无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
楼主: wang6071
打印 上一主题 下一主题

[sysshield]系统安全盾

[复制链接]
3001#
发表于 2007-4-24 15:55:04 | 只看该作者
:lol 今天在朋友的推荐下也装上了,感觉还不错
回复

使用道具 举报

3002#
发表于 2007-4-24 19:51:54 | 只看该作者
原帖由 天地任逍遥 于 2007-4-24 03:55 PM 发表
:lol 今天在朋友的推荐下也装上了,感觉还不错



嘿嘿,这小子灌水来了?
有没有试一试syscheck?也是个好东东。
回复

使用道具 举报

3003#
 楼主| 发表于 2007-4-24 22:39:01 | 只看该作者
谢谢zzzzzzzzzzz 的测试及意见,wsyscheck杀不了使用Inline Hook的进程,且偶不想用PspTerminateProcess(因为要针对系统版本硬编码),所以对Is无法杀.(不过也有在R3下结束Is的方法,不过我觉得也没多大必要,结束不了进程及驱动只要能查出来,就可以想办法删除,所以目的不是结束,最终目的是要删除)

进程检测确实是检测句柄表,对PspCidTable不熟所以也就无法做到如Is一样。

取进程模块没有使用远线程,估计你说的是卸载模块,一个原因是能在R3下做到的我想还是尽量用R3,原因是驱动加载有可能被阻止.

下面是驱动较稳定的wsyscheck.

Wsyscheck.rar

317.17 KB, 下载次数: 66, 下载积分: 无忧币 -2

回复

使用道具 举报

3004#
发表于 2007-4-24 23:43:43 | 只看该作者
原帖由 wang6071 于 2007-4-24 10:39 PM 发表
谢谢zzzzzzzzzzz 的测试及意见,wsyscheck杀不了使用Inline Hook的进程,且偶不想用PspTerminateProcess(因为要针对系统版本硬编码),所以对Is无法杀.(不过也有在R3下结束Is的方法,不过我觉得也没多大必要, ...

检测句柄表没什么不好呀,很稳定,且对付鸽子之流绰绰有余了(今天中午我用SysCheck仅按了5下鼠标就斩了一只鸽子)。
您说的没错,确实是要在删除文件上下功夫,只要文件挂了,基本上都搞定了。
R0下文件删除就有很多可以发挥的空间了。哈哈~也可以参考最近才出的360FileKiller
回复

使用道具 举报

3005#
发表于 2007-4-25 09:27:39 | 只看该作者
原帖由 wang6071 于 2007-4-24 10:39 PM 发表
谢谢zzzzzzzzzzz 的测试及意见,wsyscheck杀不了使用Inline Hook的进程,且偶不想用PspTerminateProcess(因为要针对系统版本硬编码),所以对Is无法杀.(不过也有在R3下结束Is的方法,不过我觉得也没多大必要, ...



wang6071,在重启删除文件方面不知道你是否使用XP本是的重启删除,如果是的话,是否考虑一下使用HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute的方法来删除文件?
回复

使用道具 举报

3006#
发表于 2007-4-25 10:57:40 | 只看该作者
多谢楼主,我用了,很不错!
回复

使用道具 举报

3007#
 楼主| 发表于 2007-4-27 00:38:46 | 只看该作者
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute下运行的程序与一般程序不同,我不知道该如何写这样的程序.

wsyscheck(0426),修正了服务页的刷新显示方式,加入了较Syscheck增强了的no process create的HOOK

Wsyscheck(0426).rar

335.31 KB, 下载次数: 93, 下载积分: 无忧币 -2

回复

使用道具 举报

3008#
发表于 2007-4-27 08:47:40 | 只看该作者
感谢分享。
支持一下
回复

使用道具 举报

3009#
发表于 2007-4-27 08:57:49 | 只看该作者
建议WSYSCHECK对文件的GOTO File是跳转到工具本身的EXPLORER中去找到,
这样某些情况下不对EXPLORER.exe的依赖。

在网上看了一款GMER,功能也有很多,不过我对CMD这个功能还是觉得蛮好用的。
(不用另开命今行窗口了)


建议楼主考滤一下:)

[ 本帖最后由 zts59 于 2007-4-27 09:01 AM 编辑 ]

gmer.zip

483.46 KB, 下载次数: 42, 下载积分: 无忧币 -2

回复

使用道具 举报

3010#
发表于 2007-4-27 14:27:32 | 只看该作者
不检测SSDT,为什么?

