[sysshield]系统安全盾

freesoft00

刚发现了一个和王兄的syscheck功能相近的软件，是国外的。官方网址是

http://www.gmer.net/

大家可以试试，同样能检测内核木马。
在网吧上网，不知道干净否，我就不上传它了。
到官方网站下吧。

freesoft00

但要小心用，有一个功能可能导致不能开机（安全模式同样） 最后我就是最后一次正常配置才启动的

是那个类似实时保护得功能，这个软件现在有一定的bug

wang6071

原帖由 freesoft00 于 2006-8-17 07:49 PM 发表
“Winsock的修复可能不是仅注册表那么简单,偶一般用lspfix+WinsockXPFix来修复“

想问一下王兄和无忧的各位兄弟，这两个软件的用法，虽然很简单，但是没出现过这样的问题，也没试过。
主要是lspfix的用法，是 ...

Lspfix使用简单:
    选择不要的dll将其从左边移到到右边,钩选那个选框表示你知道你在做什么,然后点完成.Lspfix的不足之处在于其操作可能会断掉Winsock链,使其无法打开网页.好处是因为是移除操作,所以可以保留杀软的Winsock钩子.
    WinsockXPFix是先删除注册表中的Winsock及Winsock2键,然后用它备份的这两个键的键值来还原.因为还原的非本机的Winsock备份,所以可能会比原来的协议多一点(比如Adsl拔号只需tcp/ip协议,还原的会多出一个Netbios协议).另外,这个方法同时也会导致Kv的Winsock钩子被清掉.
    所以如果你的杀软在Winsock中有钩子，最好先试用lspfix，如果不成功再试用Winsockfix.

freesoft00

谢谢王兄了！
今天发现一个不错的安全论坛——奔雷论坛，感觉挺强。
推荐给大家，上面那个软件就是在那里发现的。网址是：
www.ccfox.net

freesoft00

这是我说的那个软件的介绍
GMER 1.0.10

GMER是一款来自波兰的多功能安全监控分析应用软件.它能查看隐藏的进程 服务，驱动， 还能检查rootkikt,启动项目，并且具有内置CMD 和注册表编辑器 ，GMER具有强大监控能，能很好的保护你的系统安装！GMER还具备自己系统安全模式，清理顽固木马病毒很得心应手！
GMER网站：www.GMER.net


GMER能查看  
隐藏的进程   
隐藏的服务  
隐藏的 .
藏的注册表键   
隐藏的驱动程序   
SSDT(System Service Descriptor Table) 钩子驱动程序   
IDT (Interrupt Descriptor Table) 钩子驱动程序  
IRP (IO Request Packet) 调用驱动程序  
GMER也可以监控以下系统活动： 创建进程 ,
加载的驱动
加载的函数库  
文件创建   
注册表键值  
TCP/IP连接  
1.0.10 更新内容
- 英语版本
-进程监控验证  
- 增加 自动启动 项目  
- 增加 "GMER安全模式"
- 增加"文件" 窗口
- 增加进程全路径
- 增加加载函数库
- 增加扫描隐藏函数库

注意 GMER使用范围 windows NT/W2K/XP 下使用   

GMER还带有在线杀毒的扩展功能（在线网页杀毒无法汉化）

GMER提供卡巴斯基(5系列引擎)和ArcaVir 两种在线杀毒可供选择
1=http://www.mks.com.pl/skaner/skaner.html（波兰站点不推荐）
2=http://arcaonline.arcabit.com/skaner.html（推荐）
3=http://www.kaspersky.pl/resources/virusscanner/kavwebscan.html（波兰站点不推荐）
4=http://www.kaspersky.com/downloads/kws/kavwebscan.html（推荐）
在GMER “配置” 中选择反病毒扫描器，选择使用的在线杀毒软件和升级下载地址，安装控件，更新病毒库后即可开始免费杀毒！  
但由于在线杀毒属于在线Activex页面无法汉化，不过可以试试用卡巴中文站在线杀毒地址
http://www.kaspersky.com.cn/webscanner/kavwebscan.html
替换运行后生成的gmer.ini文件里的卡巴斯基在线杀毒地址，在到GMER里选择扫描器地址为中文 卡巴 ，下载更新即可使用中文版在线杀毒（我还没测试 理论上是可以的）

