[sysshield]系统安全盾

wang6071 · 发表于 2006-4-23 16:04:41

上周外出一周,回贴晚了请见谅.同时再次感谢诸位对小儿的关心与爱护．
to lxhyhl :
关于设置免检目录,方法是在监控目录中新增需要免检的目录，并对该目录仅选择<监视子目录>和<使用免检文件>(即使该目录下的文件在免检文件中没有相应记录也可以的),其余项打X.
to yht：
安全盾工作时确实要脉动占用cpu 5%左右，但系统服务services.exe占用的cpu与安全盾无关．另外，安全盾的这个5%cpu占用是timer占用，并且在系统繁忙时会排队等侯，对系统无大的影响．(顺带说一句，能否检查一下您机器上的services.exe位置及属性是否正常，一般来说该服务并不会长时间占用15%的cpu的．)

yht · 发表于 2006-4-23 20:13:02

  wang6071 你好!
关于我的系统中cpu,系统安全盾自身占5%,同时连带services.exe占15%.两项合占高达20%.当然,这是脉动式的!也是同步的!即这两个进程的脉冲峰值同步!试关掉安全盾后,services.exe的cpu占用率观察不到了!
  services.exe位置及属性均正常.
  特告!

nOob · 发表于 2006-4-24 12:25:11

慢慢学～先收藏～

fxbwyqd · 发表于 2006-4-24 13:34:18

感谢提供！！！

ctsren · 发表于 2006-5-7 20:58:19

5.1回来，顶上去

gdlgh · 发表于 2006-5-10 07:50:35

wang兄近况如何？孩子可好？有日子没见您了！！！

wang6071 · 发表于 2006-5-10 12:53:05

谢谢各位兄弟关心,小孩情况基本正常，只是觉得现在时间太少，没多少时间写程序了.
最近抽空基上上完成了注册表驱动监视的基础驱动，其间死机，重启Ｎ次，搞得偶差不多想放弃了，不过最困难的时侯终于挺过来了，现在该内核驱动基本稳定．
目前正在做界面与驱动交附的测试，以及规则设置方面的考虑中，下面是这个驱动应用的截图．
[UploadFile=Image1_1147236781.jpg]

xubo1971 · 发表于 2006-5-10 18:41:49

期待新作！
反黑辅助在有些机子上一用就蓝屏，改在安全模式下使用，启动程序时提示初始化错误，进入程序后进程栏不能用，其他几栏没问题。还是兼容性问题？

wang6071 · 发表于 2006-5-11 00:22:01

下面引用由xubo1971在 2006/05/10 06:41pm 发表的内容：
期待新作！
反黑辅助在有些机子上一用就蓝屏，改在安全模式下使用，启动程序时提示初始化错误，进入程序后进程栏不能用，其他几栏没问题。还是兼容性问题？

反黑辅助由于采用了一些非常规手段,所以在某些机器上会出问题.考虑现在的这类检测工具已有不少,且未找到更好兼容的方法,所以目前不会再更新它了.开发该工具主要是想事后挽救,但事后挽救总没有提前防御的好，所以目前做的是象GhostSecuritySuite一样的内核注册表监视．内核注册表监视的好处是：
１：可以在写入前即中止．
２：占用资源较小．
偶先自已测试一下Demo的稳定性,过几天放出给大家测试．

[UploadFile=2_1147278073.jpg][UploadFile=3_1147278083.jpg]

gdlgh · 发表于 2006-5-11 07:37:16

系统安全盾让我的系统免受许多恶意软件的干扰，内核注册表监视期待放出！！！

wang6071 · 发表于 2006-5-12 18:41:11

http://bbs.wuyou.net/cgi-bin/topic.cgi?forum=33&topic=4422&show=0
这个贴子给出一个恶软,下载回来在虚拟机中做了一个注册表保护器配合安全盾的测试
[UploadFile=A1_1147430424.jpg][UploadFile=A2_1147430444.jpg][UploadFile=A3_1147430463.jpg]

wang6071 · 发表于 2006-5-12 18:42:36

[UploadFile=A4_1147430529.jpg]
与soft1587_crack.exe的对战汇报如下:
注册表保护器回退的操作(注意,更多的保护是在无输出禁用中,这个部份是未作输出的.未输出部份保证了不创建
服务键,不创建IE扩展键,不创建及更改文件的打开方式等等,远比输出的部份重要得多)
可以看到,有回退失败存在,这是因为安全盾的注册表监控部份已经在回退前自动删除了某些键值.
同时,可以看到有些键值在反复创建,原因是该进程未结束,不断地恢复自身的启动键值.
因为是测试,所以让该程序完全执行了.其实在看到Rundll32.exe写运行键,及888.exe这样的文件名的进程在写注
册表时,就应该先到进程管理中去执行杀进程的工作.
1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退成功!

