无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
楼主: wang6071
打印 上一主题 下一主题

[sysshield]系统安全盾

[复制链接]
1291#
发表于 2006-8-24 03:37:16 | 只看该作者
wangsea兄你好,感谢你的辛勤劳动给我们带来一款如此好的软件安全盾! 使用了一段时间有一点不太明白,所以请教一下,就是安全盾是在文件创建后再删除,那么这段时间里如果文件是病毒的话会不会已经完成感染了,会不会有这个危险,因为最近试用了一下safesystem2006,发现它是在文件创建前就阻止了,所以请您指教!谢谢!
回复

使用道具 举报

1292#
发表于 2006-8-24 09:39:12 | 只看该作者
请教wang6071,在 XP+SP2的内核检查中能够探测到SafeReg.sys,在2000中怎么没有探测到?另外sysshield暂停后退出时,程序出错,待修正。

[ 本帖最后由 longwang 于 2006-8-24 11:28 AM 编辑 ]
回复

使用道具 举报

1293#
 楼主| 发表于 2006-8-24 13:08:21 | 只看该作者
to 6618
   你报告的这个问题可能不一定能修复,因为Win已经检测出错了.(否则也不会是退出碟版但卷标不变).我尽力试试看能否修复.

to zhuhou18:
   安全盾是在文件创建后再删除,那么这段时间里如果文件是病毒的话会不会已经完成感染了?你想想杀软的实时监督,是否也是文件生成后才查杀的呢?毕竟现在的感染性病毒(偶估计这类病毒目前不足1%,大部份都是后门木马及IE插件)已经很少了.当然,从创建时就阻止更有效一些.
 安全盾的注册表监视部份限制了大部份木马加载的地方(也就是说即使它运行,它也写不进启动项,下次开机无法启动自身,当然它也就无效了),且删除文件时如果遇上文件已经执行还会杀除进程再删除文件,所以目前的方法看来还是有效了.

to longwang:
  关于sysshield暂停后马上退出,程序出错,主要是没考虑到有人会这么做,这个小BUG下次修复.
  关于在 XP+SP2的内核检查中能够探测到SafeReg.sys,在2000中怎么没有探测到?你是用什么程序探测的?换用其它的工具试试.
回复

使用道具 举报

1294#
发表于 2006-8-24 14:13:21 | 只看该作者
to wang6071:
syscheck对2000中的内核Hook检测无效,不能检测到SafeReg.sys对内核的ApiHook,对其它apihook也未能检测到。
回复

使用道具 举报

1295#
发表于 2006-8-24 14:24:25 | 只看该作者
原帖由 wang6071 于 2006-8-24 01:08 PM 发表
to 6618
   你报告的这个问题可能不一定能修复,因为Win已经检测出错了.(否则也不会是退出碟版但卷标不变).我尽力试试看能否修复.

为何16以下的版本都没有这个现象?退出光盘但卷标还在好像是正常的现象(如果设定了光盘不自动动行,开机时就把光盘放进去的话)——光盘拿出来了,但图标不变——不知其他朋友有不有这样的现象?重启机子,这个卷标就消失了。

[ 本帖最后由 6618 于 2006-8-25 02:15 AM 编辑 ]
回复

使用道具 举报

1296#
发表于 2006-8-24 14:45:35 | 只看该作者
原帖由 6618 于 2006-8-24 02:24 PM 发表

为何16以下的版本都没有这个现象?退出光盘但卷标还在好像是正常的现象——光盘拿出来了,但图标不变——不知其他朋友有不有这样的现象?重启机子,这个卷标就消失了。


在我的系统中运行 syscheck2.exe 1.0.0.17版,未出现6618版主的错误.
我的系统是光盘放进去,卷标出现,光盘拿出来,卷标消失.
回复

使用道具 举报

1297#
 楼主| 发表于 2006-8-24 18:56:45 | 只看该作者
syscheck 1.0.0.18
修正Win2000无法检测内核HOOK函数的BUG
尝试加入代码修正6618报告的那个问题,请6618测试.

syscheck.rar

372.35 KB, 下载次数: 34, 下载积分: 无忧币 -2

回复

使用道具 举报

1298#
 楼主| 发表于 2006-8-24 21:40:36 | 只看该作者
安全盾1.25更新说明:
  本次更新修正暂停监视时允许退出造成的一个错误。
  默认文件监视中加入Windows\temp为免检目录。如果你不需要这个设置,请手动删除。
  本次更新无重大变化,所以你可以在下一页弹出对话框时询问是否保留您原有Filter.dat选择保留。

