[sysshield]系统安全盾

xdg3669 · 发表于 2006-9-27 13:20:58

有一个用户是从Administrator（管理员）重命名得来的假设改为mbn，是管理员帐户，没有其他帐户。这时安全盾的规则有这条：
%SystemDrive%\documents and settings\administrator\local settings\temp\|e

启动安全盾后就是：

c:\documents and settings\mbn\local settings\temp\|e

但在documents and settings下的目录仍然是administrator，并没有改名。

此时在administrator目录下所做一切并不受

c:\documents and settings\mbn\local settings\temp\|e

规则限制。实际是不起作用的。

见下图，

[ 本帖最后由 xdg3669 于 2006-9-27 01:22 PM 编辑 ]

freesoft00 · 发表于 2006-9-27 13:36:46

转贴：
木马利用EFS隐藏自己

2:咖啡消息
最近一种木马开始享受加密文件系统给自己带来的保护并以管理员权限运行。这个木马建立管理员帐号，名称和密码随机，并以此帐号加密存放它的下载程序，并创建指向该加密文件的服务。
的确厉害，其他用户没有权限删除它所创建的文件。

非常人 · 发表于 2006-9-27 13:55:43

原帖由 xdg3669 于 2006-9-27 13:20 发表
有一个用户是从Administrator（管理员）重命名得来的假设改为mbn，是管理员帐户，没有其他帐户。这时安全盾的规则有这条：
%SystemDrive%\documents and settings\administrator\local settings\temp\|e

启动 ...

用户文件夹一旦建立，是不能更改的！

而ADMINISTRATOR在没有使用这个帐户之前是不会建立的，如果改名字了再第一次登陆这个帐户，建立是什么文件名字的目录，一会装个虚拟机试下！:)

非常人 · 发表于 2006-9-27 14:09:56

原帖由 xdg3669 于 2006-9-26 07:42 PM 发表
安全盾1.36b在在托盘退出程序时约有20～30秒时间好像死机壮态，鼠标可以动，但点击任何地方无反应。

曾经出现过的情况是这样的，退出的时候输密码，，但是刚刚好拦截的界面也出来了，这样就卡在这里了！

具体情况就忘了！

还有个建议还请王兄考虑一下！

安全盾密码的问题！现在的密码基本上用处不大，可不可以这样来：更改设置的时候需要密码呢？！也就是加了密码的话，那在更改相关设置或是进入软件界面的时候，必须输入密码如此操作才可以进行呢，这是针对某些用户的机子处理的，当然，这时候，暂停功能不管谁都能暂停（不是退出），这样就保证某些用户操作，又保证安全（比如网管给别的电脑使用）。好象现在基本甚至都在配置文件，如果删除了这个也会重新建立一个空的，建议补充一个注册表内容，有的时候删了文件，那某些安全设置估计就没了，比如建议的密码验证问题！

毕竟这个防的产品，需要一个权限控制比较合适点：）

关于启动的方式，建议有多个选择，目前是在启动文件夹下面的，如故哦删除了，那基本上很容易被某些人操作，可以加上启动项甚至于服务的选择！

仅供参考！

[ 本帖最后由非常人于 2006-9-27 03:01 PM 编辑 ]

sunkist · 发表于 2006-9-27 17:30:42

原帖由 6618 于 2006-9-27 10:43 AM 发表

我上了这个网站，并不会出现如你所说的，楼主能否用HIJACKTHIS扫一扫机子，把日志传上来？HIJACKTHIS的看家本领是反IE劫持。

当然在没有装上syssheid时关没有关时一定没有问题的，可我同事的机子设置成空白页还是会自动跳出来。。

wang6071 · 发表于 2006-9-27 18:56:59

sunkist:
  你将主页设为7b.com.cn,然后再用安全盾保护,能更改的话那安全盾的保护岂非没用(安全盾是要主页不被修改,但不会去管你的主页是什么)?
要更改回空白页需将安全盾切到信任程序安装模式下再更改,改完切回正常模式,此时空白主页就锁住了.

xdg3669:
  转换规则是转换为当前用户工作目录,administrator已非你的登陆用户,要保护非当前工作目录需手动添加目录保护.
  另外,安全盾退出延时可能与你安装的其它保护软件有关,虽然你可能退出了该程序,但该程的注入及服务不一定就退出了.可以查看一下安全盾的模块有没有DlL注入,查一下杀软的服务是否已关闭.

