[sysshield]系统安全盾

emca

快速清理功能测试报告：

1、执行后大量系统本身的服务被停止，但加载方式保持了“自动”。这些被关闭的系统服务如下：
Automatic Updates
Background Intelligent Transfer Service
Cryptographic Services
DHCP Client
Distributed Link Tracking Client
DNS Client
Error Reporting Service
Secondary Logon
System Restore Service
Themes
Universal Plug and Play Device Host
Windows Audio
Windows Firewall/Internet Connection Sharing (ICS)
Windows Time
Wireless Zero Configuration
我想，系统服务最好分成两大类，一是系统正常启动时的必需服务，这些因为病毒不敢随便替换，因此这类服务可采取不处理的方式，让它自动启动；二是可优化掉的系统服务，因为可能被病毒替换掉，因此可以改成手动？这里我们不考虑系统服务的优化问题。

2、我系统中一个外加的 mysql 服务在执行后被关闭掉了，但启动方式仍然是“自动”。与此同时，其他几个第三方服务也仍然没有被设置成禁用状态，但全部关闭成功。在MSconfig中查看服务，仍然是被选中状态。因此对第三方服务的处理方式是不是有问题？按我们的想法应当是“禁用”的。至于是否设置为“手动”，我看是不能的，因为手动模式下仍然可能轻易启动起来，只有禁用才比较保险。另外，既然手动模式下也得人工干预才能启动，不如直接禁用，反正也是干预一次。BTW，执行清除操作前我手工关闭了 Sysshield。

3、为方便Wangsea处理，我把Windows XP安装后默认的服务名称及默认设置状态提供如下：
Windows XP 默认服务状态
Alerter start= DISABLED
ALG start= DEMAND
AppMgmt start= DEMAND
AudioSrv start= AUTO
BITS start= DEMAND
Browser start= AUTO
CiSvc start= DEMAND
ClipSrv start= DISABLED
COMSysApp start= DEMAND
CryptSvc start= AUTO
DcomLaunch start= AUTO
Dhcp start= AUTO
dmadmin start= DEMAND
dmserver start= AUTO
Dnscache start= AUTO
ERSvc start= AUTO
Eventlog start= AUTO
EventSystem start= DEMAND
FastUserSwitchingCompatibility start= DEMAND
helpsvc start= AUTO
HidServ start= DISABLED
HTTPFilter start= DEMAND
ImapiService start= DEMAND
lanmanserver start= AUTO
lanmanworkstation start= AUTO
LmHosts start= AUTO
Messenger start= DISABLED
mnmsrvc start= DEMAND
MSDTC start= DEMAND
MSIServer start= DEMAND
NetDDE start= DISABLED
NetDDEdsdm start= DISABLED
Netlogon start= DEMAND
Netman start= DEMAND
Nla start= DEMAND
NtLmSsp start= DEMAND
NtmsSvc start= DEMAND
PlugPlay start= AUTO
PolicyAgent start= AUTO
ProtectedStorage start= AUTO
RasAuto start= DEMAND
RasMan start= DEMAND
RDSessMgr start= DEMAND
RemoteAccess start= DISABLED
RemoteRegistry start= AUTO
RpcLocator start= DEMAND
RpcSs start= AUTO
RSVP start= DEMAND
SamSs start= AUTO
SCardSvr start= DEMAND
Schedule start= AUTO
seclogon start= AUTO
SENS start= AUTO
SharedAccess start= AUTO
ShellHWDetection start= AUTO
Spooler start= AUTO
srservice start= DISABLED
SSDPSRV start= DEMAND
stisvc start= DEMAND
SwPrv start= DEMAND
SysmonLog start= DEMAND
TapiSrv start= DEMAND
TermService start= DEMAND
Themes start= AUTO
TlntSvr start= DISABLED
TrkWks start= AUTO
UMWdf start= DEMAND
upnphost start= DEMAND
UPS start= DEMAND
VSS start= DEMAND
W32Time start= AUTO
WebClient start= AUTO
winmgmt start= AUTO
WmdmPmSN start= DEMAND
Wmi start= DEMAND
WmiApSrv start= DEMAND
wscsvc start= AUTO
wuauserv start= AUTO
WZCSVC start= AUTO
xmlprov start= DEMAND