1412    进程:888.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: rundll32
键值: "C:\WINDOWS\system32\rundll64.exe"
用户操作:回退失败!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退失败!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退失败!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退成功!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退成功!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退成功!

1864    进程:2.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: spoolsv
键值: "C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer"
用户操作:回退成功!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退成功!

1260    进程:ctfmon.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: spoolsv
键值: "C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer"
用户操作:回退失败!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退失败!

216    进程:vfp104.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: MSService_v1.0
键值: "C:\WINDOWS\system\vfp104.exe"
用户操作:回退失败!

232    进程:7.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: MoveSearch
键值: "C:\Program Files\HuaCi\huaci\zsearch.exe"
用户操作:回退失败!

316    进程:vfp104.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: MSService_v1.0
键值: "C:\WINDOWS\system\vfp104.exe"
用户操作:回退失败!

1260    进程:ctfmon.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: spoolsv
键值: "C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer"
用户操作:回退失败!

352    进程:Rundll32.exe
操作名:  创建新键
根键: HKEY_LOCAL_MACHINE
主键: system\currentcontrolset\services\hcalway
用户操作:回退成功!

352    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
值名: GrpConv
键值: "grpconv -o"
用户操作:回退失败!

232    进程:7.exe
操作名:  创建新键
根键: HKEY_LOCAL_MACHINE
主键: System\CurrentControlSet\Services\abhcop
用户操作:回退成功!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退失败!
安全盾的输出(未定义更严格的规则,所以Program Files下的文件或文件夹需要手动删除)
C:\WINDOWS\System32\Drivers\IsPubDrv.sys
C:\WINDOWS\System32\HelperService.dll
C:\WINDOWS\System32\SystemToolbar.dll
C:\WINDOWS\System32\FileUpdate.exe
C:\WINDOWS\System32\PopService.exe
C:\WINDOWS\System32\msicn\plugins\bse.dll
C:\Program Files\Yahoo!\Assistant\ylive.exe
C:\Program Files\Yahoo!\Assistant\yhelper.dll
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\Program Files\Yahoo!\Assistant\YAlive.dll
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\Drivers\hcalway.sys
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\Drivers\abhcop.sys
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\stdup.dll
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
spoolsv.exe反复被删除,因为有相关守护进程在反复创建它.

wang6071 · 发表于 2006-5-12 18:44:00

下面是<注册表保护器>Demo测试版
[UploadFile=safereg_1147430634.rar]

推士机 · 发表于 2006-5-12 22:41:43

下面引用由wang6071在 2006/05/11 00:22am 发表的内容：
...开发该工具主要是想事后挽救,但事后挽救总没有提前防御的好，所以目前做的是象GhostSecuritySuite一样的内核注册表监视．

强烈支持！

emca · 发表于 2006-5-13 16:59:31

我现在一直在使用 Winpooch，它的拦截能力较好，但这不是主要的，而是它支持用户定义非常丰富、全面的规则。其本身的默认规则功能并不怎么样，因此可能大家并没有看重它。我将以前用于ShsShieled的规则加以充实修改，目前已经形成 600 多条规则，基本上是水泼不进了，而且执行效率高，对系统性能没有可感觉得到的影响（这点比GSS要好得多！）。
Winpooch 是个开源软件，有源代码的，Wangsea兄弟是否可以参照一下它的设计？
目前感觉它不爽的地方是没有一个能够临时禁用并自动延时恢复监视的选项；不能对关闭程序进行认证。
希望Wangsea兄弟的东东越来越好！

yht · 发表于 2006-5-13 20:33:38

Winpooch的兼容性较差!这限制了它的使用广度!!

