[sysshield]系统安全盾

xdg3669 · 发表于 2006-5-21 19:27:30

第一个分享，多谢WANG6071兄弟！

ly001 · 发表于 2006-5-21 19:59:09

谢谢wang6071 给我们带来这么好的东西

推士机 · 发表于 2006-5-21 21:55:09

感谢wang兄分享新版！不过wang兄倒要提防流氓向警察索要保护费了。哈哈！前些天雅虎还指责超级兔子恶意删除网络实名、雅虎助手。穿着西装的流氓竟然说人家“恶意”？？？！！！！BS YH　！！！
http://www.pctutu.com/news.asp?id=69

wang6071 · 发表于 2006-5-22 07:30:19

原帖由 推士机 于 2006-5-21 09:55 PM 发表
感谢wang兄分享新版！不过wang兄倒要提防流氓向警察索要保护费了。哈哈！前些天雅虎还指责超级兔子恶意删除网络实名、雅虎助手。穿着西装的流氓竟然说人家“恶意”？？？！！！！BS YH　！！！
http://www.pctut ...

谢谢推土机兄,前些天看到过了.雅虎的作法只会引来网友的BS,毫无意义．不管是兔子还是安全盾，都没有主动删除删除网络实名、雅虎助手等东西，执行该操作的最终用户．最终用户是有绝对软件选择权的．

xdg3669 · 发表于 2006-5-22 09:48:42

原帖由 wang6071 于 2006-5-21 05:52 PM 发表
重新上传,小作修改,与Kv兼容一下(对重复写已有键值的动作不作提示)
托盘右键菜单小作修改.

仍然无法解决GSS的乱码问题.可能只有选其一使用了。也只有放低GSS了。毕竟wang兄弟的理全面些。

[ 本帖最后由 xdg3669 于 2006-5-22 09:51 AM 编辑 ]

chujiafu · 发表于 2006-5-22 21:29:12

可笑我还在旧坛子上傻等……，还好，找到新坛子了。

succ99 · 发表于 2006-5-24 11:06:49

我用这个工具有半年多了，确实很好用，我现在的系统是用安全盾＋SSM2.0 ＋卡巴，防护绝对强。

chujiafu · 发表于 2006-5-24 15:22:17

已下载了Wang兄的最新版，没发现问题。多谢Wang兄。

yujia · 发表于 2006-5-24 22:03:05

谢谢WANG兄，已试用，一切正常。

老毛桃 · 发表于 2006-5-24 22:23:03

呵呵，下载了，正在使用，多谢 Wang 兄分享，有什么情况，第一个跟你汇报！

老毛桃 · 发表于 2006-5-24 23:30:37

发现一个问题，我敢保证绝对是因为安全盾的运行产生的。
就是运行安全盾时，进入一些邮箱或者论坛的登陆页面，输入密码弹出是否让 Windows 记住密码的对话框时，

不管是点“是”还是选择“否”，都会出现蓝屏，具体代码如下

A problem has been detected and Windows has been shut down to prevent damage to your computer.

If this is the first time you've seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to be sure you have adequate disk space. If a driver is identified in the Stop message, disable the driver or check with the manufacturer for driver updates. Try changing video adapters.

Check with your hardware vendor for for any BIOS updates. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup options, and then select Safe Mode.

Technical information:

*** STOP: 0x0000008E (0xC0000005,0x69767265,0xAA0CCCF0,0x00000000)

其中，从老毛桃多次出现的蓝屏状况来看，出错内容相同，只是 STOP 后面的信息略有区别。

我没有时间去翻译了，相信 Wang 兄也能看懂，另外我检查了一下事件查看器，出错内容如下：

事件类型: 错误
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7000
日期: 2006-5-24
事件: 23:04:02
用户: N/A
计算机: MAOTAO
描述:
由于下列错误，Parallel port driver 服务启动失败:
无法启动服务，原因可能是已被禁用或与其相关联的设备没有启动。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