emca

其他如 C:\Documents and Settings\ 及子目录 、C:\RECYCLER\  、C:\System Volume Information\、C:\Program Files\Common Files\ 等几个一般系统中都 会存在的目录中的 COM 文件也可以无条件清除掉！

emca

快速清理后建议提供一个重启系统的选择，起码让用户知道快速清除后可能会导致系统部分功能不正常。重启一下对于运行稳定性有好处。比如我清理后声音播放不行了，手工启动音频服务也无效，只能重启。

emca

重启了系统，发现所有自动运行的项目仍然在自动运行。

由此想到，这个功能可以分成两部分：
一是一次性停止所有除系统必须组件外的所有服务和进程，以便于立即得到一个干净的环境来手工查杀病毒；就象我刚刚测试时的那种情况。此时连系统Explorer都重新加载过，主题都卸载了，因此内存非常干净！此时想处理任何病毒文件都方便的很。
二是不但停止它们，而且把非系统默认的设置全部还原成默认设置。这也是我们前面讨论的初衷。

emca

看了前面Wangsea的说明，明白测试版就是提供一个类似安全模式的干净环境。看来初步实现得不错。
现在继续测试：
启动 Winpooch和卡巴斯基的服务，然后净化。
结果：
Winpooch成功结束进程；卡巴斯基的Kavsvc.exe进程无法结束。手工用Syscheck也不能结束。卡巴斯基就是牛啊！如果流氓病毒也这样我们就惨了！！！看来还有一段路好走……

我试图用 Net stop kavsvc 和SC stop kavsvc两个命令结束卡巴斯基的服务进程，但全部失败！但修改启动类型是可行的。
因此对于此类顽固服务和进程，只有更改启动方式为禁用，然后重启了！不过，也许Wangsea有更巧妙的方法实现……

wang6071

原帖由 emca 于 2006-9-2 09:04 PM 发表
看了前面Wangsea的说明，明白测试版就是提供一个类似安全模式的干净环境。看来初步实现得不错。
现在继续测试：
启动 Winpooch和卡巴斯基的服务，然后净化。
结果：
Winpooch成功结束进程；卡巴斯基的Kavsvc. ...

据说修改hiv的方法用驱动也无法阻挡,这个没测试过.不过看来这样净化后再做上面的修改应该能对付绝大多数的木马,插件．
稍后开始做这部份的工作．．．．．．．

xdg3669

卡巴斯基有一个自我保护的功能！如果不取消他，卡巴斯基相关文件都不能替换！

yht

原帖由 emca 于 2006-9-2 09:04 PM 发表
看了前面Wangsea的说明，明白测试版就是提供一个类似安全模式的干净环境。看来初步实现得不错。
现在继续测试：
启动 Winpooch和卡巴斯基的服务，然后净化。
结果：
Winpooch成功结束进程；卡巴斯基的Kavsvc. ...

在卡巴6自保开启的情况下,我的系统中Syscheck2进程管理项的卡巴图标都不能正确显示!而显示的是其它进程的图标......

emca

对于卡巴斯基那种无法直接杀除进程的顽固进程，如果换用停止服务的方法，也不能够轻易处理掉！
因此是不是得出结论：以服务方式启动的程序，如果无法直接结束其进程，也不能停止其对应的服务，则改其服务启动方式为禁用即可？

当然，这样仍然要有一个重启过程才能100%干净。

[ 本帖最后由 emca 于 2006-9-3 10:07 AM 编辑 ]

emca

我吩咐一学生测试快速净化功能，结果点击后蓝屏，提示大体是：
金山的KWatch3.SYS卸载失败，蓝屏显示该驱动的问题。

因此这些杀毒软件可能采取了一定的保护对抗措施的：）
可怜的金山啊

其实并非是 Syscheck 的错，就算用icesword试图卸载VNN网卡驱动，结果也是直接蓝屏 。

看来这个问题得分两个级别解决。这种普遍杀除净化的方式仍然保留，能用则用；不能用则可以选择解除病毒的文件保护功能后进行重新命名等，结合重启使其失效的方法解决。

[ 本帖最后由 emca 于 2006-9-3 10:23 AM 编辑 ]

