[sysshield]系统安全盾

emca

哪位兄弟知道如何以SYSTEM权限执行命令行命令吗？我试过 Psexec 、把命令添加为系统服务等，居然都行不通！
目的是解决特定注册表键值的替换恢复问题。目前无法直接修改覆盖（但部分有可能被修改）的键值有：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
HKEY_CLASSES_ROOT\.exe
HKEY_CLASSES_ROOT\exefile（其他DLL/PIF/COM都相同）
HKEY_CLASSES_ROOT\Drive\shell\find\command
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
HKEY_CLASSES_ROOT\Folder

大家也可试试使用类似以下命令能否执行成功：
REG restore "HKEY_CLASSES_ROOT\Drive" reg.bin （其中reg.bin为事先用 Reg save "HKEY_CLASSES_ROOT\Drive" reg.bin 导出的备份文件）。

6618

我保存的一篇帖子：

超另类，以SYSTEM的身份登陆

以SYSTEM的身份登陆WINDOWS，电脑的权限会比计算机管理员还大，这部电脑将完全被你给征服了。

一。我们用来做试验的机子设置如：XPSP1系统＋万像2004＋冰点还原＋一些常规的限制，（比如禁止注册表）没有限制下载，这是最好的机会了。关于破解下载方法在后面我会详解。首先我们要用到“Psexec.exe"一个黑客常用的小工具用来或得SHELL，SHELL简单说就是得到这部机的权限。将“Psexec.exe"下载到了电脑上后，比方说D盘。按下“Ctrl"+"Alt"+"Del"或者”Ctrl+Shift+Eec"调出任务管理，将进程“explorer.exe"资源管理器结束掉。马上新建任务输入“CMD”命令提示符，在命令提示符下再输入：“D:\PsExec -i -s -d explorer"，这样就成功的用"SYSYTME"登入到了系统。嘿嘿～有些网吧可能会将运行给禁止掉了，不怕大家只要先将“CMD”下载到电脑，先打开命令提示符就可以了。
二。以SYSTEM的身份登入到系统之后真是无所不能啊！网吧原先所用的限制在SYSYTEM的身份中，全部没用就好像新建了一个用户一样。大家查看任务管理器就知道了，当前的“explorer.exe"资源管理器验证身份已成了SYSTEM了。需要注意的是以这种身份登入系统，网吧原来的墙纸、主题、桌面上的图标都会变成默认的，最好先打开一个IE最大化的窗口来掩饰一下。呵呵不然人家网管走过一看，这家伙的电脑桌面怎么不对劲啊！如果网吧设有墙纸的话，用最快的速度点击开始\我的电脑\C盘\Documents and Settings\zjs（以网吧的用户名为准）\Local Settings\Application Data\Microsoft\扩展名为“BMP”的图像打开设为墙纸。然后将C盘\Documents and Settings\zjs（以网吧的用户名为准）\桌面\里所有图标的快捷方式拷备到C:\Documents and Settings\All Users\桌面里。这样你的卓面才会和原来的一模一样。如果想切换回原来的身份只要结束掉“explorer.exe"进程就可以了，如果不行只能注销了。下面发一些用SYSYTME破解的图片
以SYSTEM在系统里可以杀掉冰点还原软件的文件件和进程，只是不能起到不还原的作用！
原先注册表中HKEY_LOCAL_MACHINE\SAM和HKEY_LOCAL_MACHINE\SECURITY，现在应该可以无限制访问。
还可以随便打开C:\System Volume Information 系统还原文件夹等等...这里我就不一一的介绍了，大家试试就知道了

红叶试试这样行不行（也不知红叶试了没有，也许已试了）

xdg3669

新闻一周谈:扼杀创新,国内杀毒软件死路一条！[/Size]

http://www.pconline.com.cn/pcedu/softnews/gdpl/0608/852972.html


怎么也没wang兄的安全盾强大！但好像微点的进程的确是结束不了！

[ 本帖最后由 xdg3669 于 2006-8-30 08:35 PM 编辑 ]

wang6071

syscheck(1.0.0.23)
上次的检测报告居然遗忘了内核HOOK的内容,这版补上。
针对目前杀毒后磁盘分区全部或部分不能打开的故障在敏感键值页加入一个按钮<磁盘关联>修复（谢谢红叶兄提供的相关处理方法）

-------------------------
我测试的结果有点奇怪.

wang6071

记得看到过一个获得system权限的,现在找到了,请红叶兄测试看行不行(最多支持6个参数)

to xdg3669 :
  没有用过微点,不过看到进程中有好几个mP开头的,可以试试先恢复ssdt,再禁止线程创建,然后再同时结束那几个mp开头的看行不行.


