[sysshield]系统安全盾

wang6071

to xdg3669:
用这个附件,提示后点击确定,看能否执行下去.
你的系统中有某个注册表保护存在!是杀软还是?服务项部份导不入就是该保护在禁写它的服务项.

to   longwang:
你用win的服务管理试一下,是否有服务的依存关系使其无法操作.(你想操作的是禁用-->启用,还是启用-->禁用?)有时从禁用到启用需要一段时间,请手动刷新一下试.

[ 本帖最后由 wang6071 于 2006-9-7 12:35 AM 编辑 ]

6618

原帖由 wang6071 于 2006-9-7 12:09 AM 发表

ssdt是还原了的,现在上传第4个修改版,这个版本提示出出错在哪个部位.

=============
syscheck(1.0.0.27).rar (2006-9-6 11:44 PM, 381.37 K)对停止的服务操作，没反应

是哪种操作,如果无反应请先测试一下win的看是否也是不行.

我把XPSP2系统的注册表还原到2006年8月5日，我的机子是没装杀毒软件，也没有装防火墙，也没有被HOOK，只有下面一点非MS的服务，可以说是相当纯净的，我试了第四版，重启后和第一版一样，也是蓝屏，去安全模式也是蓝屏，只能选重最后一次正确配置才能顺利重启，但这次生成了如下的文件看下图：
还原禁用的服务内容如下：
sc config "ac97intc" start= DEMAND
sc config "ALCXWDM" start= DEMAND
sc config "FETNDIS" start= DEMAND
sc config "gameenum" start= DEMAND
sc config "Gpc" start= DEMAND
sc config "HidUsb" start= DEMAND
sc config "ialm" start= DEMAND
sc config "Ip6Fw" start= DEMAND
sc config "mssmbios" start= DEMAND
sc config "ms_mpu401" start= DEMAND
sc config "NPF" start= DEMAND
sc config "npkcrypt" start= AUTO
sc config "nv" start= DEMAND
sc config "NwlnkFlt" start= DEMAND
sc config "NwlnkFwd" start= DEMAND
sc config "rdpdr" start= DEMAND
sc config "RTL8023xp" start= DEMAND
sc config "usbprint" start= DEMAND

[ 本帖最后由 6618 于 2006-9-7 12:40 AM 编辑 ]

longwang

那是个驱动级的，windows没法操作，依赖的模块处于运行中，现在想禁用这个没有运行的驱动，操作不了，原来运行状态，我禁用过。

6618

想请教一下wangsea兄，看图：

wang6071

兰屏与禁用硬件服务有关系,6618你试试将上面运行的服务一一禁用,重启,定能发现出问题的是哪个服务.

图中所示的恢复就是恢复ssdt原始值.

to longwang :
    原来你说是禁用没有运行的驱动,偶加了判断对没运行的驱动不做禁用操作.你可以先启用它,再禁用就行了.

[ 本帖最后由 wang6071 于 2006-9-7 12:48 AM 编辑 ]

longwang

重新试了第一版的syscheck1.0.0.27也是一样，我试了一下运行状态禁用，操作正常，但是禁用后开启，没反映，注册表没变化。

6618

想问一下，SYSCHECK是只禁用了非MS的服务是吧？如果是这样，我只需对照这个图用SYSCHECK禁用下面的正在运行的服务（只有6个，只需试6次就能发现问题所在）

wang6071

原帖由 longwang 于 2006-9-7 12:48 AM 发表
重新试了第一版的syscheck1.0.0.27也是一样，我试了一下运行状态禁用，操作正常，但是禁用后开启，没反映，注册表没变化。

禁用后开启,注册表没变化???
start 值由4(禁用)变成3(手动),不管成不成功都应该有啊．点击注册表的上一个节点再点回来刷新一下看．

wang6071

原帖由 6618 于 2006-9-7 12:50 AM 发表
想问一下，SYSCHECK是只禁用了非MS的服务是吧？如果是这样，我只需对照这个图用SYSCHECK禁用下面的正在运行的服务（只有6个，只需试6次就能发现问题所在）

正是如此，只需一一禁用那6个运行中的服务,应可找出是哪个驱动．
sc config "ac97intc" start= DEMAND
sc config "ALCXWDM" start= DEMAND
sc config "FETNDIS" start= DEMAND
sc config "gameenum" start= DEMAND
sc config "Gpc" start= DEMAND
sc config "HidUsb" start= DEMAND
sc config "ialm" start= DEMAND
sc config "Ip6Fw" start= DEMAND
sc config "mssmbios" start= DEMAND
sc config "ms_mpu401" start= DEMAND
sc config "NPF" start= DEMAND
sc config "npkcrypt" start= AUTO
sc config "nv" start= DEMAND
sc config "NwlnkFlt" start= DEMAND
sc config "NwlnkFwd" start= DEMAND
sc config "rdpdr" start= DEMAND
sc config "RTL8023xp" start= DEMAND
sc config "usbprint" start= DEMAND
这个列表中引号括起的服务名就是在你机器上禁用的服务．看那个"npkcrypt"，原来是auto（自动）,说不定就是它．