to 非常人:
加密码肯定要写在注册表中才稳妥,但与软件绿色不符. 删了安全盾的配置过滤文件会自动生成一个基本目录保护的过滤文件.
  启动方式用快捷方式一是为了绿色,二是因为最开初时曾设安全盾由注册表启动,但后来有兄弟反映在某些机器上会造成不能进入系统,原因未明,所以才采用的现在这个方式.快捷方式启动感觉也没什么不好,用户随时可以将安全盾的快捷方式手动放到快捷启动中启动,也可以放到桌面上在需要时才启动.

to longwang :
   试试开启安全盾正常规式下更改一下主页(手动在IE设置中改也可以)，改后关闭一下IE设置界面，再重打开看更改是否有效．
如果能被改说明安全盾在你的机器上没发生作用．然后退出安全盾，检查一下是否还有更高级的ssdt hook在起作用了．

[ 本帖最后由 wang6071 于 2006-9-27 07:23 PM 编辑 ]

zwww1967 · 发表于 2006-9-27 19:58:42

你将主页设为7b.com.cn,然后再用安全盾保护,能更改的话那安全盾的保护岂非没用
okok

zwww1967 · 发表于 2006-9-27 20:01:37

很高兴地试用

xdg3669 · 发表于 2006-9-27 20:02:42

原帖由 wang6071 于 2006-9-27 06:56 PM 发表
xdg3669:

另外,安全盾退出延时可能与你安装的其它保护软件有关,虽然你可能退出了该程序,但该程的注入及服务不一定就退出了.可以查看一下安全盾的模块有没有DlL注入,查一下杀软的服务是否已关闭. ...

并没有任何模块注入安全盾！确实是跟杀软保护软件有关，当把卡巴6.0关闭后就没事了，一打开卡巴kis6.0就发生上述情况（包括更改点应用设置规则和退出安全盾）！

能不能完s善呢？虽然更改规则不是经常的事，如果确有难度暂时也将就着用！

我还发现，在卡巴开着的时候，在安装安全盾时，关闭打开的安全盾进程时候，也有一个无反应阶段！

[ 本帖最后由 xdg3669 于 2006-9-27 08:22 PM 编辑 ]

emca · 发表于 2006-9-27 20:25:54

卡巴斯基就那个德性。中看不中用。杀除典型病毒是它的本身职责，但占用太多资源则是它的不是（病毒的特征之一也是耗费用户的资源，因此卡巴斯基也不算什么好东西！）。用户太厚待它了！你看众多的流氓病毒，卡巴斯基能够杀掉一个么？而且还与某些流氓病毒展开合作！
对于杀毒软件，我算是彻底丧失信心！看来安全界洗牌的时刻到来了，杀毒软件将面临空前的信任危机？！

emca · 发表于 2006-9-27 20:34:34

下午花两个小时处理一台中了 49 种流氓病毒的机器。这是我有生以来见过的中毒最厉害的一台机器！其清除难度大家可想而知，本应当彻底重装的，但杀掉流氓的快感占据了上网，于是折腾，最终非常成功！但也发现，仍然有几个流氓病毒在正常模式下用Syscheck无法以任何方式处理掉，后来是在安全模式、通过文件改名、文件延迟删除、结合优化大师的杀流氓模块的使用，才终于彻底杀掉所有流氓病毒！看来优化大师有些优点值得分析。

xdg3669 · 发表于 2006-9-27 20:40:13

原帖由 emca 于 2006-9-27 08:25 PM 发表
卡巴斯基就那个德性。中看不中用。杀除典型病毒是它的本身职责，但占用太多资源则是它的不是（病毒的特征之一也是耗费用户的资源，因此卡巴斯基也不算什么好东西！）。用户太厚待它了！你看众多的流氓病毒，卡巴斯 ...

