无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
楼主: wang6071
打印 上一主题 下一主题

[sysshield]系统安全盾

[复制链接]
1111#
发表于 2006-8-2 21:13:12 | 只看该作者
今天在网吧试了一下,1.0.0.6到1.0.0.8的hook什么都没有显示
但是这台xpsp2装有 一搜、上网助手、网络实名、迅雷、万象幻境等
怎么内核hook检测什么也没有?
我家中的机器也是xp 用1.0.0.6能检测到(mcafee杀软)
另外,我用的1.0.0.6版本好像和现在的不一样。
就是内核hook检测  新的是定位文件,我下载的是什么忘了,一点击就检测出来好多函数。
回复

使用道具 举报

1112#
 楼主| 发表于 2006-8-2 23:28:02 | 只看该作者
原帖由 freesoft00 于 2006-8-2 09:13 PM 发表
今天在网吧试了一下,1.0.0.6到1.0.0.8的hook什么都没有显示
但是这台xpsp2装有 一搜、上网助手、网络实名、迅雷、万象幻境等
怎么内核hook检测什么也没有?
我家中的机器也是xp 用1.0.0.6能检测到(mcafee杀软 ...


一搜、上网助手、网络实名、迅雷这些东西根本不需要HOOK底层函数工作.(万象幻境不清楚).
并不是所有的应用程序都要到内核才工作的.大部份的浏览器插件、木马都只在应程层HOOk ntdll.dll及kernel32.dll的函数就能满足需要了.即使是杀软,如金山毒霸也是应用层的HOOK.所以它也没有内核hook.

至于你说的某个版本的syscheck显示了许多项,那是将未HOOK的内函核数一起检测出来的(就象Icesword显示的那样).目前版本的syscheck只显示被HOOK了的内函核数,因为我们只需要还原被修改的函数.
回复

使用道具 举报

1113#
发表于 2006-8-3 15:12:53 | 只看该作者
知道了
syscheck越来越强了。另外服务管理项加一个只显示非微服务就更好了
回复

使用道具 举报

1114#
发表于 2006-8-3 19:58:30 | 只看该作者
原帖由 freesoft00 于 2006-8-3 03:12 PM 发表
知道了
syscheck越来越强了。另外服务管理项加一个只显示非微服务就更好了


不错!
回复

使用道具 举报

1115#
 楼主| 发表于 2006-8-4 18:51:54 | 只看该作者
syscheck 1.0.0.9 :本次改进为在服务页允许显示全部服务及非微软服务.

syscheck(1.0.0.9).part1.rar

390.63 KB, 下载次数: 35, 下载积分: 无忧币 -2

syscheck(1.0.0.9).part2.rar

39.53 KB, 下载次数: 36, 下载积分: 无忧币 -2

回复

使用道具 举报

1116#
发表于 2006-8-4 20:07:01 | 只看该作者

报告

“活动文件”选项卡中,如果同时选中了多个文件,再点击“定位文件”时,只能定位到第一个被选中的文件。建议用多个窗口分别打开被选中的、可能在不同位置的文件。

为方便使用,建议在有关选项卡最下方添加一个小提示信息栏,用于提示关键的使用方法。比如 Hook 检测时如果什么都没有显示,不少人就不知道怎么回事(尤其是使用过旧版的);又比如“敏感键值中”,可以提示在恢复系统函数后再次检测一下,等等。
回复

使用道具 举报

1117#
发表于 2006-8-5 15:30:00 | 只看该作者
原帖由 emca 于 2006-8-4 08:07 PM 发表
报告

“活动文件”选项卡中,如果同时选中了多个文件,再点击“定位文件”时,只能定位到第一个被选中的文件。建议用多个窗口分别打开被选中的、可能在不同位置的文件。

支持这一个,就是不知实现起来难不难。

原帖由 emca 于 2006-8-4 08:07 PM 发表
为方便使用,建议在有关选项卡最下方添加一个小提示信息栏,用于提示关键的使用方法。比如 Hook 检测时如果什么都没有显示,不少人就不知道怎么回事(尤其是使用过旧版的);又比如“敏感键值中”,可以提示在恢复系统函数后再次检测一下,等等。

这个我觉得没必要,要使用这个工具,简单看看说明就行了,如果连说明都不看,那就别用这个工具了。加上这个提示,假如指针一移过去就显示出几行文字就出来,个人觉得很不爽。——呵呵,纯属个人意见。
回复

使用道具 举报

1118#
 楼主| 发表于 2006-8-5 16:23:00 | 只看该作者
还是在状态栏动态移动的文字中加入了部份简单提示.