我运行 services.msc 没有看到“Parallel port driver”这样的服务。另外我曾怀疑 Protected Storage 服务有问题，进去看一下，运行正常。

后来想想机器与以前有何变化，是安装了安全盾。我尝试将安全盾退出，就再没有出现这样的情况，再次打开安全盾，蓝屏又会在那个时候出现，不知道什么原因。跟硬件有关系吗？我的机器为 Dell Optiplex 210L 品牌机。想想不大可能吧。

[ 本帖最后由老毛桃于 2006-5-24 11:32 PM 编辑 ]

wang6071 · 发表于 2006-5-25 00:17:42

谢谢老毛桃的报告,这个错误可能是禁用了注册表的Services项下某些项所致,请毛桃兄用regmon等工具追踪一下，看到底在保存密码时保存在何键下，偶把这项放开应该可以解决此问题．

偶估计是保存密码时必须写注册表的那个程序没有防出错处理所导致的兰屏，因为安全盾只防止了写入，对读是完全放开的．

另外，更新了一下安全盾的主程序，在监测到注册表的启动中有写入操作时，除了回退操作外，加入了一个终止程序功能（终止的同时也执行了回退操作）．

附件删除,楼下还有新的

[ 本帖最后由 wang6071 于 2006-5-27 02:53 PM 编辑 ]

wang6071 · 发表于 2006-5-25 00:42:44

请用下面这个工具测试一下是否是禁用services的原因,如果不是,请将<无输出禁用部份>剪切到<提示自处理>,然后在<选项>中关闭保护,再打开保护即可应用新的设置.

附件删除,该问题解决.

[ 本帖最后由 wang6071 于 2006-5-27 02:54 PM 编辑 ]

老毛桃 · 发表于 2006-5-25 00:59:45

原帖由 wang6071 于 2006-5-25 00:17 发表
谢谢老毛桃的报告,这个错误可能是禁用了注册表的Services项下某些项所致,请毛桃兄用regmon等工具追踪一下，看到底在保存密码时保存在何键下，偶把这项放开应该可以解决此问题．

偶估计是保存密码时必须写注册表 ...

不好意思，没有发现注册表有什么变化，我想这应该是属于 Cookie 的范畴。我发现了 C:\Documents and Settings\用户名\Cookies 下的变化，似乎所有的这些信息都是保存在这里的，我清空这个文件夹，再打开浏览器，就会发现所有的 Cookie 都丢了，即使保存了密码的网站也需要重新登陆，

另外，你重新上传的 SysShield.EXE 文件我运行时还会出现蓝屏

我尝试将安全盾的文件夹监视关闭，还是不行，但是单独运行你上传的这个 SysShield.EXE，也就是在别的路径运行，却不会蓝屏，

[ 本帖最后由老毛桃于 2006-5-25 01:01 AM 编辑 ]

老毛桃 · 发表于 2006-5-25 01:09:32

原帖由 wang6071 于 2006-5-25 00:42 发表
请用下面这个工具测试一下是否是禁用services的原因,如果不是,请将<无输出禁用部份>剪切到<提示自处理>,然后在<选项>中关闭保护,再打开保护即可应用新的设置.

也许只是读取注册表而已吧，我并没有发现注册表有何变化，使用这个注册表监视工具，在那个对话框出现后，选择“是”或“否”，没有出现任何提示，也会出现蓝屏现象，难道真的对注册表有写操作？

我再查查看！

[ 本帖最后由老毛桃于 2006-5-25 01:31 AM 编辑 ]

wang6071 · 发表于 2006-5-25 08:02:56

原帖由 老毛桃 于 2006-5-25 01:09 AM 发表

也许只是读取注册表而已吧，我并没有发现注册表有何变化，使用这个注册表监视工具，在那个对话框出现后，选择“是”或“否”，没有出现任何提示，也会出现蓝屏现象，难道真的对注册表有写操作？