这里有zzzevazzz 老大对微点的评点,如何结束微点进程自然也就明了.
http://forum.eviloctal.com/read-htm-tid-15522-page-3-fpage-1.html
我相关部份贴过来:
既然你认为“事实胜于雄辩”，那我就用事实说话好了。


在Win2kProSP4虚拟机安装微点后重启，一登陆就有提示：

发现未知间谍软件，是否删除？
程序:
C:\PROGRAM FILES\VMWARE\VMWARE TOOLS\VMWAREUSER.EXE
是否删除木马程序及其衍生物

那是VMWare的一个程序，会安装鼠标钩子，用于实现虚拟机内外拖放文件。（好吧，当我没看到，不算误报）

主要关心查杀能力，所以其他功能简单路过。

系统自启动信息中，把fltmgr.sys和agp440.sys两个能通过系统文件签证的正常Windows系统文件显示为其他软件。

自启动信息的详细程度，与工具autoruns的结果还有不少差距。

模块/进程信息中，把wups.dll、wups2.dll和wuaueng.dll三个能通过系统文件签证的正常Windows系统文件显示为其他软件。

编了个小程序，改写磁盘0磁道0、1、2扇区，微点没反映。

运行WinEggDrop写的WebServer（一个微型web服务器，可以用来临时从某主机“偷”东西），微点没反映。

运行IceSword1.10（加载驱动和安装消息钩子），还是没反映。

用w2k_load.exe加载内核级键盘记录工具klog.sys，仍然没反映。

是不是自己主动运行的程序，微点认为是安全的呢？下面搞文件捆绑！

首先绑定两个无害的文件：WinObj.exe和MD5.exe。为避免干扰，用的是自己写的捆绑程序（普通技术，没考虑反杀），结果当然没事。

然后捆绑WinObj.exe和WebServer.exe，不管是双击执行，还是在命令行运行，微点都没反映。

直接在虚拟机里运行捆绑程序进行捆绑，也一样pass。

看来微点的策略是“宁可放过一万，绝不错杀一个”。

再试试古董级的木马winshell，这个要是还不能查杀，可以直接把微点扔进拉圾箱了。

还好，winshell监听端口时微点弹出提示了。但是，并没有提示用户删除winshell的服务。

微点宣传的“重大技术创新”之一是“发现新病毒后……自动清除病毒，并自动修复注册表”。

winshell启动后一共两类“恶意行为”——添加服务（本质是修改注册表）和监听端口，微点在拦截后者并由用户确认后，却不能自动（至少应该提示用户）回滚前者。

功能实在有点简陋啊。仅仅是拦截的话，不如用诺顿，它做的更全面更彻底。

接下来测试黑客之门，这个也是必须查杀的“硬指标”。

在黑客之门开始感染文件时，微点报警了。这应该是黑客之门安装时的第一个“恶意行为”。（这么“积极”的查杀会增加误报率）

我估计微点拦截黑客之门是因为它编辑了PE文件的导入表。那么如果我就是要用PE工具编辑文件呢？

当我用Stud_PE.EXE准备打开一个文件时，通过鼠标选择或拖放文件没有问题。但通过键入首字母让Windows提示并自动完成时，微点报警了。

同一个程序，仅仅因为用户操作不同，被区别对待，这显然存在误报问题。（应该要么都deny，要么都pass）

根据前面的测试，我认为，微点对利用注册表自启动的程序(winshell)采取较严格的控制。

对于不是自启动（包括文件捆绑）的程序，不管是监听端口(WebServer)、安装钩子(IS)还是加载驱动(Klog)，统统不理会。

为验证我的想法，我安装了金山的词霸豆豆（一种在线字典）。

安装和使用过程中，微点都没有报警。但是，重启系统后，词霸豆豆自启动，当它要上网时，微点拦截了。

这种策略实在是...怎么说呢...有点...白痴。

如果运行的程序是木马，那微点的提示将成为马后炮。

如果是正常的程序，系统重启后仍然免不了要提示。而且用户会想：“我昨天也用过这个程序，微点怎就没报警，是不是这个程序刚刚被感染了啊？”

