[sysshield]系统安全盾

askai

能否在服务管理的列表中右击某个服务时，新增一个“定位注册表项”？
也提提

wang6071

原帖由 sck 于 2006-11-14 04:57 PM 发表
请问王兄：
syscheck里的SafeHook.dll文件主要作用是什么？我删除它，好像也不影响程序的运行。

使用禁止外部线程创建时使用的全局钩子,如果不用此功能可以不要这个dll.

ok-gao

试了下Syscheck检测报告。[NOMS][IsMS]的标注，真的越来越精确了。但前面的是否微软的标注让人有些眼花。[NOMS][IsMS]一模一样的位置，虽然显得很整齐，但我认为，事实上它影响了最快的第一视觉判断。象我这种菜鸟，只看看第三方非微软的，微软本身的一般从来不看，看也看不懂。
所以，在位置和标识上，两者应区别明显，这有利于第一次的整个报告的浏览。扫几眼就很明显看到非微软的进程和服务。我想，这是一般人看报告的第一动机吧。
因此，有如下建议：１、是否考虑微软的都不加注释了，只在报告前面标明微软的都没加？这样，报告也看起来简捷些。２、如果要用，我觉得，可以[IsMS]直接用[MS]，把前面两格空下来，这样可以在视觉上用个斜线的感觉去直觉先判断一下（有点象诺顿的那个进程管理器的进程图类似）３、可以加入视觉更好的标识，比如，非微软的用实心圆（没打出来５５５～），或者◆之类，微软的不加标识最好，不然看起来很杂乱的。

举如下的例子：
  ctfmon.exe=c:\windows\system32\ctfmon.exe
  [NOMS]d:\backup\ad muncher\am20163.dll
  [IsMS]c:\windows\system32\ctfmon.exe
  [IsMS]c:\windows\system32\ntdll.dll
  [IsMS]c:\windows\system32\kernel32.dll
  [IsMS]c:\windows\system32\advapi32.dll
  [IsMS]c:\windows\system32\rpcrt4.dll
  [IsMS]c:\windows\system32\user32.dll
  [IsMS]c:\windows\system32\gdi32.dll
  [IsMS]c:\windows\system32\msctf.dll
  [IsMS]c:\windows\system32\msutb.dll
  [IsMS]c:\windows\system32\imm32.dll
  [IsMS]c:\windows\system32\lpk.dll
  [IsMS]c:\windows\system32\usp10.dll
  [IsMS]c:\windows\system32\uxtheme.dll
  [IsMS]c:\windows\system32\msvcrt.dll
  [IsMS]c:\windows\system32\ole32.dll

我们一般只要看看[NOMS]d:\backup\ad muncher\am20163.dll有没有异常就可以了。处理和好，我们只看看各项的非微软的就可以了，微软的只给最后不得已时再参考看看的，一般情况下很少看。

emca

昨天用Syscheck处理一起病毒事件，先是珊瑚虫工具栏，其驱动Ytkeeper.sys无法中止、删除，反复各种尝试失败后用PE清除之；
接着是最新的 My123 病毒，其驱动 ltggqp.sys 无法清除，包括延迟删除失效；同时此驱动修改了一处 SSDT（好象是 Fileopen），也不能成功还原这个 SSDT。最终用PE清除。另外，虽然没有监测到其对注册表操作的Hook，但病毒活动时对IE首页的修改确实无效，修改后马上被病毒改回 www.my123.com（即 www.7255.com）。使用网友提供的几种专杀工具，发现能够检测但根本无法有效杀除（重启后立即恢复。原因是病毒驱动无法有效清除）。而另外一网友却报告用 http://www.arswp.com 提供的Arswp工具能够有效清除，这说明中毒后清除病毒驱动仍然有更好的编程办法，请Wangsea兄弟参考并请知情的兄弟进一步讨论。、