[ 本帖最后由 wang6071 于 2006-9-7 12:59 AM 编辑 ]

longwang

我的问题是我禁用后，没有重新启动，该模块仍然处于运行状态，syscheck本身好像这时本身并不检测注册表，所以想启用时，并没有对注册表操作。但是处于停止状态的驱动，也是无法重新启用。
其实syscheck，做到现在，应该加上各个启用方式的操作方式。

[ 本帖最后由 longwang 于 2006-9-7 01:03 AM 编辑 ]

wang6071

原帖由 longwang 于 2006-9-7 01:00 AM 发表
我的问题是我禁用后，没有重新启动，该模块仍然处于运行状态，syscheck本身好像这时本身并不检测注册表，所以想启用时，并没有对注册表操作。
其实syscheck，做到现在，应该加上各个启用方式的操作方式。

哎，原来是没听清你的意思．syscheck先检测是否运行中，对运行中的服务不做启用操作，你想要的是改变注册表的值为启用方式．


------------------------
to xdg3669
   用#1563的那个syscheck测一下看是哪个服务写不进去,然后重开syscheck后切到服务页看看该服务的厂商是哪里的.

[ 本帖最后由 wang6071 于 2006-9-7 01:12 AM 编辑 ]

longwang

是这样的，刚才又试了一下，禁用的驱动能够恢复到手动方式，但是对于自动启动的驱动，几乎没有操作意义，因此还是建议加入启动方式的操作。其实其他同类软件，象sreng都具备这样的功能。

wang6071

原帖由 longwang 于 2006-9-7 01:11 AM 发表
是这样的，刚才又试了一下，禁用的驱动能够恢复到手动方式，但是对于自动启动的驱动，几乎没有操作意义，因此还是建议加入启动方式的操作。其实其他同类软件，象sreng都具备这样的功能。

下一版吧,该睡啦 ~~~~~~大家还是休息了吧!

6618

奇了，把所有的非MS的服务都禁用了，禁到声音没有，禁到不能上网了，还是不会蓝屏！我又还原到了2006年8月5日的注册表上的网：

[ 本帖最后由 6618 于 2006-9-7 01:28 AM 编辑 ]

xdg3669

反馈情况再睡。

经测试#1563的附件：

1、全部关闭了程序包括kis6.0,见图1.

2、启动快速净化后弹出：“system\curentcontrolset\services\avp有键值保护”，点ok后可以重启，用正常模式，安全模式均出现蓝屏信息！只有用最后一次正确配置可以启动！

3、卸载卡巴kis6.0以后，（这里启动项只有安全盾，启动的服务见图2,），关闭安全盾，启动快速净化，没有提示，自动重启动，但两种模式均蓝屏！

4、怪了。我把图3的服务卸掉后，启动快速净化，一样情况。

[ 本帖最后由 xdg3669 于 2006-9-7 07:20 AM 编辑 ]

6618

还原注表后非MS的服务是这样的：

6618

原帖由 wang6071 于 2006-9-7 01:14 AM 发表
下一版吧,该睡啦 ~~~~~~大家还是休息了吧!

是哦，该休息了，wangsea兄睡醒后有时间再研究研究。

[ 本帖最后由 6618 于 2006-9-7 01:26 AM 编辑 ]

6618

已发现问题所在，我用的是SATA的硬盘，当磁盘驱动被禁用时，就会蓝屏——和我上传的用手机拍的图片一模一样。看下图：
即："Start"=dword:00000004时，是禁用磁盘驱动，重启机子蓝屏，"Start"=dword:00000000是默认的引导磁盘驱动

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Disk]
""ImagePath""=hex:73,79,73,74,65,6D,33,32,5C,44,52,49,56,45,52,53,\
5C,64,69,73,6B,2E,73,79,73,00
"Start"=dword:00000004——蓝屏

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Disk]
""ImagePath""=hex:73,79,73,74,65,6D,33,32,5C,44,52,49,56,45,52,53,\
5C,64,69,73,6B,2E,73,79,73,00
"Start"=dword:00000000——正常

[ 本帖最后由 6618 于 2006-9-7 02:41 AM 编辑 ]

6618

再次试用syscheck(1.0.0.27)的快速净化功能，重启后同样蓝屏，于是我启动到系统故障恢复控制台（我硬盘上就装有这个），输入如下命令（看下图，联想V707手机拍的照）：
enable disk service_boot_start
重启机子，启动正常。进一步说明了是disk.sys磁盘驱动的启动方式给更改了（改成了禁用？）所引起的蓝屏。

[ 本帖最后由 6618 于 2006-9-7 09:23 PM 编辑 ]

xdg3669

6618版主的测试应该是正确的，应该是syscheck2把必要的windows驱动服务也禁用了，建议不要禁用驱动服务，但可对windows系统服务部分处理。


刚才再次测试蓝屏后用XPE进入，设定目标windows后检查了注册表，和驱动服务支是正常的？

[ 本帖最后由 xdg3669 于 2006-9-7 07:59 AM 编辑 ]

wang6071

原帖由 6618 于 2006-9-7 03:39 AM 发表
再次试用syscheck(1.0.0.27)的快速净化功能，重启后同样蓝屏，于是我启动到系统故障恢复控制台（我硬盘上就装有这个），输入如下命令（看下图，理想V707手机拍的照）：
enable disk service_boot_start
重启机子 ...