xdg3669

1.经实机测试，应用快速净化后系统自动启动项目仍然运行，服务项目好像没有改变。起码对于启动的服务来说是这样。

2.syscheck2在安装有卡巴斯基6.0的情况下，即使停止了运行，syscheck2也无法检测到内核。

原来用卡巴kis6.0时点点击内核检测，没有显示任何内容，我没有在意，后来卸裁kis6.0,装了“微点”一检测，有很多内容。现在改回卡巴kis6.0又没有了。

[ 本帖最后由 xdg3669 于 2006-9-3 12:49 PM 编辑 ]

yht

原帖由 xdg3669 于 2006-9-3 12:12 PM 发表
1.经实机测试，应用快速净化后系统自动启动项目仍然运行，服务项目好像没有改变。起码对于启动的服务来说是这样。

2.syscheck2在安装有卡巴斯基6.0的情况下，即使停止了运行，syscheck2也无法检测到内核。

偶的情况与此相同......

wang6071

原帖由 emca 于 2006-9-3 10:21 AM 发表
我吩咐一学生测试快速净化功能，结果点击后蓝屏，提示大体是：
金山的KWatch3.SYS卸载失败，蓝屏显示该驱动的问题。

因此这些杀毒软件可能采取了一定的保护对抗措施的：）
可怜的金山啊

其实并非是 Sysch ...

能够兰屏也好,这样可以将保护得很深的驱动钩子给找出来,用光盘启动将该文件改名或删除即可清除隐藏得很深的RootKit

实际操作前退出杀软是需要的,1.24 版做为测试可以不退出杀软测试,可以检验一下构建安全环境的性能.
另外,大家在使用了本方式后可以查看一下各进程模块,看一下是否还存在全局dll钩子.
使用了<快速净化>后，各杀软的监控还是否有效？

to xdg3669 :
  1.24仅是构建环境,未做任何恢复操作.这个环境下即使手动清除病毒木马也可以很清松去除,因为把它们的保护给破坏了.
  检测不出卡巴是因为它对此作了保护．过滤了输出的内容．

[ 本帖最后由 wang6071 于 2006-9-3 01:00 PM 编辑 ]

longwang

原帖由 emca 于 2006-9-3 10:05 AM 发表
对于卡巴斯基那种无法直接杀除进程的顽固进程，如果换用停止服务的方法，也不能够轻易处理掉！
因此是不是得出结论：以服务方式启动的程序，如果无法直接结束其进程，也不能停止其对应的服务，则改其服务启动方式 ...

同意红叶的观点，最好净化时禁用第三方服务，可选择重新启动处理，这样删除服务就不是什么难事了。同时服务管理右键功能可以借鉴ICESWORD，比较全面，方便处理，现在很多木马都通过服务形式加载。另外，Windows默认服务建议保留用户设置的状态，最好不要恢复默认状态，对于优化的机子有好处，毕竟现在好多老机器运行XP，弄好系统还要重新优化，麻烦，当然这个也可以做成可选项，让用户决定。

同时再次希望在syscheck“进程管理”－“模块信息”右键添加单纯的模块卸载功能，因为现在的病毒做的越来越像正常模块，单纯的卸载功能只是方便测试而已，有时并不需要删除它。同样完善服务操作功能，也是方便测试而已。

[ 本帖最后由 longwang 于 2006-9-3 02:47 PM 编辑 ]

longwang

提供一个病毒可能利用的键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
已知威金病毒利用了该键值。添加了winlogo 项。

[ 本帖最后由 longwang 于 2006-9-3 04:35 PM 编辑 ]

emca

原帖由 longwang 于 2006-9-3 04:10 PM 发表
提供一个病毒可能利用的键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
已知威金病毒利用了该键值。添加了winlogo 项。