另外，处理上述My123病毒时，发现其驱动签名是仿冒微软的，但在 Syscheck 中报告为验证未通过！据此我才从大量的驱动中快速找到这个病毒驱动（据说会随机改名，因此肉眼查找难度更大）这说明Syscheck的签名验证功能是非常必要的！！虽然稍慢，但能够解决问题，这就对了！

因此，在应用程序这个层面上，安全工具与病毒其实是在比拼编程技术，同时由于往往是病毒已经进入后再使用安全工具，因此其优先级就成了一个大问题！由此可见，防范仍然是第一。从本次病毒感染的分析来看，极可能是用户从百度搜索MP3，找到某个链接，然后打开了这个带毒的链接而中毒的（分析其中毒前后的浏览器历史）。但笔者用自己的笔记本反复浏览中毒前后相同的网页却并不中毒，而区别仅仅在于关闭了IE的几个Activex组件，阻止了浏览器中的代码直接自动在系统中生成文件而已，对应的注册表内容如下：

-----------------------------------------------------
REGEDIT4

; 恶意网页木马免疫——删除以下组件：
; 恶意执行程序组件 WScript.Shell
; 木马生成组件 FileSystemObject
; 木马下载组件 XMLHTTP
; 木马上传组件 ADOB.Stream
; 木马执行组件 Shell.Application
; 要恢复时，请删除下面每行前面的 - 号再重新导入注册表即可！
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88D969C5-F192-11D4-A65F-0040963251E5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88D969EA-F192-11D4-A65F-0040963251E5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}]

--------------------------------

由此可见，Syscheck 的修复工具中是否可添加一项“增强IE浏览器安全性”这个功能？具体可包括上述修改和其他一些典型的对平时应用没有明显影响的安全处理。

[ 本帖最后由 emca 于 2006-11-15 07:31 AM 编辑 ]

xdg3669

原帖由 emca 于 2006-11-15 07:29 AM 发表
昨天用Syscheck处理一起病毒事件，先是珊瑚虫工具栏，其驱动Ytkeeper.sys无法中止、删除，反复各种尝试失败后用PE清除之；
接着是最新的 My123 病毒，其驱动 ltggqp.sys 无法清除，包括延迟删除失效；同时此驱动 ...

签名验证功能是否可以设为默认。IE安全功能选项可以包括IE设置锁定。

luxp

原帖由 ok-gao 于 2006-11-14 11:52 PM 发表
试了下Syscheck检测报告。的标注，真的越来越精确了。但前面的是否微软的标注让人有些眼花。一模一样的位置，虽然显得很整齐，但我认为，事实上它影响了最快的第一视觉判断。象我这种菜鸟，只看看第三方非微软的， ...

我朋友的机子也中了这个MY123病毒，怎么也干不掉。看了红叶兄的帖子，马上下了一个ARSWP，修好了。谢谢！

zzzzzzzzzzz

原帖由 emca 于 2006-11-15 07:29 AM 发表
因此，在应用程序这个层面上，安全工具与病毒其实是在比拼编程技术，同时由于往往是病毒已经进入后再使用安全工具，因此其优先级就成了一个大问题！

可以说wang6071的编程技术非常不错，但这个工具毕竟被限制在Ring3下。
Ring3工具能和Ring0的“东西”正面交锋，并且屡次获胜，已经非常不错了。
删掉那个Sys可以使用IceSword的“强制删除”。这是Ring0下的程序，据大牛说它是直接构造IRP包发送到设备。

由此可见，防范仍然是第一。

请使用SysShield:lol

bbb333

王兄好
我昨天中了新lsass.exe病毒，把exe文件都给我改了。安全盾只把c:\WINDOWS\System32\drivers\lsass.exe挡住了
c:\Documents and Settings\Administrator\「开始」菜单\程序\启动\cmd.pif 这个没堵住，加到启动项中安全盾也没反应。不知是什么问题。谢谢