这里提供的仅是覆盖升级文件,完整打包请到http://wangsea.ys168.com下载。

SysShield.rar

300.77 KB, 下载次数: 25, 下载积分: 无忧币 -2

回复

使用道具 举报

1299#
发表于 2006-8-24 23:34:30 | 只看该作者
wang6071动作真快,明天再测试2000系统。
回复

使用道具 举报

1300#
发表于 2006-8-25 02:13:16 | 只看该作者
原帖由 zxplhzlt 于 2006-8-24 02:45 PM 发表
在我的系统中运行 syscheck2.exe 1.0.0.17版,未出现6618版主的错误.
我的系统是光盘放进去,卷标出现,光盘拿出来,卷标消失.

先多谢这位朋友的反馈,朋友你应该是系统默认光盘自动运行的,我是设了光盘不自动运行的,正因为这样,我只有在开机的时候放进光盘去才会有卷标,如果进入WINDOWS后再放光盘进去,是不会有卷标(不显示图标的),也不会自动运行的,我想如果设了光盘不自动运行,在开机时把光盘放进去,进到系统后再把光盘取出来,可能出会出现我遇到的情况。
回复

使用道具 举报

1301#
发表于 2006-8-25 02:13:30 | 只看该作者
感谢wang6071兄的解释,“且删除文件时如果遇上文件已经执行还会杀除进程再删除文件”我想知道的就是这句,哈哈!再次感谢您的好软件!!
回复

使用道具 举报

1302#
发表于 2006-8-25 02:27:00 | 只看该作者
原帖由 wang6071 于 2006-8-24 06:56 PM 发表
syscheck 1.0.0.18
修正Win2000无法检测内核HOOK函数的BUG
尝试加入代码修正6618报告的那个问题,请6618测试.

还是会出错,经过wangsea兄的解释,我觉得这好像是MS的BUG,不是这个工具的BUG?
情况是这样,我的系统有两个光驱,一个是明基的DVD光雕刻录机,一个是SONY的普通光驱,我是设了光盘不自动运行的,当我在WINDWOS下把一张自动运行的XP光盘放进去DVD光驱的时候,是不会自动运行的,也不会出现卷标(图标)的,就算把光盘拿出来,18版也不会出错。如果我在开机的时候就把光盘放进去,进入WINSDOWS系统后,就会出现卷标(图标),但不会自动运行,当我把光盘拿出来后,卷标(图标)不会随着消失(如果系统默认光盘自动运行的话,是会随之肖失的),这样就导致18版出错——wangsea兄说的windows检测出错。我想wangsea兄也不用再花时间去修正这个了。

[ 本帖最后由 6618 于 2006-8-25 02:40 AM 编辑 ]

cdrom.JPG (42.85 KB, 下载次数: 109)

cdrom.JPG
回复

使用道具 举报

1303#
发表于 2006-8-25 08:04:41 | 只看该作者
原帖由 6618 于 2006-8-25 02:13 AM 发表

先多谢这位朋友的反馈,朋友你应该是系统默认光盘自动运行的,我是设了光盘不自动运行的,正因为这样,我只有在开机的时候放进光盘去才会有卷标,如果进入WINDOWS后再放光盘进去,是不会有卷标(不显示图标的) ...

我的系统是XP SP2,在组策略中已设置为关闭自动播放,光盘为不自动运行.
回复

使用道具 举报

1304#
发表于 2006-8-25 09:42:53 | 只看该作者
6618版主,你在XP下打开自动刷新试试。
回复

使用道具 举报

1305#
发表于 2006-8-25 11:24:57 | 只看该作者
文件检测还是有些小问题,sptd.sys在运行,确报告文件丢失。

未命名.jpg (161.8 KB, 下载次数: 120)

图片附件

图片附件
回复

使用道具 举报

1306#
 楼主| 发表于 2006-8-25 12:16:53 | 只看该作者
to  longwang:
在运行中输入Regedit,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到sptd项,将该项导出为sptd.reg,传上来.
回复

使用道具 举报

1307#
发表于 2006-8-25 12:26:50 | 只看该作者
原帖由 wang6071 于 2006-8-25 12:16 PM 发表
to  longwang:
在运行中输入Regedit,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到sptd项,将该项导出为sptd.reg,传上来.