我再查查看！

应该是有写操作的,因为您使用<注册表监视工具>与安全盾使用的是同样的驱动操作,都引起兰屏.而<注册表监视工具>与<安全盾>唯一不同的将写Services键下的操作输出到了Win32询问,此时回退是对写操作是在Win32级下的删除,而<安全盾>是直接将写<services>下的操作在驱动级作了禁用处理．如果全部选是都是引起兰屏，请将不询问部份全部剪到询问上(ＩＥ部份比较可疑)，停止驱动，重启驱动，然后再测试引不引起兰屏．

请贴一下相关输出．(ps:当注册表监视工具提示框弹了时不一定马上处理它，操作完其它程序再一起处理)

也可以使用<安全盾>的仅黑名单监视项测试一下，此时不拦截注册表，只拦截黑名单文件．

写到这里，想想<安全盾>对Services禁写有点不严谨，如果用户调整服务项这样的操作也会被屏蔽．应该是只禁用Services下子键的创建就行了，不该禁用写值操作.

要上班了，没时间改程序了，晚上回来偶再修改一下上传．

[ 本帖最后由 wang6071 于 2006-5-25 08:05 AM 编辑 ]

老毛桃 · 发表于 2006-5-25 16:15:21

原帖由 wang6071 于 2006-5-25 08:02 发表
应该是有写操作的,因为您使用<注册表监视工具>与安全盾使用的是同样的驱动操作,都引起兰屏.而<注册表监视工具>与<安全盾>唯一不同的将写Services键下的操作输出到了Win32询问,此时回退是对 ...

重新测试以下，发现将“无输出禁用”和“提示自处理”两项内容全部清空，还是不行，只要选项中设置为“开启保护”就会出现蓝屏，

还有一次蓝屏比较奇怪，就是重启后运行注册表监视工具，什么都没有操作，点击选项，关闭保护，就出现了蓝屏，出错信息为 SafeReg.SYS 错误，但是只出现了一次，不知原因。

又重新用 Regmon 监视了一遍，终于找到了

6.84192991 IEXPLORE.EXE:1436 OpenKey HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer32 NOT FOUND
6.84224796 IEXPLORE.EXE:1436 OpenKey HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer32 NOT FOUND
6.84230375 IEXPLORE.EXE:1436 OpenKey HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer NOT FOUND
8.87434483 IEXPLORE.EXE:1436 OpenKey HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer32 NOT FOUND
8.87467003 IEXPLORE.EXE:1436 OpenKey HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer32 NOT FOUND
8.87472534 IEXPLORE.EXE:1436 OpenKey HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer NOT FOUND

我倒注册表里面查看了一下，确实是 Not found。这是我找到的注册表相应位置的内容

[HKEY_CLASSES_ROOT\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\InprocServer32]
@="C:\\WINDOWS\\system32\\urlmon.dll"
"ThreadingModel"="Both"

这个 {7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4} 的内容也许会不会因机而异？老毛桃没有检查过，但在这个项下只发现那个 InprocServer32 分支

wang6071 · 发表于 2006-5-25 18:54:47

原帖由 老毛桃 于 2006-5-25 04:15 PM 发表

重新测试以下，发现将“无输出禁用”和“提示自处理”两项内容全部清空，还是不行，只要选项中设置为“开启保护”就会出现蓝屏，

还有一次蓝屏比较奇怪，就是重启后运行注册表监视工具，什么都没有操作，点击 ...

重新测试以下，发现将“无输出禁用”和“提示自处理”两项内容全部清空，还是不行，只要选项中设置为“开启保护”就会出现蓝屏，
-------------------------------------------

如果是这样就麻烦了,因为只是启动了驱动而未传入规则了.但考虑到有可能是驱动状态未改变,仍沿用以
前的设置,所以这样做个测试(RegMon监测到的读操作在测试本驱动上没有任何帮助,因为本驱动未HOOK读注册表的操作).