freesoft00

还是有乱码呀

wang6071

bbb333的版本低了,freesoft00的是权限不足

syscheck(1.0.0.56)
  增加了对灰鸽子之类软件利用全局HOOK隐藏注册表服务键的检测。
  精简代码,使safehoo.dll缩小至为36K
  修正进程页中"移除模块并删除文件"功能,经检测是移除到回收站可能让syscheck死锁，所以本版以后均是直接删除，不再删除到回收站。需要提示的是如果某些全局HOOK住了syscheck,虽然该DLL对syscheck无效,但使用该功能可能导致syscheck自身关闭。但清理全局HOOK的效果仍然是有效的，可以反复手动启动执行，一般执行二次可以将全局钩子卸除。
  修正服务页当服务已停止且文件不存时选用功能:删除服务及文件出错的一个错误提示。
  服务页右键菜单加入“定位注册表项”功能，输出信息小调整了一下格式。

xdg3669

原帖由 wang6071 于 2006-11-15 08:39 PM 发表
服务页右键菜单加入“定位注册表项”功能，输出信息小调整了一下格式。...

呵呵。更加人性化，这样在这里就可以看看服务是什么东东了！

建议可以把安全盾的注册表工具合并到Syscheck2.exe中，这个工具就专门作为反黑、检测、优化工具。安全盾就专职一点。

pppp1234

同意楼上的

6618

发现syscheck的一个小BUG：
当CMD和BAT文件关联给修改了的时候（改成"%1 %*"时），
syscheck能检测到，但修复不了。修复了再点“刷新”还是
提错，exefile则能成功修复。wang兄把附件中的CMD错误的
注册表文件导入系统试试就知道了。

wang6071

原帖由 6618 于 2006-11-15 10:10 PM 发表
发现syscheck的一个小BUG：
当CMD和BAT文件关联给修改了的时候（改成"%1 %*"时），
syscheck能检测到，但修复不了。修复了再点“刷新”还是
提错，exefile则能成功修复。wang兄把附件中的CMD错误的
...

已修正这个问题.

askai

6618 的活动文件好精减啊

6618

原帖由 wang6071 于 2006-11-15 11:13 PM 发表
已修正这个问题.

谢谢，wang兄回复的真快。

原帖由 askai 于 2006-11-15 11:20 PM 发表
6618 的活动文件好精减啊

呵呵，我的启动的东西不多。自己用不到的都删了。

zts59

王兄，看了一下江民的BOOTSCAN，发现WINDOWS启动时会找注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager下面的BootExecute可以引导一个类似于16位的程序（江民的BOOTSCAN在32位不能用，所以判断应该是16位的，不知道对否？）。

这样的话，能否做个能工作在这个模式下的程序（做为syscheck的外挂来调用），启动时来删除一些顽固的底层驱动或病毒文件呢？，当然便修复注册表中的服务就更好了。

附件为江民2007的BOOTSCAN，因为太大，我把病毒库去掉了，想你借鉴一下它的启动方式。（有病毒库的情况下在N台机器安装启动测试成功）。

longwang

原帖由 zts59 于 2006-11-16 11:07 AM 发表
王兄，看了一下江民的BOOTSCAN，发现WINDOWS启动时会找注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager下面的BootExecute可以引导一个类似于16位的程序（江民的BOOTSCAN在32位不 ...

要是能实现这个功能，那删除顽固程序应该没什么问题了。

wang6071

原帖由 zts59 于 2006-11-16 11:07 AM 发表
王兄，看了一下江民的BOOTSCAN，发现WINDOWS启动时会找注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager下面的BootExecute可以引导一个类似于16位的程序（江民的BOOTSCAN在32位不 ...

还有一个方法无忧的兄弟可以研究一下:
1:做个grub加载的img,此img加载ntfsdospro,批处理的任务是搜索各盘根目当下的del.bat并转到该盘符下执行.完成后修改boot.ini的启动项,使其下次不运行.
2:在win下将要删除的文件生成del.bat,不带盘符,文件在哪个盘就放在哪个盘的根目录下.然后修改boo.ini,使其下次启动是运行grub加载的img,在纯dos环境下处理.