xdg3669

刚下载SysShield.exe v1.24版使用出现了一次蓝屏！提示是SafeReg.sys问题，载不到图，无法详细说明！

szy106

楼主你的空间怎么回事？

此空间已被系统锁定

锁定原因:由于此空间长期（>=30天）未做维护和更新，即空间管理员超过30天未在空间管理区登陆。

解锁办法:如果您是此空间管理员，请在空间后台登陆一次，即可解除锁定

非常人

原帖由 szy106 于 2006-8-18 08:27 发表
楼主你的空间怎么回事？

此空间已被系统锁定

锁定原因:由于此空间长期（>=30天）未做维护和更新，即空间管理员超过30天未在空间管理区登陆。

解锁办法:如果您是此空间管理员，请在空间后台登陆一次， ...

建议无忧搞个多人BLOG，由斑竹推荐技术员开通（不公开开放注册），提供附件空间！

虽然现在BLOG已经泛滥了，不过自己建还是比网上的免费空间好！

xubo1971

在开启安全顿的情况下无法升级麦咖啡杀软，建议在安全顿的免检文件中加入咖啡及其他杀软的病毒库升级文件。是否应该采用sdat1－9.exe、sdat1－9.zip的形式加入？

xubo1971

BT下载的torrent文件也常常以数字形式存在，免检文件中还要加入1－9.torrent。

wang6071

原帖由 xubo1971 于 2006-8-18 09:33 AM 发表
在开启安全顿的情况下无法升级麦咖啡杀软，建议在安全顿的免检文件中加入咖啡及其他杀软的病毒库升级文件。是否应该采用sdat1－9.exe、sdat1－9.zip的形式加入？

将你所用的杀软目录整个设为免检即可.(文件监视中增加杀软目录,然后在其规则中只选择使用免检文件,其余不设定即可.)

至于bt文件，没必要把下载的文件放在安全盾的监视目录中吧？所以免检中也用不着加这个．

另外你所说的蓝屏可能与你所用的杀软注册了相同的内核钩子有关.如果你的杀软是在安全盾之后加的且注册了安全盾相同的注册表监视内核钩子,则暂停或退出安全盾会出问题.(这种情况下应先退出你的杀软,再暂停安全盾).
反之,在安全盾之前加载杀软则不会出问题.但若该杀软退出时撤销了安全盾监视的钩子，也会出问题．
当然，如果根本没有与安全盾的注册表监视相同的内核钩子，就不会出现上述情况．

to   szy106 :
   空间被锁定是永硕的问题，偶昨天还上传登陆过．现在已重登陆解锁了．

生命过客

安全盾又有了新版本1.24,谢谢你的辛苦劳动。

xdg3669

今天用SysShield.exe V1.24时在文件监控设置中的文件名单区域边界无法调整！见下图：

wang6071

原帖由 xdg3669 于 2006-8-18 10:15 PM 发表
今天用SysShield.exe V1.24时在文件监控设置中的文件名单区域边界无法调整！见下图：

用下面的附件更新一下

xdg3669

今晚又出现两次在关机时由于SafeReg.sys文件而出现蓝屏，提示原因为：


"DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS"

可能是不正常退出SafeReg.sys吧！

[ 本帖最后由 xdg3669 于 2006-8-19 07:34 AM 编辑 ]

wang6071

原帖由 xdg3669 于 2006-8-19 03:07 AM 发表
今晚又出现两次在关机时由于SafeReg.sys文件而出现蓝屏，提示原因为：


"DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS"

可能是不正常退出SafeReg.sys吧！

奇怪的现象,你是一直在用安全盾的吗?如果一直都在用仅是最近才出现的状况,检查一下你最近安装的软件(不加载安全盾,用syscheck的内核检测,看是否有与NtCreatKey与NtSetValueKey钩子,问题可能出在它的身上.原因我前面说了,是加载与退出的顺序问题)