一看确有这项!
我的附件:

sptd.rar

638 Bytes, 下载次数: 15, 下载积分: 无忧币 -2

sptd.rar

回复

使用道具 举报

1308#
发表于 2006-8-25 12:54:50 | 只看该作者
那是deamon tool 的驱动,用“定位文件”都能找到该文件。上面的兄弟传了,我就不传了。

[ 本帖最后由 longwang 于 2006-8-25 12:58 PM 编辑 ]
回复

使用道具 举报

1309#
发表于 2006-8-25 13:45:12 | 只看该作者
原帖由 xubo1971 于 2006-8-25 09:42 AM 发表
6618版主,你在XP下打开自动刷新试试。

我试了,不管用。
回复

使用道具 举报

1310#
发表于 2006-8-25 13:52:35 | 只看该作者
原帖由 zxplhzlt 于 2006-8-25 08:04 AM 发表

我的系统是XP SP2,在组策略中已设置为关闭自动播放,光盘为不自动运行.

我不是在组策略中设的,我是在注册表中禁用的,如下图,难道只是我的机子的问题?不管它了,也不想再去深究了。

noautrun.JPG (37.4 KB, 下载次数: 111)

noautrun.JPG
回复

使用道具 举报

1311#
发表于 2006-8-25 15:40:01 | 只看该作者

:)

我怎么也无法重现上述问题。
回复

使用道具 举报

1312#
发表于 2006-8-25 15:49:04 | 只看该作者
刚才用syscheck杀一个进程,居然杀不死,内存模块检测和ICESword比较还有很大差距,看来syscheck还需要加强。
回复

使用道具 举报

1313#
 楼主| 发表于 2006-8-25 18:58:37 | 只看该作者
奇怪,用  xdg3669 提供的Reg文件测试,可以正确显示sptd.sys的情况呀.  xdg3669 的机器上能否显示sptd.sys的情况呢?

syscheck杀一个进程,居然杀不死
-------------------------------------------
这个不用奇怪,syscheck当然杀不死如IcesWord这样的用驱动保护的进程.

模块检测和ICESword比较还有很大差距
--------------------------------------------------
syscheck只检出修改了的部份,不是全部显示,需要对比一下IceSword检出的修改了的部份才能得出syscheck是否漏检.
回复

使用道具 举报

1314#
发表于 2006-8-25 19:38:57 | 只看该作者
的确不能正常显示:

[ 本帖最后由 xdg3669 于 2006-8-25 11:08 PM 编辑 ]
回复

使用道具 举报

1315#
发表于 2006-8-25 20:51:59 | 只看该作者
我曾经用sreng试图删除sptd服务程序,但删除失败了,重新启动后sptd运行状态不明,但文件存在状态能显示,之后就没能恢复原状。因此将该服务完全删除后,重新安装了deamon tools,文件存在状态又显示丢失。而且它本身进行了一些内核hook,没仔细看,可能有关系。现在在家里没装deamon,忘了hook了哪些API。

[ 本帖最后由 longwang 于 2006-8-25 08:57 PM 编辑 ]
回复

使用道具 举报

1316#
发表于 2006-8-25 21:02:32 | 只看该作者
能够上百页、上千个回复的帖子,建议坛主设置为专帖吧,这样更加方便大家,同时也是对Wangsea的尊重!大家意见如何?
回复

使用道具 举报

1317#
 楼主| 发表于 2006-8-25 21:06:57 | 只看该作者
改进了下,看看对sptd的显示是否正常了.

红叶兄的那个建议我看没必要,现在已经是很方便了.

[ 本帖最后由 wang6071 于 2006-8-25 09:10 PM 编辑 ]

syscheck(20060825).rar

372.22 KB, 下载次数: 32, 下载积分: 无忧币 -2

回复

使用道具 举报

1318#
发表于 2006-8-25 21:20:09 | 只看该作者
原帖由 emca 于 2006-8-25 09:02 PM 发表
能够上百页、上千个回复的帖子,建议坛主设置为专帖吧,这样更加方便大家,同时也是对Wangsea的尊重!大家意见如何?



早应如此了,毕竟这样的(........)不多!


回家再试下,现在在办公室里!这台机没有这个服务!

[ 本帖最后由 xdg3669 于 2006-8-25 09:24 PM 编辑 ]
回复

使用道具 举报

1319#
发表于 2006-8-25 21:49:31 | 只看该作者
确实是好东西!
回复

使用道具 举报

1320#
发表于 2006-8-25 23:07:08 | 只看该作者
已经正常了,在我的机子。

1.jpg (128.03 KB, 下载次数: 121)

1.jpg
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-12-14 00:39

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表