[sysshield]系统安全盾

yht

Winpooch-最新版0.6.1.950发布!狗狗又有升级!

下载地址:
http://sourceforge.net/project/showfiles.php?group_id=122629

bclz

没用过。但值得试用一下。。先做个记号。

小木头

王兄:
我发现安全盾在桌面上显示主界面后,再关闭. 内存占用在任务管理器中显示会减少很多!

xdg3669

原帖由 yht 于 2006-10-3 11:46 PM 发表
Winpooch-最新版0.6.1.950发布!狗狗又有升级!

下载地址:
http://sourceforge.net/project/showfiles.php?group_id=122629

经测试，稳定性和兼容性仍然很差！

使用 "kernel-mode API hooking".时驱动稳定性和兼容性很差，会导致系统死机蓝屏！

sck

原帖由 小木头 于 2006-10-4 08:14 PM 发表
王兄:
我发现安全盾在桌面上显示主界面后,再关闭. 内存占用在任务管理器中显示会减少很多!

我也发现这个现象，另外，在关闭该程序和右击程序打开停止监视------信任或不信任程序安装，会桌面上和任何程序都会停顿二三十秒钟左右。

emca

Winpooch 新版本兼容性似乎稍有改善。如果我们不折腾它，似乎能够比较稳定地运行。如果折腾得厉害，则可能蓝屏！

yht

原帖由 emca 于 2006-10-4 09:55 PM 发表
Winpooch 新版本兼容性似乎稍有改善。如果我们不折腾它，似乎能够比较稳定地运行。如果折腾得厉害，则可能蓝屏！

完全如此!我的感受!.................

emca

关于Winpooch，通过大量测试，发现：
1、如果规则中有较多的 LOG 模式，则极易导致系统停止响应，严重时蓝屏；
2、尽量不能有重复规则，可有效降低假死。
3、把本人正在使用的规则共享一下。规则已经全面重新制作，效率应当有所提高。顺便共享最新版本的简体中文语文文件。原始程序请自己下载！只支持最新的0.6.1版本。

happyday2

winpooch 似乎不能阻止注册表中项的建立。

有谁会英语到官方网站给提一下。

freesoft00

emca:
用了你的winpooch规则，规则中有乱码的规则，是winpooch支持中文不好，还是emca专门设置的那几条规则。

另外：我按照前面讨论的危险注册表键值更新了你的  卓尔系统贴心锁关于注册表危险入口的部分。锁定，然后解锁。但好像解锁不管用呀。比如改写注册表中exe文件的关联，还是提示无权改写，除非手动更改权限。从起机器还是。
我看了没有那里错误，再说我又用你原来的 卓尔系统贴心锁 也还是，能锁定，但解锁好象不管用。
emca能不能检查一下，是不是哪里有错误。

还有  卓尔系统贴心锁关于注册表危险入口的部分有一条规则注册表部分emca忘了加“ ”号。

fish007yu

收藏中

songq

原来没注意autorun8.53和sreng2.2都已经有了校验数字签名功能，并可以将微软签名的文件隐藏掉，有问题的文件就很清楚了。
不明白为什么syscheck不加这个功能。
现在感觉syscheck没优势了，ssdt检测感觉比不上超级巡捕，gmer，不够底层，在2003sp1上显示不出来，和OP4.0冲突，类似功能的软件大家都差不多。

emca

对楼上兄弟所说的个人看法：
首选声明仅为探讨，不是争论：）我们使用了Wangsea的免费工具，当然有责任给出建设性的改进意见，而最好不要用简单的结论评价来替代建设性的探讨。
1、数字签名似乎有用，有一个当然不错。但仔细一用才发现并非法宝。实际中我们需要判断的主要是非微软的那些东西，但它们并非一定有数字签名的，但我们却不能根据数字签名与否来确定它是否有害。因此数字签名有一定辅助，但不能把宝押在它上面。