这个建议Wangsea兄弟同时添加到Sysshield的监视和Syscheck的敏感键值检测中：）

Windows的架构越看越臭！！！！！！！！！！！

wang6071

IniFileMapping这个键实际功能是将.ini文件挂在注册表中执行,但挂结格式如何因没有见过实例,所以syscheck没有加入此键的检测.
等把syscheck的快速清理功能完成后将分析该键的工作方式加入检测．(已改变程序结构，只要可检测就可快速修复，这样以后只添加检测部份就行了)

(ps:哪位兄弟有中威金的导一个此键给我．有相关此键的工作方式的也不妨给个链接或贴一处共同参考．)
－－－－－－－－－
当前完成部份是：
1:分析了Msconfig的存贮位置及格式，屏蔽的注册表键可以用msconfig恢复．
2:优化了一下Winsock修复，恢复前导出winsock.
3:将启动组(当前用户及所有用户)启动的程序或快捷方式备份到桌面\syscheck修复前备份中.
4:分析了Win2003及xp的服务，决定以服务名为检测对象，如果是Ms的就不更改启动方式，如果不是Ms的且启动方式为自动及手动的将全部设为禁用．本操作执行前备份一份当前服务表，操作结束生成一个本操作所禁用对象的列表．(当前正在进行中)

xdg3669

目前的安全盾1.28版仍然有丢失规则和改变规则的情况！

yht

在清理预读文件*.pf时,有时安全盾1.28会自动退出进程!似乎是随机性的.......

wang6071

原帖由 xdg3669 于 2006-9-3 10:54 PM 发表
目前的安全盾1.28版仍然有丢失规则和改变规则的情况！

似乎是InnoSetup打包后覆盖才会发现此现象,建议安装完整包前卸载安全盾，全新安装没有此现象．或者采用退出安全盾，手动覆盖规则文件的方法也不会出现此现象．

-------------------
终于完成了<快速清理>的主要功能,没时间测试了,先放出来请有能力者测试.

Syscheck 1.0.0.25

<快速净化>按钮功能的基本实现.(本功能未经正试测试,试用前请备份好自已的系统,建议先在虚拟机中测试,熟悉还原操作后再到实机测试)

1:对于注册表中的启动项,参照Msconfig的工作方式,将其移出启动而不删除,且使用Msconfig可以管理.

2:对于启动组中的快捷方式,移到桌面<Syscheck修复前备份>中

3:对于其它启动值,bho,ie工具栏等在活动文件中检测出的东东全部作删除处理.
对目录右键,盘符右键等不作处理.

4:对可检测的文件关联全部恢复处理,对磁盘关联,Windsock作恢复默认值处理.
(Windsock作恢复前也备份在备份文件夹中)

5:对敏感键值检测出来的全部修复.

6:对服务项中检测出来的第三方服务全部禁用(
完整服务表备份在备份文件夹中,修改了的第三方服务则通过
清理后禁用的服务.txt 给出哪些是修改禁用了的,可以在Win的服务管理器中恢复.
).

7:对host文件清空处理.(也做了一个备份并建了一个host还原.bat)

8:删除各盘根目录下的autorun.inf文件.
  删除系统盘根目录下的*.com文件
  删除program files目录下的所有*.com文件(含子目录)
  删除windows目录下的*.com文件(不含子目录)
  删除windows\system32目录下(不含子目录)*.com与*.exe同名的.com文件.
  *.com文件的原理:
  比如用户在运行中输入msconfig,大多数人不会输入msconfig.exe,所以只有
  在系统环境变量可管理的目录下放入一个msconfig.com,则启动的是    msconfig.com.所以目前暂对以上地方进行了处理.

9:完成后自动重启系统.