因为最近的好几个版本都没有更新过安全盾的驱动部份了,所以如果以前正常现在出现某些问题,很大可能是与新装软件冲突所致.关机时安全盾是不用手动退出的(它也不会自动退出),但别的软件是否会先卸载钩子就不知道了．

这是一个A->B->C的问题，如果B断掉，则从C恢复到A就会出问题．而如果是C->B->A的退出顺序，则不会出问题．

xdg3669

我一直都用安全盾，这个问题是升为安全盾发1.24才出现。不过在升级前我反杀软卡巴5.0.391更换为卡巴的kis6.0.300!

关了安全盾，用syscheck2r的内核检测总是提示如下，估计可能冲突。也不一定是这，kis6.0检测到syscheck2读取内核数据提出警告而已！装了kis6.0300后用HijackThis v1.99.1
检查有：

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

会不跟这有关？

[ 本帖最后由 xdg3669 于 2006-8-19 09:46 AM 编辑 ]

wang6071

to   xdg3669 :
   你可认查看一下hj报告的那两个文件是否是卡巴的,如果不是...呵呵...

   但这两项应该不会影响到安全盾的驱动工作,疑点还是在卡巴上.你可以到卡巴的设置中看看有没有停用它的注册表监视选项,有就停用一下试验是否是冲突所致.(如果冲突,你可以禁用卡巴的注册表监视或者使用不带驱动的安全盾)

   另外，你也可以每次关机前手动退出安全盾或者卡巴再关机，多试验一下看是否不出问题．

   卡巴对用syscheck2的提示你可以跳过,不是什么冲突.是卡巴的监控不错才报告这个的.

xdg3669

第一个是卡巴的adialhk.dll，但对于第二个在属性是显示卡巴的，但在卡巴里面的程序完整性保护里没列到。

关了面这个，syscheck2就不再提示！

其他的我再测试看看。我把安全盾放到卡巴的信任程序看看！

[ 本帖最后由 xdg3669 于 2006-8-19 12:49 PM 编辑 ]

Phexon

原帖由 emca 于 2006-8-14 02:14 PM 发表
最近有很棒小秘书被清除后，由于其把病毒文件与网络组件进行了捆绑，其“hbmter.dll”这个软件被注册为“winsock”模块，因此如果你删掉它的话，你上网就打不开网页了。因此会导致清除后不能上网，常规修复方法无 ...

我处理过好几次的cnnic绑定winsock，干掉就上不去网

Phexon

syscheck2，貌似进程级别不高，我前几天处理中搜得流氓：searchnet，searchnet可以把线程插入syscheck进程，而Icesword没有被插入线程。还有，syscheck在结束多个进程时，有假死现象，而且处理时间比较长，Icesword杀进程，就一瞬间，貌似Icesword有自己的一套杀进程机制，貌似不是调用系统的ntsd

Phexon

请问
文件过滤自定义设置里面 √和×，以及留空，各自代表什么意思？我看了看帮助文件，帮助只给了几个实例，没有说明这三个选项各自代表什么。

wang6071

to   Phexon:
  　syscheck中Lsp的检测与修复即将完成.测试已通过Winxp及Win2003;采用的是Winxpsp2的Winsock恢复，恢复到只有一个Tcp/IP协议安装(Adsl拔号的常用配置).允许强制恢复．
  　syscheck2的允许其它线程插入它，但查入的线程都是死线程，不会发生作用．Icesword结束进程用的是去线程链表的方法，当然很快（不过这样做不好调整兼容问题，Pjf功力深厚当然没有问题）；syscheck杀进程有两套方案，第一种方案无法完成时才会调用ntsd.
　文件过滤自定义设置里面 √和×，以及留空，各自代表什么意思：留空与打×意义相同，保存设置后自动调整为×．√的意义看对应的标题栏．
　　