所以，还不如像传统防火墙那样，一开始就给用户明确提示。等程序自启动了才提示，只会让普通用户感到困惑。

另外，我测试的微点（程序版本：1.2.10289，特征版本：1.3.69.060428）有个严重BUG。

当我执行 nc.exe -l -p 4444 时，微点提示：
发现可疑程序
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\NC.EXE
是否阻止该进程继续运行？

默认选项为“阻止”，点“确定”。然后nc进程就僵死了。用IS无法终止nc进程。

最糟糕的是，系统关机时，系统也无法终止这个nc进程，以致于系统无法正常关机。

以上测试，完全感觉不到任何“智能”的成分。实在没兴趣多研究了。

最后，列出微点挂钩的系统服务：
nt!NtClose
nt!NtCreateKey
nt!NtCreateProcess
nt!NtCreateSection
nt!NtCreateThread
nt!NtOpenKey
nt!NtOpenProcess
nt!NtOpenThread
nt!NtQueryDirectoryFile
nt!NtSetValueKey
nt!NtWriteVirtualMemory
win32k!NtUserCreateWindowEx
win32k!NtUserDestroyWindow
win32k!NtUserFindWindowEx
win32k!NtUserMoveWindow
win32k!NtUserSendInput
win32k!NtUserSetWindowPos
win32k!NtUserSetWindowsHookEx
win32k!NtUserShowWindow

顺便说一下，当我手动把SSDT复原后，微点没有任何提示说“xxx已被篡改”，也没有重新挂钩。

想必，其它的API/TDI/NDIS Hook（如果有的话）也没有防止被解除挂钩。整个防御机制之薄弱可见一斑。

[ 本帖最后由 wang6071 于 2006-8-30 10:59 PM 编辑 ]

xdg3669

报告一个不足吧，（不称bug）


在用syscheck的定位注册表功能时，用最后的项名定位（是吧？），总是最先找到第一个匹配或半匹配的项名就结束了！除非最后的项名没有相同的，因此定位不准确。

to xdg3669 :    没有用过微点,不过看到进程中有好几个mP开头的,可以试试先恢复ssdt,再禁止线程创建,然后再同时结束那几个mp开头的看行不行.

来处微点：http://bbs.micropoint.com.cn/showthread.asp?tid=661&fpage=1

除了系统的资源管理器 其他的程序想杀掉微点进程还不容易。  楼主可以找些工具软件再44~  同时 能够调用系统资源管理器来杀掉微点的。。。 现在还没出现~  呵呵~    PS:俺尝试过用冰刃来杀掉微点进程 结果是蓝屏。。。

作为一种尝试。

[ 本帖最后由 xdg3669 于 2006-8-30 10:29 PM 编辑 ]

wang6071

原帖由 xdg3669 于 2006-8-30 10:15 PM 发表
报告一个不足吧，（不称bug）
在用syscheck的定位注册表功能时，用最后的项名定位（是吧？），总是最先找到第一个匹配或半匹配的项名就结束了！除非最后的项名没有相同的，因此定位不准确。
来 ...

是否你的注册表太大了我给的延时不够多?在我测试的机器中不仅准确到项名，且能准确到值名上．
还有，定位未结束时请不要操作键盘，因为定位是摸拟键盘输入定位．

namejm

　　syscheck的功能是越来越强悍了，赞一个先。
　　还是忍不住要重提一个问题：信息栏里的字跑得太快了，能不能把速度稍微降一点呢？看着那些信息一个劲地往前窜，想看的内容却一时难以看清楚，不得不等待它再次出现，很是不方便，眼睛都看花了。

wang6071

原帖由 namejm 于 2006-8-30 10:40 PM 发表
　　syscheck的功能是越来越强悍了，赞一个先。
　　还是忍不住要重提一个问题：信息栏里的字跑得太快了，能不能把速度稍微降一点呢？看着那些信息一个劲地往前窜，想看的内容却一时难以看清楚，不得不等待它再次 ...