这个更容易实现一些.

emca

对于已经中毒的系统，采取通过BootExcute加载清除程序的做法是没用的，因为病毒早就会想到这招，它同样会监视这些键值，让你的修改失效。这就是为什么许多病毒使用延迟删除也不能清除掉的原因。

至于用Grub加载一个特殊的IMG当然是个思路，但问题是NtfsDOS之类的工具对系统分区可能会导致逻辑错误！
因此最好的办法是在系统分区安装一套PE作为备用系统，不但是病毒问题，其他问题导致的标准Windows模式下不能解决的，都能够轻易处理。我一直这么做，仅仅是占用系统盘100MB空间来存放PE而已。包括日后的Vista都可以如此维护，因为DVD驱动器并不是目前所有PC上都配置的，不少机器仍然用的是CD—ROM，因此用DVD维护系统其广泛的适应性就成了问题。

如果要营造一个实模式，则Gemer已经有所尝试，但这仅仅只适合高端用户，普通用户反而无所适从。因此适用的广泛性仍然是问题！

bbb333

王兄好，安装了新版安全盾，运行bt的时候怎么不弹出阻止窗口？是问题吗，谢谢

flyingsand

原帖由 bbb333 于 2006-11-17 02:42 PM 发表
王兄好，安装了新版安全盾，运行bt的时候怎么不弹出阻止窗口？是问题吗，谢谢

帮王兄答一下：你的安全盾找到你的浏览器了吗？如果没找到，可手工添加。

bbb333

谢谢飞沙兄，我的设置和你的图片一样，安装到现在一次没跳，迅雷、bt都使用过。

flyingsand

原帖由 bbb333 于 2006-11-18 01:10 PM 发表
谢谢飞沙兄，我的设置和你的图片一样，安装到现在一次没跳，迅雷、bt都使用过。

那就要王兄出手了，该不会是已加入到永久信任列表的吧。我现在用的是1.45版，一直很正常，不过，要王兄出手，你可能先要提供多一点资料。

wang6071

可能是你先启动了bt工具再在浏览器中点击bt种子吧?这样是不会阻止的.

要阻止窗弹出是需要在浏览器中点击bt种子,下载完bt种子后直接由浏览器启动bt软件来打开bt种子,这样的操作才会弹出阻止窗.

wang6071

syscheck(1.0.0.57)
  将签名校验后的结果合并入进程颜色提示,显示非微软进程及服务管理中的“仅显示非微软”，当然，如果你的系统是精简系统有太多通不过签名校验的，仍按原来的方式显示。
  重新调整了一下"全局卸载\删除DLL"的子过程,极大提高了稳定性与成功率。
  将程序名syscheck2改名后,窗口标题随之改为修改后的名字。

  本版增加修复bug,楼下下载

[ 本帖最后由 wang6071 于 2006-11-18 10:51 PM 编辑 ]

xdg3669

多谢，更加完善了，辛苦了。

wang6071

syscheck(1.0.0.57)第2版
  修复能够检测出“Explorer加载”,但修复功能无效的Bug。
  修复提示中的几处文字错误。

emca

最新版本在我的Windows XP环境中，服务检测页的微软认证全部是空白，无任何内容。是否是忘记了什么？

另，文件浏览窗口中，建议两点改进：
1. 按字母键能够象资源管理器那样快速定位到对应的首字母文件名；目前是必须拖动滚动条定位，不太方便。
2. 是否也能够象服务管理那样，在文件浏览中添加一项“优先/只显示特殊属性的文件”选项？那样快速定位可疑文件时更加快捷方便，尤其是System32文件夹，文件数量巨大，优先将具有隐藏、系统、只读属性的文件加红突出显示，能够快速定位可疑文件。99%的情况下非法程序文件都喜欢修改属性隐藏自己的。

[ 本帖最后由 emca 于 2006-11-19 08:17 AM 编辑 ]

xubo1971

提供一个带马网页供大家测试，请慎重进入！
http://www.homedown.cn/soft/softdown.asp?softid=2118