那也没办法呀，对于公用电脑、普通用户等却是不可不装！确实，现在的杀软却已是社会写照，官匪勾结、警匪一家！最明显就是××××星。。。。。它装在用户电脑，简直是垃圾！点用资源不说还引狼入室！

[ 本帖最后由 xdg3669 于 2006-9-27 08:44 PM 编辑 ]

emca · 发表于 2006-9-27 21:09:15

Syscheck BUG 报告：
在文件管理器中，如果先按蟆排序，则删除文件后，排序方式会自动还原为默认的方式。反复排序才能操作，不方便。另外，文件日期时间的显示方式看上去不太习惯，建议改成按中文标准格式显示文件日期。

changtaitv · 发表于 2006-9-27 21:16:05

关于威金病毒

[转贴]威金病毒具体预防方案如下:
下载地址为：http://www.xywxkj.com/viking.rar
解压后把virus文件夹里面的文件复制到c:\windows\下面.放心.这些都是空文件.文件名和病毒名是一样的.但是都是0字节.
然后运行logo1virus.bat 给刚才放到c:\windows\下的那几个文件加上系统.隐藏.只读3个属性.
就这样.就可以预防威金病毒了.也就是说.即使你的机子中了威金病毒.也不可能发作.是100%不可能!

为了双保险.请进行下一步:
开始-运行输入gpedit.msc
用户配置-管理模板-系统不要运行指定的windows程序.
启用.然后在下面显示那里把virusname.txt里面的文件名都加上.

但virusname.txt里面的文件rundll32.exe smss.exe是XP自有的，按上面所说
限制其运行后，系统的某些功能已经无法使用，不知各位大侠有何高招?

gdlgh · 发表于 2006-9-27 21:35:13

红叶兄接触面广，理论、实践经验丰富，许多的进步离不开像红叶兄等这些无忧大侠们的努力，我等值得庆幸、高兴，因我等只有享受成果，而无更贴近实践的建议。
向红叶兄、紫狐兄、推士机兄、SCK兄等等无忧的弟兄们致敬！！！

wang6071 · 发表于 2006-9-27 23:10:39

syscheck(1.0.0.41)
上一版居然将sck兄弟修改后的说明文件漏放入了,本版修正。
根据红叶兄的意见,将文件搜索与内置文件管理器的日期格式修改。
将文件搜索中调整排序类型,然后删除文件后会还原为未调整前状态的问题解决。
调整了一下内置文件管理器中的列显示宽度,以便原始状态不拖动模滚动条可查看完整。

--------------
另外,红叶兄能否指明
"仍然有几个流氓病毒在正常模式下用Syscheck无法以任何方式处理掉"
是哪些地方难已处理?是DLL注入使用模块卸载后删除无效？还是驱动保护修改注册表无效？优化大师在处理上述问题中有哪些方便之处？
以便syscheck学习改进．

emca · 发表于 2006-9-28 00:04:01

不能清除的内容主要是驱动保护的流氓病毒文件。具体文件名记不得了，当时太多，也没有时间慢慢记。
优化大师的清除似乎也使用了驱动文件（SYS）。具体技术细节不明。可能得反汇编分析。

另外，内核检测功能最好设置为启动程序时即自动进行，如果发现有被HOOK的对象，则弹出对普通用户较友好的提示：“当前系统中发现分部系统功能调用被异常接管，是否恢复为系统默认状态？”，这样就更加高效？否则有时不记得先查看内核HOOK情况，而在前面几个页面中做了半天无用功：）对于不太了解用法的用户更加如此。

[ 本帖最后由 emca 于 2006-9-28 12:14 AM 编辑 ]

sunkist · 发表于 2006-9-28 08:31:21

原帖由 wang6071 于 2006-9-27 11:10 PM 发表
syscheck(1.0.0.41)
上一版居然将sck兄弟修改后的说明文件漏放入了,本版修正。
根据红叶兄的意见,将文件搜索与内置文件管理器的日期格式修改。
将文件搜索中调整排序类型,然后删除文件后会还原为未调整前状态的 ...