关于“定位文件”时,只能定位到第一个被选中的文件,是从资源占用上考虑的,如果开多个Explorer可能在某些性能不太好的机器上造成系统运行缓慢.

syscheck(1.0.0.10).part1.rar

390.63 KB, 下载次数: 35, 下载积分: 无忧币 -2

syscheck(1.0.0.10).part2.rar

47.61 KB, 下载次数: 28, 下载积分: 无忧币 -2

回复

使用道具 举报

1119#
发表于 2006-8-5 17:07:51 | 只看该作者

建议

发现把说明内容作为另外的文本文件反而有些不便,这个小东东本来就是单文件小巧、强大取胜,再弄一个说明文档不方便流传,倒不如把那么几行简单的说明文字在主界面做一个“帮助”按钮,并用一个文本框打开显示:)

目前下面信息栏中显示的提示帮助信息看起来比较吃力。其实个人认识只需在每个页面右下方的空白处添加一句话提示即可,比如:“如果仍然有无法结束的进程,请先在”内核Hook检测“中还原系统函数!”,这样点明关键技巧即可。

“资源管理器”的文件列表中,建议添加一个“属性”栏目,如果是隐藏、只读属性则在属性中标志出来。因为不少病毒文件喜欢把自己设置为只读隐藏属性,这样反而欲盖弥彰,方便我们快速判断其性质。我在使用 Total Commander 手工查杀病毒时,通常就是先通过属性快速定位,然后结合文件时间、文件厂商标识的存在与否,基本上能够有80%的把握确定文件的病毒性质,大多数情况下都是有效的。因此建议顺手加一列“属性”。如果能够显示文件的厂商信息则更方便分析判断了!

另外,帮助说明文档中是以栏目类别进行说明的,有经验的用户没有问题。为方便菜鸟杀除恶性病毒,我这里整理了几句供参考:
------------------------------------------------------
顽固病毒清除步骤:
1. 先试试病毒是否自带所谓的“卸载”功能,如果有就先执行,以便快速清除外围普通病毒文件(此时病毒保护机制仍然可能在生效)。
2. 结束所有非系统进程。如果存在不能结束的非系统进程,则等随后步骤中处理。
3. 进入“内核Hook检测”,还原所有被 Hook 的系统函数(如果无显示内容,则跳过本步骤);
4. 再次检查是否有无关的进程,如果有则再次关闭(此时因服务函数被还原,一般可以顺利关闭了);
5. 进入“服务管理”,找到并删除病毒对应的注册表服务项;
6. 进入本工具的“资源管理器”(不是Windows的资源管理器!),找到病毒对应的文件,右击,选择“删除所选(含文件夹)”;如果不成功,则选择“加入重启删除列表”。
7. 重启,重复上述步骤检查,直到系统干净为止!
------------------------------------------------------以上仅供参考。

目前的软件界面设计得不错,尤其值得称道的是按钮放在上部。这在安全模式、显示分辨率较低时,不会导致按钮出现在下部而不方便点击的问题。类似这样的细节,作为一款安全工具都是要考虑的:)

          深山红叶 敬上
回复

使用道具 举报

1120#
 楼主| 发表于 2006-8-5 20:59:44 | 只看该作者
谢谢emca兄的建议.
1:把说明的内容内置在帮助按钮中,使文件单一,这个改动将在下一版加入.
2:每个页面右下方的空白处添加提示,我认为还是目前的方式较好.因为这样做会破坏界面的统一与美观.另外,就提示本身而言,懂提示的可能都不需要提示了,而不懂提示的再详细也无法让其理解.
3:资源管理器”的文件列表中,建议添加一个“属性”栏,这个功能从第一版的syscheck2就有了啊,可能您没有最大化过syscheck,没有调整过标题栏宽度.(附便说一句,内置资源管理器的标题栏单击也支持排序)
4:最后整理的"顽固病毒清除步骤"不错,将加入下一版的帮助说明中.
回复

