不掉，显然浏览器已被控制。我的安全盾设置非常严，几乎是√××××这类格式。 ...

浏览器死锁可以直接到安全盾的进程管理中杀掉浏览器.
没有打勾的一个正常启动项也被删了,这个现象第一次听说,再检查一下原因.
该项仍不在启动栏内出现是因为安全盾没有查全局用户的[启动]文件夹,可以在设置中设为禁写.下一版检查全局[启动]文件夹.
删除多出的两个启动项后，发现安全盾监控设置全乱了,应该不会出现此现象.除非当初就没设对(设完应用后用右键刷新看一下结果是否相符)

[ 本帖最后由 wang6071 于 2006-9-26 06:53 PM 编辑 ]

xdg3669

安全盾1.36b在在托盘退出程序时约有20～30秒时间好像死机壮态，鼠标可以动，但点击任何地方无反应。

longwang

原帖由 wang6071 于 2006-9-26 06:48 PM 发表


奇怪,我复制xxx.exe到
Documents and Settings\All Users\「开始」菜单\程序\启动
与
Documents and Settings\当前用户\「开始」菜单\程序\启动
都可正常删除,各位再试试看,以便发现原因...

呵呵，我的测试也正常删除。

longwang

在测试新版的ssdt驱动的过程中发现相同版本的syscheild的版本在2000和XP的表现有些不同。可能系统版本差异也会导致测试结果的差异。

[ 本帖最后由 longwang 于 2006-9-26 08:04 PM 编辑 ]

changtaitv

红叶大侠请看：

今天用你的 磁盘自动运行病毒清除免疫AntiFVirus 来免疫我的U盘
运行后发现安全盾（V1.29）的自启动被取消，在安全盾里进行启动设置
也总是失败，不知何故？怎样才能解决？盼复！

gdlgh

原帖由 changtaitv 于 2006-9-26 08:53 PM 发表
红叶大侠请看：

今天用你的 磁盘自动运行病毒清除免疫AntiFVirus 来免疫我的U盘
运行后发现安全盾（V1.29）的自启动被取消，在安全盾里进行启动设置
也总是失败，不知何故？怎样才能解决？盼复！

同样也出现了此问题，费半天劲用优化大师才加上，望红叶兄在AntiFVirus中添加取消对启动项免疫功能。

emca

1、启动项免疫将改进；
2、Syscheck 对于启动组目录中系统、隐藏、只读属性的文件不能清除。可能是删除方法不够强劲：）

wang6071

原帖由 emca 于 2006-9-26 10:23 PM 发表
1、启动项免疫将改进；
2、Syscheck 对于启动组目录中系统、隐藏、只读属性的文件不能清除。可能是删除方法不够强劲：）

syscheck(1.0.0.40)
修正了活动文件删除启动组中执行文件考虑不周造成的不能删除。
按无忧SCK兄弟的修正,将附带说明文字中的不标准之处更改,再次感谢SCK的支持。

20060926安全盾1.37更新说明:
   加入全局<启动>组的检测,调整自定义目录设置时的按钮相关界面.
  优化了一下自定义目录监视时删除时的算法,加入防短路径写入的策略.

wang6071

原帖由 xdg3669 于 2006-9-26 07:42 PM 发表
安全盾1.36b在在托盘退出程序时约有20～30秒时间好像死机壮态，鼠标可以动，但点击任何地方无反应。

这个我这里没出现过,是否与目录监视设置有关?禁写IE目录?任务还未完成一时退不出?再观察一下.

原帖由 longwang 于 2006-9-26 08:01 PM 发表
在测试新版的ssdt驱动的过程中发现相同版本的syscheild的版本在2000和XP的表现有些不同。可能系统版本差异也会导致测试结果的差异。

不明白您想说什么,有空贴一个比较图较直观.