应该没改动过disk的方式的,估计还是在那在你的那个输出列表中可找到答案.

用这个来试验,这个版本完成后不重启.(如果出错未完成，但可关闭syscheck也可以如下做试验)

1:试验前导了一份HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2:使用快速净化，当提示完成后重新打开Regedit,再次导出HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
用UE工具比较　start　改变的行有哪些．(我怀疑是有第三方磁盘驱动时微软自动改写disk值)

(测试完后重启前导入最先那个注册表备份可避免兰屏)

---------------
上班了，有空各位测试先．........................

[ 本帖最后由 wang6071 于 2006-9-7 08:07 AM 编辑 ]

chenall

发现安全盾文件监控的一个弱点.
文件监控并不是禁止写入,而且当发现写入时就自动删除.
这样就有一个问题,如果我将写入的这个文件马上锁定,那么就无法删除.也就是没有作用了?

xdg3669

从#1582楼情况，disk驱动应该没更改。是不是在其他地方也更改了其他服务？

比如在

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\]

正在上班，回家测试，辛苦了wang6071！

[ 本帖最后由 xdg3669 于 2006-9-7 09:59 AM 编辑 ]

wang6071

原帖由 chenall 于 2006-9-7 09:11 AM 发表
发现安全盾文件监控的一个弱点.
文件监控并不是禁止写入,而且当发现写入时就自动删除.
这样就有一个问题,如果我将写入的这个文件马上锁定,那么就无法删除.也就是没有作用了?

你试试写入后锁定(到木马生路径下亲眼看一下文件还在不在)看有没有效!
重启后看你的木马还能不能生效.

to xdg3669:
　　  我怀疑的是优先级问题，若第三方驱动存在则以第三方引导，如果不存在才以disk引号．强设disk后才屏蔽了第三方驱动．
   
to 6618:
    还原未使用快速净化前的状态，看一下修改前的那几个服务的start值，有没有原值是0或1的．
　　

[ 本帖最后由 wang6071 于 2006-9-7 12:34 PM 编辑 ]

xdg3669

用#1583楼的附件测试：


启动快速净化后在自动关闭explorer.exe进程的时候，听到一声警告声，syscheck就消失了，没有重启。我把导出的注册表传上来，大家分析一下！

wang6071

原帖由 xdg3669 于 2006-9-7 01:10 PM 发表
用#1583楼的附件测试：


启动快速净化后在自动关闭explorer.exe进程的时候，听到一声警告声，syscheck就消失了，没有重启。我把导出的注册表传上来，大家分析一下！

你的机器上装有卡巴等软件拦载了注册表的操作，这样中途退出syscheck，导出的注册表无用．因为这样重启根本导致不了蓝屏．要syscheck操作了服务项后导出的注册表文件比较才有用．

也就是，必须要执行到生成：还原禁用的服务.bat　这个文件后才有比较价值，否则根本导致不了蓝屏

用这楼的附件再做测试(已屏蔽对无法更改服务的出错提示)还是请导出对比文件.
执行完成后,请暂时不用导出的服务恢复原值,先直接重启试试.
如重启蓝屏请上传对比文件,如果没有蓝屏可能就是我怀疑的那个原因了.

[ 本帖最后由 wang6071 于 2006-9-7 02:19 PM 编辑 ]

emca

嗯，为加强在安装杀毒的系统上的兼容性，可以在处理前先给个提示，建议用户尽量关闭任何杀毒软件或其他后台程序？提示若干秒后自动进入下一步执行（防止系统响应极慢时无法再点击确认）？

zrfdcs

可能是加壳的缘故，系统安全盾0905被F-prot误认为病毒。0828版正常。

[ 本帖最后由 zrfdcs 于 2006-9-7 05:30 PM 编辑 ]

xdg3669

原帖由 wang6071 于 2006-9-7 01:57 PM 发表


你的机器上装有卡巴等软件拦载了注册表的操作，这样中途退出syscheck，导出的注册表无用．因为这样重启根本导致不了蓝屏．要syscheck操作了服务项后导出的注册表文件比较才有用．

也就是，必须要执行到生成 ...

测试时所有监视软件都已停止！卡巴软件我已卸载测试的.但在装有卡巴时确实也曾经蓝屏！

[ 本帖最后由 xdg3669 于 2006-9-7 06:05 PM 编辑 ]

紫狐

我估计也是SATA的驱动引起的，今天使用快速净化后也是出现蓝屏，也是使用SATA硬盘，使用Intel芯片组，不用安装SATA驱动的。