emca

Wangsea 兄不久一不小心就成了一个安全编程的专家了！
大家多提意见，帮助 Wangsea 兄弟修练哦：）

前几天我用 Syscheck 查杀 3721，尽管最新版本已经支持从注册表中修改键值来实现显示 C:\WINDOWS\Downloaded Installations\目录，但即使我还原系统函数入口、停止线程创建、清除可疑服务等，但那个目录中 3721 的文件居然仍然无法被显示！！看来这个流氓头子还采取了其他强悍的保护措施！看来得认真反编译这些流氓程序。

songq

对wangsea的敬仰之情不知如何表达了,我想增加系统文件完整性检查,不知可不可行,
windos核心的系统文件有数字签名的,可以验证签名,这样是不是rootkit就无法篡改?
其余的系统文件维护一个hash列表,不管是md5,还是sha1等,这样我怀疑系统有问题,可以检测一下,最好也可以放在PE上,从pe启动,防止rootkit隐藏文件或篡改检测结果,
想法不知对不对,win2000,xpsp2,2003sp1的系统文件还不同,不怕打补丁吧,因为补丁也是有微软签名的.

生命过客

wang6071:我向你问一个题外话。
我是通过“深山红叶安全XP”用上你的系统安全盾的。我想问的是你每次说的红叶兄是不是“深山红叶”。我用过他的很多软件，他给人的感觉是有很高的水平，但总是来无影，去无踪，象个大侠。
他的安全XP做的挺不错的，就是装软件有点难，我用过，他的安全思想还值得我们学习的。不知他对这款XP进行做了改进没有？

wang6071

syscheck 1.0.0.15
在敏感键值页增加对"隐藏文件夹无法通过文件夹选项调整显示"的检测与修复.

增加WinSock检查与修复。注意，本恢复是基于恢复原始的Winsock的，协议只保留了Tcp/IP(Adsl拔号的基本配置)。如果未发现Lsp劫持，未出现有网络连接但网页打不开的情况，请谨慎使用本功能（恢复前有提示，点一下检测是可以的）。因为恢复的同时会将杀软（比如KV,但不是全部杀软都有）的Winsock钩子一并去除。
同时，如果您同时运行了安全盾，在点确定恢复前请暂停一下安全盾，否则恢复不会成功。（当前，失败了也可以再次执行恢复操作）

to emca:
   上次偶清除3721新版时对C:\WINDOWS\Downloaded Installations\目录是在Cmd进入后删除的.所以估计syscheck内置的文件搜索可以搜到它的文件.但是不显示的原因就不清除了,可能需要认真分析一下.

to songq:
    早就想用微软签名来判断是否系统文件,但就是没找到资料说如何提取微软签名.您如果有相关资料推荐一下,我们共同来研究.
    rootkit一般不会改动系统文件,RootKit现在基本上已是一个技术,代现隐藏进程,隐藏文件，隐藏注册表键等等，因为通过隐藏你已经看不到了，所以不怕被中止．当然也就没必要改系统文件了．
   
to 生命过客 :
   上面的emca兄就是红叶兄,也就是深山红叶,本区的
    深山红叶启动光盘（WinPE＆PE Builder）讨论专帖
    就是红叶兄的专贴,有好建议到那个贴子中发吧.

[ 本帖最后由 wang6071 于 2006-8-19 09:42 PM 编辑 ]

生命过客

wang6071:谢谢你的解答。另外，我没有征得你的同意，我将你的系统安全盾在几个论坛上做了介绍，希望你不要介意。主要有剑盟、东海、东度等。

yht

wang6071 :
  今天偶发现syscheck1.0.0.15  (2006.8.20版),以往老版本服务管理中错误显示文件丢失的bug已完全修正!!特告知!
  另外,C:\WINDOWS\Downloaded Installations目录下不能够显示!

[ 本帖最后由 yht 于 2006-8-20 06:12 PM 编辑 ]

wang6071

syscheck1.0.0.16
再次修正服务管理中取路径函数.
再次修正文件搜索函数,使之可以搜索到IE临时文件夹等系统保护目录.

另外 ,发现不能列出保护目录的原因是因为目录属性是只读,而所用的控件在这方面处理时漏处理了.对上述目录的管理请大家暂用文件搜索来代替吧．