Snap1.jpg (36.98 KB, 下载次数: 149)

Snap1.jpg

Snap2.jpg (76.27 KB, 下载次数: 156)

Snap2.jpg
回复

使用道具 举报

3011#
发表于 2007-4-27 18:43:22 | 只看该作者
这个经典!可以不装杀软了:)
回复

使用道具 举报

3012#
 楼主| 发表于 2007-4-27 19:54:44 | 只看该作者
原帖由 小木头 于 2007-4-27 02:27 PM 发表
不检测SSDT,为什么?


运行wsyscheck时不是有个提示驱动未加载成功的提示你没注意到吧?
要显示ssdt需要安全盾处于信任模块让驱动加载.

GOTO File是跳转到工具EXPLORER中定位作用有:
1:如果Explorer开启了显示隐藏文件仍不可见此文件,说明系统有木马.
2:想备份一个可疑文件或搜集样本时需要作定位.
3:可以在Explorer中对文件作重命名等简单处理让程序无法运行.

内置cmd作用不是很大,不见得比syscheck内置的资源管理器有什么优势.

[ 本帖最后由 wang6071 于 2007-4-27 08:28 PM 编辑 ]
回复

使用道具 举报

3013#
发表于 2007-4-27 21:32:15 | 只看该作者
忽视了它的提示.明白了!谢谢王兄.
回复

使用道具 举报

3014#
发表于 2007-4-28 12:45:13 | 只看该作者
最近系统用wsyscheck检测时,在explorer进程中总有c:\windows\system32\uptool.dll,好像卸掉之后还有,请问是木马或病毒吗?如何解决?
谢谢。
回复

使用道具 举报

3015#
发表于 2007-4-30 16:52:23 | 只看该作者
的确是不错,谢谢楼主。
回复

使用道具 举报

3016#
 楼主| 发表于 2007-4-30 23:57:57 | 只看该作者
Wsyscheck(0430):内置了RegEdit

Wsyscheck(0430).rar

344.15 KB, 下载次数: 46, 下载积分: 无忧币 -2

回复

使用道具 举报

3017#
 楼主| 发表于 2007-5-1 14:55:51 | 只看该作者
wsyscheck(0501):对畸形文件名增加支持(可以处理...  aux  con等目录了)

Wsyscheck0501.rar

344.48 KB, 下载次数: 67, 下载积分: 无忧币 -2

回复

使用道具 举报

3018#
发表于 2007-5-1 15:46:17 | 只看该作者
谢谢楼主。新东西。我看看
回复

使用道具 举报

3019#
发表于 2007-5-1 18:04:50 | 只看该作者
楼主更新得太频繁了,,呵呵,不知道安全盾还有改进的地方吗?:)
回复

使用道具 举报

3020#
发表于 2007-5-2 09:18:11 | 只看该作者
新版本不错。但人性化上严重倒退。与前期比较成熟的Syscheck相比,这个更只适合高手使用了。
回复

使用道具 举报

3021#
发表于 2007-5-2 09:56:20 | 只看该作者
原帖由 wang6071 于 2007-4-27 07:54 PM 发表


运行wsyscheck时不是有个提示驱动未加载成功的提示你没注意到吧?
要显示ssdt需要安全盾处于信任模块让驱动加载.

GOTO File是跳转到工具EXPLORER中定位作用有:
1:如果Explorer开启了显示隐藏文件仍不可 ...




用此类工具(清理木马或病毒),本身就知道系统有问题,
某些情况下,EXPLORER.EXE还有可能成为一些东东攻击对象

所以:WINDOWS系统中的EXPLORER用不到!


然后工具本身的EXPLORER,用得很少,因为:
操作太慢了,效率太低。难道发现一文件,还要一级级的展开,然后操作?
为加强此EXPLORER功能,GOTO FILE对应此EXPLORER会好很多.

再说CMD,个人认为其理由为:
为了提高率..得知系统同一文件夹内的多个可疑隐藏文件,像什么ATTRIB   REN    MD效率高很多.