1:首先不能同时运行[安全盾],打开[注册表监视工具]后先清空所有的规则.(可以先用2中的操作一下,看是否驱动在运行中,如果在运行,请用sc stop safereg 停止它,再用sc delete safereg 删除它)

2:开个cmd输入以下命令,查询驱动状态以确保驱动工作.
E:\>sc query safereg

SERVICE_NAME: safereg
      TYPE             : 1  KERNEL_DRIVER
      STATE             : 4  RUNNING //看到这个确保驱动已运行
                              (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN))
      WIN32_EXIT_CODE : 0  (0x0)
      SERVICE_EXIT_CODE  : 0  (0x0)
      CHECKPOINT       : 0x0
      WAIT_HINT       : 0x0

3:在界面中[关闭保护]后在cmd中输入如下命令应看到这样的结果,以确保驱动已终止
E:\>sc query safereg
[SC] EnumQueryServicesStatus:OpenService 失败 1060:

指定的服务未安装。

4:在界面重新[开启保护],cmd中执行2中命令确保驱动工作.
看是否蓝屏.(如果这样也是蓝屏就关掉您的杀软再试)

5:如果未蓝屏,就先
[关闭保护]-->查询是否关闭--->每次只添加一条规则(\SOFTWARE\Classes\后测试)-->
[开启保护]-->查询一下是否真正开启

这样就可以找到具体是禁用了哪个键造成的.

因我的系统无法重现这个故障,所以十分感谢毛桃兄冒险着系统崩溃,文件损毁的危险来做这个测试.

fair · 发表于 2006-5-26 12:05:15

说起来我也出现过一次进论坛的登陆页面，输入密码弹出是否让 Windows 记住密码的对话框时蓝屏我还以为是论坛问题一直没进，现在知道原因了。顺便说一下，系统安全盾资源控制的非常好。

ly001 · 发表于 2006-5-26 12:25:07

win2k SP4下的任务栏标识

[ 本帖最后由 ly001 于 2006-5-26 12:27 PM 编辑 ]

wang6071 · 发表于 2006-5-26 22:02:51

ly001 兄弟提出的在win2000界面不美观的问题,是因为Delphi的弹出菜单与中文不兼容的原因(要么设置快捷键,要么就是现在的兼容方法).而我又不想用第三方控件去解决这个小问题(用第三方控件程序要增大),且只在Win2000下有点小问题,所以请使用Win2000的兄弟将就一下了.

再次将安全盾修改了一下,请下载下面的更新来替换原来的文件.(替换前请先退出安全盾再替换文件)

本次更正的内容:
1:监视服务键的创建,但对服务键的设置值不作理会.(目的是为了方便使用Win的服务管理),只屏蔽服务键创建也有防止驱动级木马的作用.

2:IE保护部份保护了IE的主页,搜索页等,要改动时请将安全盾置于<暂停监视状态>
  禁止了扩展工具的写入.这次是细化了这个部份,以前据网友反映在IE提示保存密码时有问  题,所以这次细化了这个部份,请再次测试看是否有问题.

3:与IE保护相关的还有禁止了HKEY_ClAll_ROOT下键的创建,这样就不会轻易让IE插件写入注册表了.与上一版不同,本次设定允许在已有主键的情况下写入值.(避免用户调整文件关联的不便)

4:其它完全禁止写入的有,一般情况下我们都不会在这些键下值.
  Windows\CurrentVersion\Explorer\Browser Helper Objects
  Windows NT\CurrentVersion\Winlogon
  Windows NT\CurrentVersion\Windows
  Windows\CurrentVersion\Explorer\Shell Folders
  Windows\CurrentVersion\Policies