[ 本帖最后由 wang6071 于 2006-9-26 11:14 PM 编辑 ]

longwang

都是默认的策略，在2000中syscheild会阻止ssdt驱动加载，而使ssdt检测失效，这一点其实可能被木马利用，而xp不会。

[ 本帖最后由 longwang 于 2006-9-26 11:27 PM 编辑 ]

emca

磁盘自动运行免疫工具修正。
能够处理所有磁盘和特定磁盘；能够结束典型同类病毒进程；能够自动清除隐藏在回收站的病毒文件（变态：部分病毒居然设置了NTFS权限！）；能够修复磁盘打开关联；能够选择性禁止除光盘外的磁盘分区的自动运行特性。

wang6071

原帖由 longwang 于 2006-9-26 11:18 PM 发表
都是默认的策略，在2000中syscheild会阻止ssdt驱动加载，而使ssdt检测失效，这一点其实可能被木马利用，而xp不会。

嘿嘿,可能是你在xp中运行后退出异常造成驱动加载没有删除吧?(第一次你肯定是允许了的)你手动将注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KernelSdt  这个键删除再运行试一试.

longwang

我的XP系统没有那个HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KernelSdt键值。

[ 本帖最后由 longwang 于 2006-9-26 11:52 PM 编辑 ]

ok-gao

原帖由 emca 于 2006-9-26 11:27 PM 发表
磁盘自动运行免疫工具修正。
能够处理所有磁盘和特定磁盘；能够结束典型同类病毒进程；能够自动清除隐藏在回收站的病毒文件（变态：部分病毒居然设置了NTFS权限！）；能够修复磁盘打开关联；能够选择性禁止除光盘 ...

我的是老机器，都是FAT32格式的，能不能用？

[ 本帖最后由 ok-gao 于 2006-9-26 11:55 PM 编辑 ]

ok-gao

系统安全盾：

１、看SVCHOST进程时，最好能显示调用进程的程序名称。就象用tasksist/svc那样的结果，有利于判断是否中毒。

２，如果有广告的程序运行，我装的是ad muncher，如果选中FlashGet.exe，ad muncher的进程模块也会显示为红色，我装的２００４飘云版中的QQHook.dll也是红色。是不是这两个与网络有关容易出现误判？

wang6071

KernelSdt是偶的那个驱动版ssdt注册的服务名.

另外,我在虚拟机的xp sp2下测试过了,在安全盾的保护下,驱动版的ssdt是无法检测的.不知你是否将驱动版与无驱版搞混了?要不,你到偶空间下载最新版的安全盾安装试试,不会是文件损坏了吧?

------------
楼上的那位兄弟你先看看帮助说明再说,红色是外部进程,紫色是含有外部模块.
svchost判断在syscheck中看模块.

[ 本帖最后由 wang6071 于 2006-9-27 12:00 AM 编辑 ]

longwang

我现在用的就是最新版的。肯定是驱动版，ssdt检测过卡6版。不知其它兄弟测试如何？

[ 本帖最后由 longwang 于 2006-9-27 12:01 AM 编辑 ]

xdg3669

原帖由 wang6071 于 2006-9-26 11:12 PM 发表


这个我这里没出现过,是否与目录监视设置有关?禁写IE目录?任务还未完成一时退不出?再观察一下.

在我的机上确实出现这个问题!包括1.37版，我的cpu是1.8G，内存是256,系统是XP SP2,；


当规则是采用默认，除杀软件外，退出所有进程测试也出现这个问题，我打开了任务管理器后测试，发现当关闭安全盾后，cpu达到100%，下图是三次的测试。

在更改安全盾规则后，点应用设置，也出现上面情况。

[ 本帖最后由 xdg3669 于 2006-9-27 01:24 PM 编辑 ]

sck

wang6071：
syscheck(1.0.0.40)的说明还未修正，你打开看看。

zwww1967

更新速度有够快的，我都下载七八次了

sunkist

wang  把主页设置成  7b.com.cn  这个垃圾网站，用上你的二个宝贝，在修复系统，主页还是这个。不过是空白也会自动跳到这个网址上，只能在host里面把这个加进去后才不会。。

6618

原帖由 sunkist 于 2006-9-27 09:58 AM 发表
wang  把主页设置成  7b.com.cn  这个垃圾网站，用上你的二个宝贝，在修复系统，主页还是这个。不过是空白也会自动跳到这个网址上，只能在host里面把这个加进去后才不会。。

我上了这个网站，并不会出现如你所说的，楼主能否用HIJACKTHIS扫一扫机子，把日志传上来？HIJACKTHIS的看家本领是反IE劫持。

longwang

原帖由 wang6071 于 2006-9-26 11:57 PM 发表
KernelSdt是偶的那个驱动版ssdt注册的服务名.

另外,我在虚拟机的xp sp2下测试过了,在安全盾的保护下,驱动版的ssdt是无法检测的 ...

今天在另外一台xp sp2的机子上测试，故意先运行了ssdt检测，启动安全盾重新运行ssdt检测，能够拦截驱动的加载，不知我的机子怎么会失效，有点晕。