[ 本帖最后由 wang6071 于 2006-9-4 01:10 AM 编辑 ]

6618

简单反馈一下我实机测试 syscheck(1.0.0.25)的情况。
我主要是测试快速净化的功能，为了测试除毒效果，我上汉化新世纪下了一个汉化包装上，看也不多看，一路NEXT，重启后我的机子打开IE时就多了三个流氓软件（如下图），这几个东东对新手来说也挺难摆平的，使用快速净化后能KILL掉它们的加载项，使用它们完全失去作用。
使用快速净化后，我的机子的输入法的启动项给KILL掉了，可到C盘下的备份重新导入。快速净化后上了不网，到桌面把“WinSock备份”还原就能上网。其他一切正常。

6618

另，提一个小小的建议，“hosts还原.bat”的批处理这样的（如下图），是否改成这样更方便系统装在其他分区？
copy hosts %windir%\system32\drivers\etc\hosts  /y

[ 本帖最后由 6618 于 2006-9-4 03:04 AM 编辑 ]

wang6071

原帖由 6618 于 2006-9-4 03:02 AM 发表
另，提一个小小的建议，“hosts还原.bat”的批处理这样的（如下图），是否改成这样更方便系统装在其他分区？
copy hosts %windir%\system32\drivers\etc\hosts  /y

hosts还原.bat中的路径是按本机Windows路径生成的,不会错.在偶的机器上生成的是:
copy hosts e:\system32\drivers\etc\hosts /y

xdg3669

我晕！卡巴kis6.0把PE_Patch.PECompact/PecBundle/PECompact压缩的文件当作病毒了！

hosts还原.bat中的路径是按本机Windows路径生成的,不会错.在偶的机器上生成的是:  copy hosts e:\system32\drivers\etc\hosts /y

这样应该比较合理！路径使它自动生成，恢复也是在本机上！不会出错。

[ 本帖最后由 xdg3669 于 2006-9-4 07:45 AM 编辑 ]

emca

为保证真实效果，我在正在使用的真实环境进行了压力试验：
平台：Windows XP，1G内存，1.8移动处理器，128MB独立显卡的 Dell 笔记本

因昨天下午上街时偶然遇到一北电教授笔记本中毒无法开机，因此我这次也把中毒环境按他那台机器进行模拟。好在流氓病毒样本基本都齐全，于是解除一切防护，运行与那台中毒笔记本相同的一批病毒。主要有桌面传媒、DUDU、Mop、Rox等经典流氓。

病毒运行后，网卡拼命工作，大量病毒文件被下载并自动安装。期间弹出自动安装窗口若干。系统基本停止响应。任务管理器被病毒的 Taslmgr.com 仿冒而无法运行（执行的是病毒文件）。因运行的病毒较多，就没有具体研究到底哪个病毒做了什么，但那些病毒通常是打包下载的，破坏性操作它们都有份。试图抓图记录，系统停止响应而无法实现；好不容易运行了 Syscheck，停止响应；只好静候病毒执行、下载、安装。大约十几分钟后，系统极慢但仍然可用，在一个鼠标能够动的空档，抢着按下了 “快速净化” 的按钮。此时Syscheck随时显示停止响应。系统类似死机。耐心等候若干分钟，最终看到毫无起色，只得强行关电源。

重新到安全模式查看。结果令人吃惊：
虽然Syscheck在如此恶劣的环境下执行了一次净化操作，但进入安全模式后检查（不敢直接进入标准模式，因为如果病毒存在则系统仍然无法操作），所有病毒的自动加载项目全部被干掉了！！但检查系统服务，基本没有变化。估计是中毒情况下，Syscheck 的净化命令虽然得到执行，但因病毒干扰而运行缓慢，并在中途被我强行关机，从而未执行完毕？

问题（测试时修复过程不完整，仅供参考）：
1、执行上述恢复后，无法上网。修复Winsock后重启可以上网了。——Winsock的处理上是否忘记恢复默认？
2、重启后，部分系统服务虽然是“自动”，但却没有能够启动成功。再次重启后却恢复了：）——请其他兄弟也在稍宽松的环境下继续测试！
3、系统严重中毒时，系统可用性极差，因此考虑到，Syscheck 在一启动后，能否立即把自己的进程优先级适当提高？我记得磨刀老头那兄弟做的进程管理工具就采取了这种做法，当时我与他交流时，我建议他在杀除进程前，先对目标进程降低优先级处理，然后再杀，成功率可能提高。以提高程序在恶劣情况下自身的响应灵敏度。
4、因净化时已经自动清除了一些可能的病毒文件，因此重启后系统中.com的仿冒文件似乎没有发现。但其他仍然有残留。重启后，有关重要目录（其他病毒安装目录不计）发现的残留病毒文件如下：
Windows：expl0rer.exe  mmvem.exe  msspr.exe  rmvpeye.exe
System32：rundll64.exe  msplus2.dll  hber.ini  
Program Files： 8888_12.exe  winmon.exe
上述虽然残留数量有限，但我们并不是要采取枚举的方式确认病毒。而是说，对特定目录下的可能病毒文件类型的清除功能仍然可以适当加强。有以下看法：