改了一下,每隔3秒提示行整行刷新.

namejm

　　嘿嘿，多谢wangsea，整行刷新的改动确实太好了，眼睛也没那么累了。不过，我有点得寸进尺了：3秒的时间可能太短了点，5秒的时间应该才够用，因为有的信息太长，都还没读完就刷新了。

sck

对，我也觉得3秒太短了，5秒比较合适。

longwang

建议安全盾安装包打包的时候filter.dat采用红叶的蓝本。

wang6071

syscheck1.0.0.23
   更改刷新时间为5秒

我空间的安全盾完整包已于今天早上更新,采用的是红叶的filter.dat

sck

谢谢，太好。

emca

如果方便的话，Syscheck 要是能够具备象 Erdnt 那样的简单易用的注册表备份和恢复功能就太好了！
众所周知，Windows XP（NT系列）注册表位于 System32\config（另外用户配置目录也有，C:\DOCUME~1\ADMINI~1\ntuser.dat 和 C:\DOCUME~1\ADMINI~1\LOCALS~2\APPLIC~1\MICROS~1\Windows\UsrClass.dat），一般是无法直接复制和覆盖的。但要想完整地备份和恢复注册表，使用简单的注册表编辑器导出和导入是不行的，因为那样得到的并不是完整的注册表原始文件。因此建议 Wangsea 兄弟研究一下 ERDNT 的原理（似乎是取得System权限？），添加一个注册表完全备份/恢复功能。这样才是在修复时不忘记备份维护。

为方便部分兄弟不用寻找，顺便把ERDNT上传到附件。

闲逛

原帖由 wang6071 于 2006-8-31 08:36 PM 发表
syscheck1.0.0.23
   更改刷新时间为5秒

我空间的安全盾完整包已于今天早上更新,采用的是红叶的filter.dat

完整包的名字好像写成2005了.............

emca

安全盾规则最新更新！
添加了一批最近新出现的流氓程序的目录监视和文件监视。具体请自行比较。

wang6071

原帖由 emca 于 2006-8-31 10:04 PM 发表
如果方便的话，Syscheck 要是能够具备象 Erdnt 那样的简单易用的注册表备份和恢复功能就太好了！
众所周知，Windows XP（NT系列）注册表位于 System32\config（另外用户配置目录也有，C:\DOCUME~1\ADMINI~1\ntus ...

EruNT好似未用system权限,我想可能只是在程序中取得SeBackupPrivilege权限,然后用Api RegSaveKey来保存hiv,恢复时估计可能是使用moveFileEx来替换的.
感觉已有EruNt这么好的软件了,没必要再搞什么集成,除非有特殊原因
只备份/恢复指定的受保护键(好象无法备份而又容易被黑的键还没看到过).

要在恢复注册表前做个完整备份,可以直接调用EruNt出来备份.

我觉得应该这样来做恢复,先调用EruNt作个完整备份,再做个恢复键值的单独备份.
然后
恢复ssdt,
del所有进程(当然,只留下仅有的几个系统进程)
del所有插入的外部线程(如果有的话)．
最后才恢复注册表，完成后重启即可，连Runonce都不用．

谢谢  闲逛  的提醒，写错时间了，已更正．

[ 本帖最后由 wang6071 于 2006-9-1 12:51 AM 编辑 ]

longwang

to emca:
%SystemDrive% 写成 %SysteDrive% 了。

emca

重新共享过滤规则！上面丢失一个字母的小BUG已经修正。
花费我一天一夜的功夫，分析了市面几大主流流氓病毒清除工具，将里面所有的病毒目录和文件名彻底搜罗了一遍！
目前过过滤 Program Files 下面的病毒目录 149 个（其他如Windows等目录的暂且不算），病毒文件 955 个，模糊过滤类别 47 种！
也就是说，市面上各种流氓病毒清除工具的功能总和要远远小于Sysshield的防范能力总和（因为Sysshield具备类型过滤和模糊过滤功能）。因此，无论是自定义目录免疫，还是黑名单免疫，都具有超强的效果！！！

注意：由于Sysshield只防不杀，因此请在系统干净时立即安装使用！

请解压覆盖 系统安全盾\Filter.dat 即可。

emca

特意将所有可能被病毒利用的键项整理了一下，供Wangsea参考，基本上覆盖了目前所有已知的病毒可利用于自动加载的位置。也许仍然有极个别遗漏，还请大方之家指正！

★包含 BootExecute(有★为普通模式下可能无法替换的项目，必须以System权限执行)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