说到这里,又带出一个,免疫文件 :  用同文件夹名代替(并在文件夹中建立一个SY...\的文件夹)

可能楼主不想为了产生过多的空文件夹而不想,可是这个功能在未能完全清除对象时有着很大作用!
等,使用者完用全清除对象后,可以设一下清除功能(因为里面有个SY...\)


楼主能不能考滤?



发现一些什么鬼东东,在注册表中写入类似的: (举例对CMD.EXE进行限制)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe]
"debugger"="debug_prog"

对300个文件进行限制,什么工具都用不了,真够BT的,

虽然改名就可以执行,但是如果限制太多的文件的话,改名肯定是不行的.(后删除此项所有,才可以)


对这项,可以考滤在REGEDIT中,有个收藏功能,把一些常用设置地址,收藏一下.


还有增强工具的常用操作快捷键:

终止进程  ----  用上下键移动,用左右键选择和取消选择,   选择后,按DEL键
删除操作  ----  用DEL键,(应用在删除启动项目、删除服务驱动,此操作不会删除物理文件)
终止或Uload并删除   ----  Alt  + DEL
强制删除  ----     CTRL + DEL

[ 本帖最后由 zts59 于 2007-5-2 10:14 AM 编辑 ]
回复

使用道具 举报

3022#
发表于 2007-5-2 16:08:40 | 只看该作者
原帖由 emca 于 2007-5-2 09:18 AM 发表
新版本不错。但人性化上严重倒退。与前期比较成熟的Syscheck相比,这个更只适合高手使用了。

同意!建议将界面改成中文或中英文双语的。
回复

使用道具 举报

3023#
发表于 2007-5-2 20:23:59 | 只看该作者
多谢!wang兄!不过还没有时间测试。正在玩ububtu7.04系统!这个不错的,3D桌面比WIN的vista有过之而无不及。各方面也很好。不用处理各种流氓和病毒。嘿嘿,发一组图片大家共享!

[ 本帖最后由 xdg3669 于 2007-5-2 08:32 PM 编辑 ]

Screenshot.jpg (54.54 KB, 下载次数: 341)

Screenshot.jpg

Screenshot-1.jpg (58.58 KB, 下载次数: 328)

Screenshot-1.jpg

Screenshot-2.jpg (54.58 KB, 下载次数: 334)

Screenshot-2.jpg
回复

使用道具 举报

3024#
发表于 2007-5-3 12:40:13 | 只看该作者
这么好东东,谢谢楼主
回复

使用道具 举报

3025#
发表于 2007-5-4 19:54:19 | 只看该作者
试用了不错!没什么问题!
回复

使用道具 举报

3026#
 楼主| 发表于 2007-5-5 00:55:41 | 只看该作者
Wsyscheck(0505):降低cpu占用,增加内置Regedit的书签(原则是相邻易见的Key不列入书签).及其它一些小修改

对于Image File Execution Options项目Wsyscheck先前就可检测并随时添加并删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的项目,这个地方可以如下运用:

对反复启动的进程可以直接先"DisabledRun This Process",让系统去禁止它启动.然后结束进程并删除文件,清理完毕后可以在Safe check页的Disabled Process Run 栏中找到新添加的项目,清理掉即可(不想清理就对添加的程序名打补丁了)

[ 本帖最后由 wang6071 于 2007-5-5 01:06 AM 编辑 ]

Wsyscheck(0505).rar

347.34 KB, 下载次数: 52, 下载积分: 无忧币 -2

回复

使用道具 举报

3027#
发表于 2007-5-5 02:37:52 | 只看该作者
下了一个,不错不错。。。。。
回复

使用道具 举报

3028#
发表于 2007-5-5 08:15:19 | 只看该作者
Wsyscheck(0505) 在运行安全盾的系统中运行, 怎么没了驱动加载不成功的提示!
回复

使用道具 举报

3029#
 楼主| 发表于 2007-5-5 08:36:01 | 只看该作者

回复 #3045 小木头 的帖子

不作明显提示,仅在Wsyscheck启动时状态栏显示加载不成功的提示.
回复

使用道具 举报

3030#
发表于 2007-5-5 17:38:44 | 只看该作者
reg页面增加收藏,很方便!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-28 23:53

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表