2、Syscheck 没优势之说不敢苟同。我研究过兄弟所述的几种工具，技术功能上各有千秋。由于检测方式的不同，没有哪一种是万能的，总有它们不能顾及的地方——因为Roothit的实现也并非只有一种途径。当然，Syscheck 在实践中不断改进、增强、与上述同类工具的强悍功能靠齐，这是完全有必要的。Sycheck 的最大优势在于人性化——真正的不是以程序员为中心、而是以用户为中心。而上述几种工具恰恰相反。Syscheck 中，各种项目右击鼠标会得到极其丰富的操作命令、不同颜色区分不同种类的对象、自动隐藏安全的项目、禁止其他线程创建……这些功能在实际使用中方便无比。就算一个老玩家，在Gmer中，也会对众多一股脑儿显示的项目无所适从——起码眼看花了，但在Syscheck中绝对不会。因此，可用性是Syscheck的最大强项。

3、至于2003中的问题，这个当然能够改进为好。但2003主要充当服务器平台，我实在想不出在一台服务器上经常安装共享软件会是什么后果。在服务器上检测Rootkit？更是笑话，服务器的安全应当以干净状态下的安全加固和防范为主，到了需要检测Rootkit的地步，这台服务器你还敢用吗？！经常在服务器上检测Rootkit那只是菜鸟的做法。

4、试用其他几个同类工具时，也有一些体会，觉得有些功能它们做得还不错。Syscheck值得借鉴和改进的地方如下：
  ①Gmer 的Rootkit检测项目相对比较全面，支持象杀毒软件那样对磁盘分区扫描（但肯定没有使用独立的特征库）；
  ②进程显示中，有一个 Safe 模式，试用后居然重启，引导到一个独立的 Gmer 界面，查看进程时，此时居然只有一个Csrss.exe的进程！这种干净程度是无与伦比的！原来Syscheck测试了那么长时间的“快速净化系统”功能在Gmer中是如此极端地表现的！不能不佩服Gmer的大胆、果决！当然，其进程显示差劲得一塌糊涂——根本看不出有哪些进程被注入等。得一个进程、一个模块地慢慢看，不是资深高手就干瞪眼吧！
  因此，Syscheck 的净化功能是不是也可以参照它一下？不过，目前的快速净化仍然保留为好，因为我们并不希望动不动就重启一次：）
  ③其 Autostart 扫描中，也有部分项目值得 Syscheck 借鉴。其中，Syscheck/Sysshield 可能没有监视和检测的项目大致有：
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows
HKLM\SYSTEM\CurrentControlSet\Control\WOW@cmdline
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\*\shellex\ContextMenuHandlers
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers
HKCU\Control Panel\Desktop
HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID
HKLM\Software\Classes\PROTOCOLS\Handler
  ④Gmer中各项功能分别以选项卡列出，模块比较清晰。对照之下，感觉 Syscheck 的功能分类仍然可适当改进，比如把检查并修复的功能是否可集中到一个“检测修复”选项卡中？如进程管理页中的“输出信息”其实并非仅仅只输出进程信息的，而是输出全局信息，因此这个输出信息放在进程管理页就不太合适；其他如“Winsock检查”、“磁盘关联”也差不多如此。如果集中到一个“检测修复”选项卡，则以后类似的专项修复功能均可集中作为选项放在里面，也便于日后的功能扩充。
  ⑤另外，Syscheck 的文件浏览器中的“重命名”、“延时删除”功能为什么不能同时移植到“进程管理”和“活动文件”项目中？有些进程结束后，重启仍然会回来，有些活动文件怎么也无法禁用，此时采取延时删除就是比较可靠的做法了（最近查杀几个新流氓病毒就深有体会）。同时，以前好象有的“永久禁止该程序运行”的功能似乎取消了？我想这还是非常有用的，昨天我在对付一个Yasrd.exe的顽固进程时，由于其采用了驱动保护，无论怎么处理均无法有效结束那个Yasrd.exe进程，最后还是用系统本身的软件限制策略（注：Home版的XP不支持本地安全策略！只能用程序映射方式禁用）限制其运行，重启后轻松搞定（此时先还原SSDT，再直接修改驱动文件的文件名，由于没有进程守护，果然可先对驱动改名，然后重启并删除了）。而当时延时删除居然也无效，可能是病毒监视了延时删除的注册表键值吧。
   ⑥Syscheck 日后的改进，一方面可以在驱动上再下功夫，功能的强悍第一；兼容性上，是否可做成双驱动，检测到不同系统分别加载不同驱动？再就是逐步添加少量但关键的网络检测功能，类似Currport等的端口检测，能够强力显示当前开放和侦听的端口与进程的对应关系并选择是否结束相应进程等。如此功能就真的更加专业了！
   ⑦Syscheck 微小BUG：在文件浏览右键菜单中，“传送到”的子菜单项“其他资文件夹”似乎多了个“资”字；“复制文件名到剪贴簿”的提法是台湾的，最好统一为“剪贴板”：）
   ⑧Syscheck 中所有的文件删除操作最好使用回收站。前天不小心误删除一个驱动文件，导致系统不能进入，当时没有记录删除的文件名，用PE引导进入后想恢复都不知道是哪一个文件，只好重装！苦也！
   ⑨内核“强化检测”功能在检测一个名为Yasrd.sys的流氓进程时，如果选中，反而不显示这个流氓进程的内核Hook状态，不选择倒能够显示。是不是逻辑上有错误？
   ⑩“进程管理”中建议添加一个进程对应文件的“提供厂商”的字段，那样更方便辅助判断。通常“三无”产品或假冒微软标志的都是首选值得怀疑的对象。