下下一楼的附件

[ 本帖最后由 wang6071 于 2006-5-27 02:51 PM 编辑 ]

wang6071 · 发表于 2006-5-27 14:41:33

终于解决了IE提示保存密码时要蓝屏的Bug.
用下面的文件替换安全盾安装目录下的文件即可．

xdg3669 · 发表于 2006-5-27 18:30:50

连续几个版本，在我的机子用没发现上面的情况！

wang6071 · 发表于 2006-5-27 20:04:07

原帖由 xdg3669 于 2006-5-27 06:30 PM 发表
连续几个版本，在我的机子用没发现上面的情况！

调整Internet选项,选中内容页,点击自动完成,点击清空表单,清空密码,然后确定.
然后登陆论坛,在遇到需要输入密码后,IE会提示是否保存密码,此时如果使用未打楼上补丁的安全盾,不管是确定还是取消,在Winxp下是蓝屏,在Win2003下是直接重启.(偶起码重启了十来次才找到问题所在,终于解决了这个问题)

所以还是打上楼上的补丁为好.同时再次谢毛桃兄的报告及测试.

xdg3669 · 发表于 2006-5-27 22:03:12

1、测试了旧版，在IE选项里若按图中设置不会蓝屏！

[ 本帖最后由 xdg3669 于 2006-5-27 10:08 PM 编辑 ]

wang6071 · 发表于 2006-5-27 23:36:45

完整稳定的安全盾新版1.2已打包上传至我的空间,readme.chm也更新了!
http://free5.ys168.com/?wangsea

bdfcy · 发表于 2006-5-27 23:59:46

下载来试用，谢谢

老毛桃 · 发表于 2006-5-28 09:37:50

原帖由 wang6071 于 2006-5-27 20:04 发表

调整Internet选项,选中内容页,点击自动完成,点击清空表单,清空密码,然后确定.
然后登陆论坛,在遇到需要输入密码后,IE会提示是否保存密码,此时如果使用未打楼上补丁的安全盾,不管是确定还是取消,在Winxp下是蓝 ...

前两天有点事，不好意思 Wang 兄，没能帮你测试下。

呵呵，今天上来发现问题已经解决，恭喜 Wang 兄。

但老毛桃想问下 Wang 兄，安全盾是否为了解决这个蓝屏问题而放弃了对注册表某位置的写操作的监视工作呢？

wang6071 · 发表于 2006-5-28 10:38:08

原帖由 老毛桃 于 2006-5-28 09:37 AM 发表

前两天有点事，不好意思 Wang 兄，没能帮你测试下。

呵呵，今天上来发现问题已经解决，恭喜 Wang 兄。
186

但老毛桃想问下 Wang 兄，安全盾是否为了解决这个蓝屏问题而放弃了对注册表某位置的写操作的监 ...

没有放弃对注册表安全的监视,蓝屏原因是偶的驱动中一个缓冲溢出造成的．奇怪是它只发生在IE提示保存密码时．

测试安全盾的注册表保护可以用Regedit
例如：
在HKEY_ClASSES_ROOT 下新建项,RegEdit会有提示:无法创建项，写入注册表时出错．
(这样那些IE插件永远注册不了，当然，如果你想安装插件，只需将安全盾切换到暂停监视即可)
对其它安全键值测试的方法与此相同，如果诸位觉得还有某些键值应设置保护，请贴出该键，注明危害．

老毛桃 · 发表于 2006-5-28 10:59:20

原帖由 wang6071 于 2006-5-28 10:38 发表
对其它安全键值测试的方法与此相同，如果诸位觉得还有某些键值应设置保护，请贴出该键，注明危害．

想问一下，对于注册表的监视，能不能给一个用户自定义的界面，同时对于安全盾默认的注册表保护项目，也可以作为一个清单显示于界面中，这样可以更方便的让用户了解安全盾对于注册表的保护都作了哪些，更方便的自定义规则。

另外发现一个小问题，从前面的版本到现在的都存在

就是点击这个“设置帮助”按钮不起作用，调不出 Readme.CHM。不知道调用方法，是直接运行 Readme.CHM 还是使用 %SystemRoot%\HH.EXE Readme.CHM 的方式，如果是后者就应该不会出错。

[ 本帖最后由老毛桃于 2006-5-28 11:02 AM 编辑 ]

		自动登录	找回密码
密码			注册