[sysshield]系统安全盾

wang6071

非常报歉,因制作是疏忽,安全盾上传的是1.22版,现在更正为1.23版的升级文件.

(偶空间的的完全版安全盾也出现同样的问题,所以已下载的兄弟请重新下载.)

gdlgh

谢谢wang兄，不断的完善，使我们有了超强的工具！！！

freesoft00

我也谢谢wang兄！
syscheck越来越强大了，期待能解决在2000中运行的问题，就更完美了。

wang6071

原帖由 freesoft00 于 2006-8-12 10:59 AM 发表
我也谢谢wang兄！
syscheck越来越强大了，期待能解决在2000中运行的问题，就更完美了。

win2000下运行的问题，因提供测试文件后，没有收到任何测试报告我已决定放弃！

zxplhzlt

wang6071 兄,能提供win2000下的syscheck吗?
我的email: zxplhzlt@sina.com

zxplhzlt

运行 安全盾 后,不能运行 深山红叶工具盘中的IceSword,
退出 安全盾 后运行IceSword 正常

sunkist

修改真急时，谢谢wang6071 ，windows2000的发给我一份  coolcun@gmail.com
我帮你测试一下。

wang6071

原帖由 zxplhzlt 于 2006-8-12 11:34 AM 发表
运行 安全盾 后,不能运行 深山红叶工具盘中的IceSword,
退出 安全盾 后运行IceSword 正常

此为正常现象,安全盾运行后绝不允许其它的内核驱动动态加载,这是防内核级木马的需要.
如果在运行安全盾后运行IcesWord,可以暂停监视,然后运行IcesWord,再恢复监视即可.


to    zxplhzlt兄弟及sunkist兄弟:
   邮件已发,谢谢你们帮忙测试以寻找Win2000下无法运行syscheck的原因．

freesoft00

希望更多的人能帮王兄测试2000下运行的syscheck，
使这个软件更完美。
我因为没有自己联网的机器。帮不上忙， 真是遗憾。
再次谢谢王兄的不懈努力！！！！！！

zxplhzlt

原帖由 wang6071 于 2006-8-12 02:32 PM 发表


to    zxplhzlt兄弟及sunkist兄弟:
   邮件已发,谢谢你们帮忙测试以寻找Win2000下无法运行syscheck的原因．

在2台Win2000下测试,其中1台一运行syscheck1.0.0.13就出错.数据已发送到即邮箱.

zxplhzlt

使用Total Commander V6.55查看C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\，可以看到还有子文件夹，而用syscheck1.0.0.13的文件浏览则看不到。

sunkist

测试已经发过去了。请你查收

emca

另外，文件管理器的文件列表方法可能得改进一下。
对于 C:\WINDOWS\Downloaded Program Files\ 这类系统属性的文件夹，其中的内容也无法查看到，而这恰恰是各种流氓病毒安装文件的藏身之所！
在资源管理器中，只要取消这些文件夹的系统属性，就能够看到里面的内容了。
这个问题比较重要！

wang6071

zxplhzlt的邮件只报告syscheck不能运行，而没有给出所给测试程序的报告．
  好在sunkist给出了报告，所以依据sunkist的报告修改了一个syscheck,用Win2000的看一下能否正常．(zxplhzlt运行后若不正常请用我发给你的测试程序提供一个报告)

   关于某些文件夹下看不到的问题，可能是与所用的shellBrowser控件有关系，因为是shellbrow所以它的显示效果就与Explorer中一样，也就是说Explorer不显它也不显．

   搞了一下,好象是搞不定,改用手动算法搜索也无法获取Temporary Internet Files目录下下载的临时文件，也不知windows有何保护．用Icesword却可以浏览到，郁闷!
  Downloaded Program Files在Win2003下只有只读属性，用cmd可以浏览，但取消只读属性立即就还原了，还是无法看到其下的文件及文件夹．这个文件夹用syscheck的<文件搜索>功能可以搜到其下的文件(设置条件为*.*)，但Temporary Internet Files即使设置成可显示其子文件夹，也看不到下载的监时文件．

[ 本帖最后由 wang6071 于 2006-8-12 08:00 PM 编辑 ]

zxplhzlt

星期二上班再测试.