wang6071 · 发表于 2006-5-14 10:45:02

谢谢emca,下载并安装了Winpooch学习,粗略看了一下，发现其监视功能与金山毒霸类似，是采用的win32级的线程插入技术的Hook，它在每个用户进程中都插入了它的Dll,与黑客之门的手段类似(但对系统进程并未插入，这是与黑客之门的区别)． yht 兄说其兼容性较差，可能也许此相关．其规则设置方面做得不错，值得学习．

推士机 · 发表于 2006-5-14 11:06:57

[这个贴子最后由推士机在 2006/05/14 12:39pm 第 1 次编辑]

余兄所言“不爽的地方是没有一个能够临时禁用并自动延时恢复监视的选项”的确有同感。在桌面上解压文件都要先关闭Winpooch，很不方便。规则不严点，LJ又无孔不入，矛盾呀！
　Winpooch的兼容性问题，好象主要是对中文目录支持较差。
　

emca · 发表于 2006-5-14 16:22:30

这里把个人自用的 Winpooch 自定义规则贴上来共享交流。
对于绝大多数应用均无问题。

6618 · 发表于 2006-5-15 09:34:39

在选项中选“开启保护”提示“驱动未启动,请从选项中启动驱动”
[UploadFile=2_1147656292.jpg]

yht · 发表于 2006-5-15 11:27:53

支持

wang6071 · 发表于 2006-5-15 21:37:09

下面引用由6618在 2006/05/15 09:34am 发表的内容：
在选项中选“开启保护”提示“驱动未启动,请从选项中启动驱动”

程序启动时即加载了驱动,无提示就是正常工作了.图中的提示是因为停止驱动后再次打开驱动不成功的提示,需反复打开,关闭数次后即可加载成功.
这是原测试程序的一个小bug,已修复

[UploadFile=safereg_1147700091.rar]
提供此测试程序主要想看看它在各系统下兼容性如何，所以未提供保存设置等更多的功能．

6618 · 发表于 2006-5-16 01:05:34

收到，在XPSP1和XPSP2下测试正常。

wang6071 · 发表于 2006-5-19 23:45:08

看到论坛置顶通告近期要关闭,而永硕空间最近也要密码才能登陆,本来还想再多做一些测试的,现在不得不提前发布新的安全盾,请大家试用
本次更新注册表部份采用了新的内核,更低的cpu占用(基本为0)
在不关闭监视的情况下(为安装而暂停选项时停止了监视):
1:文件关联的改写已经屏蔽,IE插件注册屏蔽
2:IE保护,不允许改写IE的任何设置
3:关键性注册表键值保护,不允许Nodesk,NoRun等
4:仅对写运行键的注册表操作提示用户处理,主要是让您第一时间发现有写这个操作的程序在工作.
5:Explorer重建时托盘图标不会丢失.
6:美化了一下界面

[UploadFile=setup_1148053363.rar][UploadFile=setup_1148053385.rar][UploadFile=setup_1148053408.rar]

wang6071 · 发表于 2006-5-19 23:46:17

[UploadFile=setup_1148053537.rar][UploadFile=setup_1148053556.rar][UploadFile=setup_1148053573.rar]

xdg3669 · 发表于 2006-5-20 18:36:46

在启动项目出现乱码：

项目应是：

GhostSecuritySuite="C:\Program Files\GhostSecuritySuite\gss.exe" -minimiz

图片在旧论坛！在此还不能上传附件！

namejm · 发表于 2006-5-21 12:51:06

895楼和896楼的附件无法下载,请问是怎么回事?

xdg3669 · 发表于 2006-5-21 13:00:34

原帖由 namejm 于 2006-5-21 12:51 PM 发表
895楼和896楼的附件无法下载,请问是怎么回事?

论坛转换！可能要重新上传。或找管理员去！

ghssye · 发表于 2006-5-21 14:32:56

辛苦了，作了一个比较好的归纳，加精鼓励。

wang6071 · 发表于 2006-5-21 17:52:18

重新上传,小作修改,与Kv兼容一下(对重复写已有键值的动作不作提示)
托盘右键菜单小作修改.

		自动登录	找回密码
密码			注册