★服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

★防火墙策略
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy

全局用户策略，包括策略 Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies

当前用户策略，包括策略 Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

开关机自动运行脚本（清空）
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts

包括 Load 项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

全局 Run（应当清空）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

当前用户 Run（应当清空）
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

全局 RunOnce（应当清空）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

当前用户 RunOnce（应当清空）
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

全局 RunOnceEx（应当清空）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

当前用户 RunOnceEx（应当清空）
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

全局 RunServices（应当清空）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

当前用户 RunServices（应当清空）
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

全局 RunServicesOnce（应当清空）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

当前用户 RunServicesOnce（应当清空）
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

★包含 UIHost、Shell、Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

ShellExecuteHooks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

Windows初始化DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

命令行自动运行（当前用户）
HKEY_CURRENT_USER\Software\Microsoft\Command Processor

命令行自动运行（全局用户）
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor

浏览器BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

浏览器前缀
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL

浏览器全局
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer

★浏览器当前用户
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

浏览器捆绑
HKEY_CLASSES_ROOT\CLSID\{99F1D023-7CEB-4586-80F7-BB1A98DB7602}

★浏览器捆绑防止恶意 DLL 与 Explorer 链接加载
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}

★exe关联1
HKEY_CLASSES_ROOT\.exe

★exe关联2
HKEY_CLASSES_ROOT\exefile

★dll关联1
HKEY_CLASSES_ROOT\.dll

★dll关联2
HKEY_CLASSES_ROOT\dllfile

★Com关联1
HKEY_CLASSES_ROOT\.com

★Com关联2
HKEY_CLASSES_ROOT\comfile

★pif关联1
HKEY_CLASSES_ROOT\.pif

★pif关联2
HKEY_CLASSES_ROOT\piffile

★scr关联1
HKEY_CLASSES_ROOT\.scr

★scr关联2
HKEY_CLASSES_ROOT\scrfile

★cmd关联1
HKEY_CLASSES_ROOT\.cmd

★cmd关联2
HKEY_CLASSES_ROOT\cmdfile

★txt关联1
HKEY_CLASSES_ROOT\.txt

★txt关联2
HKEY_CLASSES_ROOT\txtfile

★reg关联1
HKEY_CLASSES_ROOT\.reg

★reg关联2
HKEY_CLASSES_ROOT\regfile

★资源管理器外壳查找
HKEY_CLASSES_ROOT\Drive\shell\find\command

Winsock
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock

★Winsock2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2

★驱动器外壳关联
HKEY_CLASSES_ROOT\Drive

★文件夹外壳关联
HKEY_CLASSES_ROOT\Folder

磁盘加载点关联(杀掉关联病毒后磁盘可能打不开!)
%REG% delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"

外壳服务对象预加载
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

应用程序映像映射
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options


-------------------------------
个人认为，如果从保护和恢复系统的角度，我们还是可以将一套新安装的干净系统的上述键项导出，以资源的形式整合到Syscheck中，这样即可增加一项我们一直在研究的快速还原系统默认配置的功能——执行此功能并提示、确认后，Syscheck 先自动恢复所有 SSDT，然后备份上述键项（备份为reg可能更便于分析，而且分别备份成单独的reg也便于必要时只对个别恢复导入），接着从资源中解出上述注册表干净备份，再强行替换（不是改写！）到当前注册表对应位置，最后重启。那些注册表内容不压缩时稍大了些，但压缩后却极小。

这里将REG文本格式和二进制格式的上述键项的干净备份文件附上供参考。

[ 本帖最后由 emca 于 2006-9-1 09:14 AM 编辑 ]

longwang

呵呵，如果syscheck能够成功实现红叶的设想，就功能就非常强大了。如果结束进程和删除服务的功能能进一步加强和稳定，就无敌了。

sunkist

RegReg.rar来得真急时啊。。谢谢EMCA  or  WANG 。

emca

原帖由 longwang 于 2006-9-1 11:10 AM 发表
呵呵，如果syscheck能够成功实现红叶的设想，就功能就非常强大了。如果结束进程和删除服务的功能能进一步加强和稳定，就无敌了。