bdfcy

Temporary Internet Files 目录和 Downloaded Program Files 目录不能正常查看是由于目录中的 desktop.ini 在作怪，用  WinRAR 可以正常浏览

emca

关于Windows系统在资源管理器中禁止浏览查看内容的文件夹，从而导致Syscheck的文件浏览器不能查看相应的如C:\WINDOWS\Downloaded Program Files等等的内容，虽然去掉某些属性当然是可以查看的，但对于SysCheck可能就不太合适：尽量不修改用户的文件为上策！

通过跟踪分析，我们发现只需临时修改一下一个注册表键值，则那些文件夹就原形毕露：
路径：
HKEY_CLASSES_ROOT\CLSID\{88C6C381-2E85-11D0-94DE-444553540000}
修改：
将{88C6C381-2E85-11D0-94DE-444553540000}改一或两个字节（为避免可能重名，最好两位），比如最后两位；随便其他什么值，如 {88C6C381-2E85-11D0-94DE-4445535400AA}

这样，SysCheck仍然可以使用以前的控件，只是切换到文件浏览窗口时，先临时把这几个键项名称改一下；如果切换到其他窗格，则临时还原其原来的默认值。如此即可以最小的修改代价实现突破系统限制的目的！

上述这个以及其他同样可能导致文件无法浏览的键项共有：
HKEY_CLASSES_ROOT\CLSID\{88C6C381-2E85-11D0-94DE-444553540000}对应：C:\WINDOWS\Downloaded Program Files
HKEY_CLASSES_ROOT\CLSID\{F5175861-2688-11d0-9C5E-00AA00A45957}对应 C:\WINDOWS\Offline Web Pages\
HKEY_CLASSES_ROOT\CLSID\{d6277990-4c6a-11cf-8d87-00aa0060f5bf}对应C:\WINDOWS\Tasks\
HKEY_CLASSES_ROOT\CLSID\{BD84B380-8CA2-1069-AB1D-08000948F534}对应C:\WINDOWS\Fonts\
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}对应：回收站

[ 本帖最后由 emca 于 2006-8-13 11:53 AM 编辑 ]

freesoft00

反馈：
今天在公司试了一下2000下的syscheck，运行正常。各项功能试了一遍，没问题。
系统环境是：
2000sp4
ie6
瑞星杀毒软件。

xdg3669

运行Syscheck(1.0.0.13)版时在进程管理页选择“禁止创建外部进程”时提示下面错误：

我的系统是winxp sp2,
启动了安全盾监视。关掉安全盾提示一样！

wang6071

to xdg3669 :
  确定你的syscheck同目录下有safehook.dll吗?另外,因为本hook是win32级hook,所以可以不关闭安全盾.

syscheck1.0.0.14更新如下:
更正Software\Microsoft\Windows NT\CurrentVersion\Windows下load,run运行的修复无效操作.
终于发现了路径转换上的一个Bug,导致某些服务明明存在却显示文件丢失。
为了在内置浏览器上观察系统隐藏的Downloaded Program Files目录,
进入内置浏览器页面时，将Downloaded Program Files的
Clisid{88C6C381-2E85-11D0-94DE-44553540000}更名为
{$88C6C381-2E85-11D0-94DE-444553540000},
退出内置浏览器页面将恢复.(感谢红叶兄提供的键值!)
如果中途系统不幸死机,再将运行一次syscheck即可(启动与退出都会尝试一次恢复)

另外:
{F5175861-2688-11d0-9C5E-00AA00A45957}对应 C:\WINDOWS\Offline Web Pages\
此项暂时未发现有木马应用
{d6277990-4c6a-11cf-8d87-00aa0060f5bf}对应C:\WINDOWS\Tasks\
此项在win2003下没有相应文件夹
{BD84B380-8CA2-1069-AB1D-08000948F534}对应C:\WINDOWS\Fonts\
此项虽有木马应用,但syscheck可以查看此文件夹.
{645FF040-5081-101B-9F08-00AA002F954E}对应：回收站
发现利用的也仅是RECYCLED+不可见字符的同名文件夹,syscheck可以查看.
若有异常情况且觉得应该加入这些项的更名,请各位发表意见.