使用道具 举报

1121#
发表于 2006-8-6 06:58:21 | 只看该作者
原帖由 wang6071 于 2006-8-5 08:59 PM 发表
谢谢emca兄的建议.
谢谢emca兄的建议.
1:把说明的内容内置在帮助按钮中,使文件单一,这个改动将在下一版加入.
2:每个页面右下方的空白处添加提示,我认为还是目前的方式较好.因为这样做会破坏界面的统一与美观.另外,就提示本身而言,懂提示的可能都不需要提示了,而不懂提示的再详细也无法让其理解.
3:资源管理器”的文件列表中,建议添加一个“属性”栏,这个功能从第一版的syscheck2就有了啊,可能您没有最大化过syscheck,没有调整过标题栏宽度.(附便说一句,内置资源管理器的标题栏单击也支持排序)
4:最后整理的"顽固病毒清除步骤"不错,将加入下一版的帮助说明中.  


哈哈,不知下一版除了这些外,有没有其他功能上的提升?如果没有,我铁定用1.009版——感谢提供这么好的小工具!这个版本体积小:436K,加了提示的1.010版是444K(这个提示文本占了8K)——我下了又删掉了,下一版将是多少K?肯定只会不断增大。

[ 本帖最后由 6618 于 2006-8-6 07:04 AM 编辑 ]
回复

使用道具 举报

1122#
 楼主| 发表于 2006-8-6 07:08:13 | 只看该作者
如是不求界面效果,再加入说明也仅有323k,放上这个,也许有兄弟喜欢素一点的界面.

Syscheck2.rar

315.01 KB, 下载次数: 47, 下载积分: 无忧币 -2

回复

使用道具 举报

1123#
发表于 2006-8-6 07:52:43 | 只看该作者
下载了,谢谢!
求助:请各位朋友看看这一贴:

http://bbs.wuyou.net/forum.php?m ... &extra=page%3D1
回复

使用道具 举报

1124#
发表于 2006-8-6 08:24:47 | 只看该作者

呵呵

不错!!
个人喜欢更简洁素雅的界面,可以少100K,可节约空间啊!100K 可放上一个小工具滴~
下个版本的深山红叶PE光盘将把 Syscheck作为反击流氓病毒的首选来推崇,相信Wangsea和大家都没有意见吧?

[ 本帖最后由 emca 于 2006-8-6 08:33 AM 编辑 ]
回复

使用道具 举报

1125#
发表于 2006-8-6 08:49:45 | 只看该作者

建议

对于安全盾,有一个创意:
捆绑安装的流氓软件的防范是一个难题,但我们可以总结出汉化补丁等捆绑安装的一个规律:都是在运行主程序后,中途或最后开始安装流氓插件的(完全以捆绑植入为目的的安装程序除外,这类仍然是少数)。因此,我们可以设想:当一个安装进程被创建后,它会有一系列特征:检测临时目录、获取程序安装目录信息、释放压缩包,等等,流氓插件一般或者被释放到系统或用户临时目录,或者被释放到应用程序安装目录下。因此,我们只需在检测到一个安装操作后,1分钟(或2分钟?)内禁止从临时目录或安装程序的目录中再次创建进程(或者直接杀除这些二次创建的进程?这些进程的创建应当是由安装程序完成的,能否成功检测出来?),即可有效阻止流氓插件的捆绑植入。当然,这对于正常的安装也可能有些影响。
上述设想仅供参考,也没有进行认真实验,希望各位高手共同完善这个思路。
回复

使用道具 举报

1126#
发表于 2006-8-6 09:30:04 | 只看该作者
原帖由 wang6071 于 2006-8-6 07:08 AM 发表
如是不求界面效果,再加入说明也仅有323k,放上这个,也许有兄弟喜欢素一点的界面.