最后顺便说一句，真正终极可靠的检测是用PE离线检测和处理，那样任你什么Rootkit也只有死路一条，总不能采取直接写磁盘扇区的猥琐手段吧，哈哈！

[ 本帖最后由 emca 于 2006-10-6 08:00 AM 编辑 ]

wang6071

安全盾1.39覆盖升级文件
  改写算法,减少Cpu占用,采用新的防hook处理。

6618

原帖由 songq 于 2006-10-5 09:28 PM 发表
原来没注意autorun8.53和sreng2.2都已经有了校验数字签名功能，并可以将微软签名的文件隐藏掉，有问题的文件就很清楚了。
不明白为什么syscheck不加这个功能。
现在感觉syscheck没优势了，ssdt检测感觉比不上超 ...

不赞同你的看法，在功能上，在实用上，syscheck都非常强悍，与上面的两个东东各有千秋．

longwang

同意红叶的观点，“Sycheck 的最大优势在于人性化——真正的不是以程序员为中心、而是以用户为中心。”
这也是我非常喜欢syscheck的原因。

除了红叶谈到的地方，感觉“活动文件”和“关键键值”的检测感觉也不是很好，没有进行分类，并不知道它到底检测了些什么，有没有漏检，不能给人信赖的感觉，这方面autorun都值得借鉴。

[ 本帖最后由 longwang 于 2006-10-6 02:32 PM 编辑 ]

askai

我觉得安全盾是防护软件(主要是防止病毒或未知程序在硬盘,注册表留下东西),并不是杀毒辅助软件,更不是杀毒软件.大家不要把研究方向搞散了.不要追求全面化.找毒,杀毒留给别的软件吧.我觉得现在真正要优化安全盾的Cpu占用,硬盘损伤,程序冲突(我以前就提过,在208页)希望wang6071看到

[ 本帖最后由 askai 于 2006-10-6 03:02 PM 编辑 ]

wang6071

原帖由 askai 于 2006-10-6 02:59 PM 发表
我觉得安全盾是防护软件(主要是防止病毒或未知程序在硬盘,注册表留下东西),并不是杀毒辅助软件,更不是杀毒软件.大家不要把研究方向搞散了.不要追求全面化.找毒,杀毒留给别的软件吧.我觉得现在真正要优化安全盾的C ...