____________
不要只管用却不回复啊，应当把你的好东东贡献给大家！可不要用于写流氓病毒啊！！

longwang

to emca:
呵呵，我哪有什么好东东哦，用了你的过滤包的确很放心。但我觉得现在syscheck的确很多功能有待加强，syscheck的红色标识非系统程序很好用，一目了然，但结束进程和服务程序的确不太好用，我一般也是用syscheck查，icesword杀，有时再用autorun，sreng检查一下。但IceSword兼容性不好，希望syscheck越做越好。大师面前不敢卖弄。非常感谢老兄的过滤包和王兄的好工具。

[ 本帖最后由 longwang 于 2006-9-1 03:58 PM 编辑 ]

yht

原帖由 emca 于 2006-9-1 07:59 AM 发表
重新共享过滤规则！上面丢失一个字母的小BUG已经修正。
花费我一天一夜的功夫，分析了市面几大主流流氓病毒清除工具，将里面所有的病毒目录和文件名彻底搜罗了一遍！
目前过过滤 Program Files 下面的病毒目录  ...

红叶兄的<<过滤规则>>确是功德无量!HIPS类软件的特点是个性化突出!软件本身是一个操作平台!与其相匹配的规则就是实际操作规程!在某种意义上是软件中的软件!这个概念也许不太贴切!但可说明其重要性!以往不少洋货HIPS类软件之所以难以普及!官方的规则不合国情不服水土也是一大因素!君不见红叶兄的RegDefend及Winpooch的强化规则,令不少网友受益,即是明证.......

[ 本帖最后由 yht 于 2006-9-1 05:15 PM 编辑 ]

zhken

好得不得了的软件，永远支持！

emca

哪位兄弟有兴趣和时间，把SysShield对上面的注册表键项保护效果一一验证一下，看看是否有遗漏，如何？

wang6071

安全盾1.28(20060901)更新说明:
  为更好地共用过滤规则文件,本次共用过滤文件中增加了对当前用户(不一定是Administrator)的转换。

本附件为安全盾的替换升级文件,附件中的Filter.dat为下文内容的整理,先发到论坛上大家讨论一下,空间上的完整过后再更新.


拿到红叶的Filter.dat过滤规是,仔细看了一下,觉得似乎有必要探讨一下规则文件的优化问题

1:对Windows目录及子目录
c:\windows\|ebd  这个设置是:监视子目录+黑名单+模糊+类型
而模糊+类型几乎包含了所有的文件扩展名后缀,也就是对Windows及子目录采用禁止创建新文件策略。
这个设置不仅繁杂(指模糊+类型中的设置很长很多)，效率却不如：

c:\windows\     直接禁止Windows及其子目录下创建文件。

c:\windows\temp\|ceb 这里单独将temp目录设置为：免检+黑名单+模糊
没必要设置免检，c:\windows\temp\|eb  子目录+黑名单+模糊即可

c:\windows\system32\drivers\|eb
C:\WINDOWS\Downloaded Program Files\
C:\WINDOWS\system32\msicn\
C:\WINDOWS\Tempp
这几条没必要，因为它们都是C:\windwos的子目录，未单独设置则使用父目录的规则，而父目录已设置成禁止创建文件。

c:\windows\system32\drivers\|eb  黑名单+模糊+子目录
设置这个目录的目的免检部份文件，比如KV的kregex.sys,每次开机后动态在此目录生成。但上面的设置放的权限太大，应设置成 免检+类型,如下：
c:\windows\system32\drivers\|cd


c:\Documents and Settings\Administrator\local settings\temp\|c
设置错误!相当于该目录免检,应设为
c:\Documents and Settings\Administrator\local settings\temp\|eb 子目录+黑名单+模糊


%SystemDrive%\documents and settings\all users\桌面\|aebd  黑名单+模糊+类型
原意应是不允许设置所有用户之桌面
我看设为%SystemDrive%\documents and settings\all users\更好一些，这不会影响当前用户的。

%SystemDrive%\program files\internet explorer\
%SystemDrive%\program files\internet explorer\2052\
%SystemDrive%\program files\Internet Explorer\Connection Wizard\
%SystemDrive%\program files\internet explorer\lib\
%SystemDrive%\program files\internet explorer\plugins\
只保留%SystemDrive%\program files\internet explorer\      即可达到相同的效果