去掉皮肤后,运行效率高些。
回复

使用道具 举报

1127#
 楼主| 发表于 2006-8-6 11:08:18 | 只看该作者
原帖由 emca 于 2006-8-6 08:49 AM 发表
对于安全盾,有一个创意:
捆绑安装的流氓软件的防范是一个难题,但我们可以总结出汉化补丁等捆绑安装的一个规律:都是在运行主程序后,中途或最后开始安装流氓插件的(完全以捆绑植入为目的的安装程序除外,这类 ...


"微点"的行为检测就是这样做的,不过也需要过多的用户参与.
回复

使用道具 举报

1128#
发表于 2006-8-6 11:11:39 | 只看该作者
谢谢分享了
回复

使用道具 举报

1129#
发表于 2006-8-6 13:01:44 | 只看该作者
原帖由 wang6071 于 2006-8-6 07:08 AM 发表
如是不求界面效果,再加入说明也仅有323k,放上这个,也许有兄弟喜欢素一点的界面.


这种界面好,软件是用来用的,能小就尽量小,这样才好。
回复

使用道具 举报

1130#
发表于 2006-8-6 13:15:47 | 只看该作者
我也喜欢这素一点的界面。
进程栏目里是否也可以只显示用户进程?
回复

使用道具 举报

1131#
 楼主| 发表于 2006-8-6 15:22:30 | 只看该作者
原帖由 xubo1971 于 2006-8-6 01:15 PM 发表
我也喜欢这素一点的界面。
进程栏目里是否也可以只显示用户进程?


这个就不用了吧?因为N多程序用dll方式插入到Explorer等系统进程中,屏蔽了反而不方便清理.
回复

使用道具 举报

1132#
发表于 2006-8-6 16:47:45 | 只看该作者
原帖由 wang6071 于 2006-8-6 07:08 AM 发表
如是不求界面效果,再加入说明也仅有323k,放上这个,也许有兄弟喜欢素一点的界面.

这个好!功能为上,界面次之。感谢Wang兄无私奉献!
回复

使用道具 举报

1133#
发表于 2006-8-6 17:39:14 | 只看该作者
支持~~
回复

使用道具 举报

1134#
 楼主| 发表于 2006-8-6 22:22:08 | 只看该作者
刚才出去用syscheck处理了一个"征途木马",发现syschek两个修复项需要作一点调整,所以现在上传syscheck(1.0.0.11)

Syscheck2.rar

315.03 KB, 下载次数: 55, 下载积分: 无忧币 -2

回复

使用道具 举报

1135#
发表于 2006-8-6 23:08:50 | 只看该作者
  底部的文字滚动的时候显得有些晃眼,能不能使它滚动得平滑一些?还有,“敏感键值”这个界面底部的文字并不是很多,一栏完全显示得了,能不能把滚动效果取消了?
回复

使用道具 举报

1136#
发表于 2006-8-7 08:42:01 | 只看该作者
原帖由 namejm 于 2006-8-6 11:08 PM 发表
  底部的文字滚动的时候显得有些晃眼,能不能使它滚动得平滑一些?还有,“敏感键值”这个界面底部的文字并不是很多,一栏完全显示得了,能不能把滚动效果取消了?

对于底部显示的文字,最好可以设置成-----滚动的同时,还可以用鼠标左右拖动。这样的设计,我在其他软件里看到过。
回复

使用道具 举报

1137#
发表于 2006-8-7 14:19:49 | 只看该作者
syscheck真是越来越实用了!好
回复

使用道具 举报

1138#
发表于 2006-8-7 14:47:06 | 只看该作者
真棒,一直用安全盾,没中过病毒。。嘻。不过一直要开着
回复

使用道具 举报

1139#
 楼主| 发表于 2006-8-7 23:39:10 | 只看该作者
关于文字的滚动修改了一下.

Syscheck2.rar

315.02 KB, 下载次数: 40, 下载积分: 无忧币 -2

回复

使用道具 举报

1140#
 楼主| 发表于 2006-8-7 23:41:04 | 只看该作者
新做了一个文件搜索,方便大家检察系统文件.

Image1.jpg (149.73 KB, 下载次数: 123)

Image1.jpg

FileSearch.rar

195.71 KB, 下载次数: 62, 下载积分: 无忧币 -2

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-12-14 03:11

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表