:)没上传上来！

是的现在的广告就是病毒啊！有些网址上就是在后台改东西。而不懂电脑的人就被改了，真是有点无聊。
像红叶兄在这样一台机子里中了几十个广告的话，那可真难搞。
中了广告不懂的人就要重装系统。。。哎。特别是在办公式。真是受不了。
红叶兄请把
7b.com.cn加入host里面去。

紫狐 · 发表于 2006-9-28 10:38:12

红叶提的内核检测功能最好设置为启动程序时即自动进行确实很好，希望下个版本增加该功能。

siwun · 发表于 2006-9-28 13:43:00

昨天也遇到了用syscheck不能清除的“流氓（广告）"了，DLL注入EXPLORER模块，在正常模式及安全模式下，使用模块卸载后删除，启动后删除都无效，而且发现用syscheck进行以上处理后，该DLL注入到syscheck进程里了。

最终没办法是用光盘启动进入PE系统搞掂的。

DLL文件名：ursro.dll ，还有另外一个很长的似乎是随机升成的文件名

ah1283328 · 发表于 2006-9-28 15:07:28

原帖由 siwun 于 2006-9-28 01:43 PM 发表
昨天也遇到了用syscheck不能清除的“流氓（广告）"了，DLL注入EXPLORER模块，在正常模式及安全模式下，使用模块卸载后删除，启动后删除都无效，而且发现用syscheck进行以上处理后，该DLL注入到syscheck进程里 ...

请问如何处理的，下次遇到好解决。我这里有2-3百台电脑呢。
谢谢。

uime · 发表于 2006-9-28 17:56:39

我觉得系统安全盾应该在一开始就要获得系统的控制权，这样就可以更有效的保护系统，防止有些流氓在安全盾运行前安装

emca · 发表于 2006-9-28 18:09:09

安全盾的妙用：

今天给同事配置一台新安装的服务器。以前都要安装一款杀毒软件的，目的是防止别人上传木马进行入侵。
于是想试试不装杀软了，反正服务器并不需要经常安装各种程序的。因此在部署好应用服务后，只安装了安全盾。规则当然修改得严格一些，对于系统根目录、程序目录、系统目录等，凡是不需要新生成文件的地方一律禁止写入。模拟测试上传木马等，均无效。妙啊！不需考虑升级和新病毒木马的问题了！

其实安全盾要是以服务器防护为目标进行一些针对性的策划和开发，把它商业化是完全可能的。

uime · 发表于 2006-9-28 18:39:18

不如把安全盾分为两个版本，一个商业服务器版（以稳定为主），一个为个人免费版以测试为主

zrfdcs · 发表于 2006-9-28 19:03:56

安全盾1.37的问题：刚启动时占用内存7M左右，几分钟后上升到30M，最后到100M以上，最高一次占用182M。
系统为Win2000

wang6071 · 发表于 2006-9-28 20:17:58

原帖由 zrfdcs 于 2006-9-28 07:03 PM 发表
安全盾1.37的问题：刚启动时占用内存7M左右，几分钟后上升到30M，最后到100M以上，最高一次占用182M。
系统为Win2000

谢谢你的认真观察,确实是在1.36b及1.37版都存在内存泄漏,用下面的1.38覆盖更新或到偶空间下载完整版本.

258 · 发表于 2006-9-28 21:22:44

对138版本的建议：
在启动项目中增加编辑功能，像超级兔子一样，不需要删除，仅仅在启动的前面加“；” 即可，有的程序发现启动项目中没有又会继续添加，不添加不运行，仅仅在那个项目的前面加上“；”，该项目就不会启动；或者不需要使用者自己编辑，在安全盾中直接这样设置即可

建议在软件的标签栏设一个日志标签，建立完整的应用程序以及dll、驱动、服务加载运行日志，看日志也可以判断系统有没有问题，作者大侠一看日志文件就应该明白对软件的改进，老菜鸟也可以根据日志文件自己判断

还有一个就是软件美化的，标签和顶部的多余部分去掉更美观 ^_^

[ 本帖最后由 258 于 2006-9-28 10:14 PM 编辑 ]

wang6071 · 发表于 2006-9-28 21:34:54

新木马或流氓出来啦,大家这几天浏览站要小心，以下是截图来自浏览<中天论坛>,网页被挂马了．该木马以Scripts脚本运行,所以如果确有需要浏览这些网页,可关闭Scripts再去.

用google搜索了一下，发现报告还不多，仅有几个,例如：

http://bbs.kingsoft.com/list.php ... &extra=page%3D3

http://cn.bbs.yahoo.com/message/read_ie_234385.html

[ 本帖最后由 wang6071 于 2006-9-28 09:53 PM 编辑 ]

zwww1967 · 发表于 2006-9-28 21:44:08

谢谢

zytlinux · 发表于 2006-9-28 22:18:18

我去怎么没有碰到呢?

		自动登录	找回密码
密码			注册