A. Windows目录下，可以采取将除系统本身附带的那几个文件以外的其他 EXE 文件一律改名隔离（当然得在解除病毒的自我文件名保护功能的前提下进行，这已经不是问题，只是不要忘记程序的操作顺序）；Windows目录的 .com .pif .cmd .bat .vbs一律删除。
B.System32 目录下非系统自带的 .com 一律删除；与系统EXE同名但扩展名为 .com 的一律删除；其他所有 .pif .cmd .bat .vbs一律删除； 将 System32 目录下只读、隐藏属性、属性无厂商标识（或非微软的？）、且与系统文件日期、时间都不相同的文件一律改名隔离（有误杀可能，但结合属性日期时间判断后，基本不会误杀了，而且只是改名隔离，还是极其安全的。正常程序是不会同时满足这些条件的）。既然净化就净化彻底一点。
C. Program Files 目录下的 .exe 一律改名隔离（极个别菜鸟用户可能把程序直接安装在这个目录而不创建子目录的，但这只是特例，而且是改名而非删除）；.com  .pif .cmd .bat .vbs 则无条件删除。
通过上述逻辑规则，99%的情况下是不会对正常的系统和应用程序产生不良影响的，即使万一有影响也容易修复（改名即可）。因此，采取逻辑处理的方式关键一根据不同位置，分别采取改名隔离和删除两种手段。当然，删除操作可利用一下回收站。

从本次测试结果可以证明，快速净化功能威力还是巨大的！本次中毒后，好不容易打开任务管理器，在机器1280X800的分辨率下，所有进程就占据约两屏幕！！中毒如此严重的类似情况，我在半年内也就遇到几次（病毒进程和病毒文件在30个以上）。而Syscheck能够一击致命，重启后一切风平浪静，确实有趣！！唯独就是自己的几个自动运行项目没有了，但这与中毒后的杀毒的麻烦相比，根本不算是问题！

6618

原帖由 wang6071 于 2006-9-4 07:30 AM 发表


hosts还原.bat中的路径是按本机Windows路径生成的,不会错.在偶的机器上生成的是:
copy hosts e:\system32\drivers\etc\hosts /y

原来如此，还是wang兄想得周到。

6618

原帖由 emca 于 2006-9-4 09:21 AM 发表
为问题（测试时修复过程不完整，仅供参考）：
1、执行上述恢复后，无法上网。修复Winsock后重启可以上网了。——Winsock的处理上是否忘记恢复默认.

我试了也是这样，前面的帖子已说。

wang6071

修复Winsock后不能浏览网页是因为偶测试时恢复win2003下的Winsock时发现winsock2恢复失败,于是换用了win2003下导出的winsock2.在win2003下测试正常就未细测了.
今天在winxp下测试,却发现恢复失败,原因可能是Ms的那个函数在检测版本.(红叶兄上次说某些机器上用reg.exe恢复失败,估计是调用同一个函数,也就是说这个方法可能在不同系统间恢复可能会失败)

所以,现在换为调用regedit来恢复,经测试正常.(时间太紧,当前暂停用regedit来恢复,以后将用代码自已来导入.reg文件.)

现在将改变了winsock导放入方式的syschek1.0.0.26附上:

[ 本帖最后由 wang6071 于 2006-9-4 06:37 PM 编辑 ]

6618

再做小白鼠，XPSP2系统，快速净化后，能上网，杀毒于无形，功能越来越强，
多谢WANGSEA兄！

longwang

今天测试了1.0.0.25，和红叶的情况相似，完成清除后服务的状态好像没多大变化。试了下，我的瑞星防火墙服务程序还是原样。重新启动后正常加载。