2:对于避免计算机名相同
[SysSheild_UserDir]
Computer=HFUT-SECU   这个有可能会重名
其实可以写成
Computer=本过滤文件经深山红叶精心整理搜集，在此再次感谢红叶兄在安全领域中的贡献！

3:
类型过滤：(建议将类型过滤用在有免检文件的目录中)

onlymon=*.exe;*.com;*.inf;*.vbs;*.sys;*.bat;*.cmd;*.lnk;*.inf;*.dll;*.txt;*.ini;*.dat;*.vxd;*.bin;*.tmp;*.ocx;*.pif;*.sys;*.log;*.tmp;*.cab
上在的设置几乎将所有扩展名后缀都包含了，这个设置与将某个目录直接设为禁止创建文件相同，失去了类型过滤的意义。(要这么设置的话可以简写成*.*)
我认为可以取消以下几个:
*.vxd;*.log;        注册表保护在起作用,即使生成它也无法加载。
*.inf               一般来说无法直接执行,顶多是垃圾。  
*.dll;*.ocx         IE插件类注册表保护可以使其无法加载。
*.txt;*.ini;*.dat;*.bin;*.tmp;*.cab   无法直接加载,顶多是垃圾。
且上述文件在定义了c:\windows规则下是无法生成的，所以
整理后的类型过滤如下:
onlymon=*.exe;*.com;*.vbs;*.bat;*.cmd;*.lnk;*.pif;*.sys;

4:
模糊过滤:(建议将模糊过滤用在非Window目录中,或免检目录中)

blurring=0-9.exe;0-9.dll;*.com;*.pif;cns*.*;baidu;yisou;yass;toolbar;iebar;barhelp;tollbar;*.vxd;hdtbar;网络猪;搜索;网址;导航;连锁;加盟;唯刊;电影;娱乐心空;工具条;传媒;播霸;bgoo;rund*.exe;rund*.com;vika;cns;ppgou.*;soo;ebay*.*;assist.*;cdn.*;dudu.*;ddd*.*;autorun;baigoo.*;bind*.exe;*.com;*.sys;*.log;*bar.dll;*bho.dll;

可以优化一下：
1:后缀.*都可以省略，表示由文件名模糊匹配。若带有非*扩展名，则表示：名字模糊匹配+扩展名相同。
所以可以优化的部份：
0-9.exe;0-9.dll;*.com;  只过滤数字文件名+扩展名是.exe或.dll的含数字的文件。0-9表示0-9.*

blurring=*.exe;*.com;*.vbs;*.bat;*.cmd;
复制模糊过滤这部份，用在临时目录时阻止可执行文件的执行(注意取消了*.lnk;*.pif;*.sys，*.vxd;*.log;因为这些文件并不能直接运行，需要其它程序辅助),0-9设置也可以不用了,上面已包含。

cns*.*;这样写是错误的，这样写模糊匹配的是cns*,而原意是模糊匹配cns,所以只用cns就可以了。
*help*.dll同上，可以写成help.dll,模糊匹配的是含有help字符的文件+.dll扩展名。

toolbar;iebar;barhelp;tollbar;hdtbar;*bar.dll都有共同的特征字符，所以可以用bar就行了。

最后合并整理的结果如下：
blurring=*.exe;*.com;*.vbs;*.bat;*.cmd;bind.exe;bho.dll;rund.exe;rund.com;help.dll;autorun;assist;cdn;cns;baidu;ddd;baigoo;bgoo;dudu;ebay;ppgou;soo;vika;yisou;yass;网络猪;搜索;网址;导航;连锁;加盟;唯刊;电影;娱乐心空;工具条;传媒;播霸;

5:
黑名单中的文件有许多是临时文件而非最终文件吧?谁有时间作个优化?

[ 本帖最后由 wang6071 于 2006-9-2 12:28 AM 编辑 ]

wang6071

红叶兄:
  你说的:有★为普通模式下可能无法替换的项目，必须以System权限执行
  ★exe关联1
  HKEY_CLASSES_ROOT\.exe
  这些似乎用regedit可以导入的,难道在某些xp系统下不行吗？

longwang ：
　syscheck结束进程和服务程序的确不太好用,不好用在哪里请指出来呀！最好举例说明，应用syscheck中所有手段后有哪些结束不了哪些进程？哪些删除不了哪些服务？
   
syscheck过段时间更新，以实现红叶兄的想法．