请下载楼下的修正版

[ 本帖最后由 wang6071 于 2006-8-13 09:34 PM 编辑 ]

emca

Wangsea 既然已经处理了上述键值，使得流氓病毒的随身目录能够被查看到，但下面几个仍然值得高度注意：

1. {F5175861-2688-11d0-9C5E-00AA00A45957}对应 C:\WINDOWS\Offline Web Pages\
此项暂时未发现有木马应用

——这是一个极好的病毒藏身之处，Windows下面只有这么几个具有隐藏功能的目录，建议顺便处理一下也无妨，说不定目前在使用的被我们处理掉了，这一个被利用就是不久的事情：）

2.{d6277990-4c6a-11cf-8d87-00aa0060f5bf}对应C:\WINDOWS\Tasks\
此项在win2003下没有相应文件夹

——这是任务计划文件夹。就算你用的2003，但 DUDU 加速器病毒却是在这个目录中创建自动计划任务，从而实现周期性自动安装自己的目的的。因此这个已经被 DUDU 加速器病毒利用的位置理当纳入检测视线：）

3. {BD84B380-8CA2-1069-AB1D-08000948F534}对应C:\WINDOWS\Fonts\
此项虽有木马应用,但syscheck可以查看此文件夹.

——果然。不知道为什么资源管理器中无法查看非字体文件，但 Syscheck 的资源管理器却对它情有独钟，呵呵～

4.{645FF040-5081-101B-9F08-00AA002F954E}对应：回收站
发现利用的也仅是RECYCLED+不可见字符的同名文件夹,syscheck可以查看.

——回收站目录中如果手工拷贝文件进去，资源管理器无论如何是不显示的；syscheck 对于这种手工拷贝进去的任何文件也都是“不能”查看到的，我已经测试好几次了！而好多种病毒就把自己放在回收站目录。
    另外，回收站在文件隐藏时的利用也“并不”仅是RECYCLED+不可见字符的同名文件夹，因此建议 Wangsea 兄弟也引起足够重视！

为了解决这些系统特殊隐藏目录的文件查看问题，一般用 Total commander 就能够轻易解决了，但不少人仍然只习惯资源管理器，因此本人专门就此制作了一个小脚本来解决这个问题，详见附件。

xdg3669

可以了在文件夹内放了SafeHook.dll文件！运行正常！

[ 本帖最后由 xdg3669 于 2006-8-13 09:06 PM 编辑 ]

wang6071

红叶兄说的有道理,既然已经修改键名了何不做得彻底一点呢.
顺便说一下偶的错误认识:
win2003下应该有task文件夹,可能是我习惯禁用计划任务的原因在我的机器上没有此文件夹.
回收站的问题我见利用的是U盘木马,但图标已非回收站图标,所以我通常是一删了事.
以下是syschek1.0.0.14修正版,加上了上述键名的更名,Fonts文件夹因已可显示所以对应的键名就没做修改了.

sck

LP_CHECK克隆账户检测汉化版，因原上传的汉化版有几个地方未汉化，现这次上传的是原汉化的修正版。

sck

我上传错了，请版主改为红叶专贴。

emca

LP_CHECK克隆账户检测 这个工具是不能依赖的。
我亲自用不同方法创建隐形账户，结果却根本无法检测出来！
因此，大家还是要掌握一些检测注册表相关键值的方法为好！

sunkist

原帖由 emca 于 2006-8-14 12:17 AM 发表
LP_CHECK克隆账户检测 这个工具是不能依赖的。
我亲自用不同方法创建隐形账户，结果却根本无法检测出来！
因此，大家还是要掌握一些检测注册表相关键值的方法为好！

红叶兄，你所说的[掌握一些检测注册表相关键值的方法为好！]是那些键值呢？麻烦你一一指出。谢谢

emca

比如,在以下键值检查是否有异常的账户等:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

反正那个工具在我的系统中一点效果都没有.我创建了 N 个隐形管理员账户它都不知道,嘿嘿~ 它好象也没有更新,因此可能要删除这个工具!

注意可能要给管理员设置注册表访问权限!

紫狐

原帖由 emca 于 2006-8-14 08:12 AM 发表
比如,在以下键值检查是否有异常的账户等:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

反正那个工具在我的系统中一点效果都没有.我创建了 N 个隐形管理员账户它都不知道,嘿嘿~ 它好象也没有更新 ...

那磨刀老头的USERMANAGER.EXE有没有作用呢？

sunkist

OK/.在windows2000下运行正常，谢谢wang