怕硬盘损伤最好连网都不要上了,IE临时文件每天要产生N多个,多线程下载更是不能用,因为这样写硬盘更密集.单线程下载也能用,因为最终是从IE监时文件夹复制到其它地方.最好Ms将系统设计成只读或者直接固化成硬件,不产生任何文件.

目前已知的操作系统都会产生临时文件,尤其是Ms的系统,居然搞了个页面文件出来,而且动态变化,注册表更是一个坏东西,每秒有多少东西要写入写出,Ms纯粹是硬件杀手.建议大家不要用Ms的这些东西,要用也只能用Dos6.0及以下版本,这些版本没有临时文件.

不过这样读多了也可能会损坏,所以最好连电脑都不用,研制开发神经中枢,想一想就可以上网，想一下就可以游戏好了!(不过不知道到时会不会又有了脑损坏的提法呢?)

[ 本帖最后由 wang6071 于 2006-10-6 03:38 PM 编辑 ]

生命过客

原帖由 wang6071 于 2006-10-6 03:24 PM 发表


怕硬盘损伤最好连网都不要上了,IE临时文件每天要产生N多个,多线程下载更是不能用,因为这样写硬盘更密集.单线程下载也能用,因为最终是从IE监时文件夹复制到其它地方.最好Ms将系统设计成只读或者直接固化成硬件 ...

:)说的太好了。
坚决支持Wang兄的两款小软件。

askai

谢谢,因为曾有过硬盘用坏了,丢失大量宝贵资料的经历,所以特别在乎软件对硬盘的损伤这个问题

askai

但我还是希望高手们不要把研究方向搞散了.不要追求全面化.我只是希望用着安全盾,上网可以裸奔,杀毒软件浪费资源,还拖慢速度,

adminfire

虽然使用类型过滤，不能创建新的过滤指定的文件类型，但是如果新建的文件是此目录存在的文件名，那么他的过滤类型将失效，

yht

autorun8.53和sreng2.2都是我之所爱!但Sycheck更是我一日不可或缺之宝贝!!
俗语说得好:尺有所短,寸有所长呵!
emca之帖说的极中肯!支持下!
另外,对wang节日期间的辛勤劳动深表敬意!因为我看到安全盾又有大升级呵!!!(1.39版发布!)

小木头

原帖由 yht 于 2006-10-6 05:09 PM 发表
emca之帖说的极中肯!支持下!
另外,对wang节日期间的辛勤劳动深表敬意!因为我看到安全盾又有大升级呵 ...

我也是安全盾的忠实使用者,很久以前就卸载了杀软.只运行着安全盾上网!对wang节日期间的辛勤劳动深表敬意!

[ 本帖最后由 小木头 于 2006-10-6 07:08 PM 编辑 ]

zwww1967

对wang节日期间的辛勤劳动深表敬意!

6618

下了个GMER看了一下，功能强不强大我就不知了，一大堆的东东，看到眼都花了，实用性不强，个人觉得很不好用：

推士机

今天开始试用一下EQSecure for System 以及EQSpyWatch，看看效果如何。
http://www.eqspywatch.com/

askai

EQSecure for System 以及EQSpyWatch
操作太复杂,功能太简单

yht

EQSecure for System 似乎有gss1.110beda的影子!
占用资源不小,看来仅模仿了gss的式,而不得其神呵!.......

推士机

安装EQSpyWatch，关闭杀软，在影子模式下到梦想软件园和福州软件下载站下了两个流氓包，分别解压安装，还是中招了，多了5个进程，cpu占用100%，不过yahoo、cnnic之类被拦截，应该是规则不全所致。个人感觉还是安全盾好使!!!

[ 本帖最后由 推士机 于 2006-10-7 12:08 PM 编辑 ]