[sysshield]系统安全盾

紫狐

再提一个建议，关于反黑辅助的驱动清理方面，近几天在多台机器测试后发现一些驱动被禁用后手工恢复的或多或少会有部分加载不成功，在一台机器是鼠标被禁用，手工恢复后重启，启动后设备管理区鼠标状态显示正常，但是鼠标依然无法使用，最后只有删除鼠标驱动后重启，让机器重新识别才能启动，而在鼠标不能使用期间，用TAB切换各按钮能够切换，但是无法切换各个页面，就是无法切换到服务、进程这些页面，希望给加上热键；其他机器部分驱动也会有恢复后不正常的情况，不知道能不能在驱动清理方面添加个信任列表，在净化前可以自己添加非微软的驱动进信任列表，在快速净化的时候就不处理这些驱动，这样会更方便些。

longwang

syscheck加入信任列表的话，最好也支持环境变量，这样也可以通用，以后处理故障快多了。

happyday2

再提一个建议，希望能实现（仅供参考）：
　　增加一个选项（模式），为清除模式。在此模式下，可以对非系统，且未经用户同意的进程（红色进程）自动杀除且删除相应文件，删除时可给出提示：关闭进程、关闭进程且删除文件、转为我信任的进程。如果服务也能如此的话更好。可在安全盾每次运行时进行这项工作。
　　当然，如能实现执行控制的话（还没执行就把它干掉），比这个方案还要好。
　　如此，既能防，又能治，主要在防，但又能堵塞安装程序（需要关闭安全盾）可能带进病毒的漏洞，可就真正固若金汤了。
　　哇，如此，那些杀软不就真的要下课了吗？
　　想想就兴奋。
　　...
　　唉，不知能否实现，期待中。

xdg3669

　哇，如此，那些杀软不就真的要下课了吗？  

　　想想就兴奋。  　　...  　　

唉，不知能否实现，期待中。

哈哈。。。。。除非在电脑出现之前？？？？！！！！

[ 本帖最后由 xdg3669 于 2006-9-12 06:02 PM 编辑 ]

wang6071

安全盾1.32修正版，解决上个版本的循环处理上的一个小故障

测试可以用rar打包可执行文件，内含可导入注册表的批处理等往系统目录中的某个子目录下释放．．．．．．

[ 本帖最后由 wang6071 于 2006-9-12 06:12 PM 编辑 ]

freesoft00

试一下将“显示所有文件”打开，及“隐藏受保护的操作系统文件”去除，看磁盘根目录下是否有“autoexec.*”的文件存在，如有，删除即可（可能需重启或注销一下）。

------------------------------------------------------------------


我的不是这个问题。
前一段时间朋友的机器 由u盘中毒，后用ghost盘钩回系统。他又双击了其 它盘符
。问题就来了。
c 盘可以双击打开，其他盘都不能。双击 后弹出打开方式，而且 始终用此程序打开 处于禁选状态。
只能右击打开。其中的病毒残留体我都已删除，但还是无法打开
最后没法，只能在注册表中把drive下的shell下的健都删了。
用文件夹选项的文件类型从新关联打开方式 。
现在能打开了。
  谢谢了

freesoft00

另外，说明，我是先用syscheck 检测了，发现syscheck活动文件 中 没有要修复的项目。   才用上面的方法的。
不过我没用快速净化。一来怕 朋友的机器不能上网了。二来，我发现他的系统中 好像没什么毛病。
不管是进程，还是服务，还是启动项目。   都没毛病。可能只是注册表中的  给改了吧。

happyday2

原帖由 xdg3669 于 2006-9-12 06:00 PM 发表


哈哈。。。。。除非在电脑出现之前？？？？！！！！

　　这句话不太理解。
　　想想也是，既使实现了，也不能代替杀软，毕竟知道哪个进程是有用的，哪个进程是该杀的，不是一般用户能掌握的。既要防止病毒，又不影响系统正常使用，一个字“难”。
　　但我还是希望实现此功能，可以作为一个选项，默认不开启。只要开启了，就可以实现：只有经我允许的程序才可进入我的机器，既使一不留神闯入了，也不能执行，真正做到：一切尽在掌控之中。
　　自从我们单位各科室上了网之后，我就整天奔波于木马、病毒的清除之中，这个不能上网了，那个系统启动不了，等等等等。今天才杀完，明天又感染了，真是野火烧不尽，春风吹又生！只要能控制严密点，哪怕不能装程序，我帮他装，总比天天杀木马好些。
　　再提一下进程及服务的颜色问题，希望老兄一定考虑。千万不要小看这个颜色。
　　今天我才用防黑工具修理了两台机器，全靠这个显眼的红色来分析可疑进程及服务，起到了事半功倍的效果。以前也用过各种类似工具，但都是一摸黑，那么多的进程和服务，看一眼就心烦意乱，更不用说去一一分析了。所以没一个真正用上手的。可就是咱们这个简单的小程序，有了这么一点颜色，嗨，用起来可就不一样，得劲多了。
　　所以，还得请wangsea老兄考虑一下我上边的颜色建议，既使不能实现自动清除，总能更方便地进行手动删除吧。
　　再次感谢wangsea提供如此好的程序，望再接再励。

nssn

感谢分享

longwang

同时希望syscheck的进程和服务中加入文件属性的公司名称等显示，好多可疑的进程都要通过显示文件属性来检查，费事。同时如果加入信任文件的功能的话，希望考虑共享信任文件的问题和实现共享的方式及必要的验证，特别是驱动，经常要花较多的时间来确认。

[ 本帖最后由 longwang 于 2006-9-12 08:34 PM 编辑 ]

wang6071

to 紫狐:
  "在驱动清理方面添加个信任列表",不太现实,除非是自已用,否则就得忙着找硬件驱动名,永

远没完没了。净化重启后“鼠标依然无法使用”,估计鼠标是Usb的，需要还原驱动并重启才会

生效。
  避免这种现象其实方法很简单，就是在净化后不要立即重启，而是手动编辑bat文件，将本

机硬件驱动立即还原，其它可先注释掉。完成后马上执行驱动的还原，然后才重启。

  
to freesoft00:  
  净化功能也只是将检测到可手动恢复的自动化执行，没检测到的净化功能也无法恢复。
  从你遇到的情况来看，可能是注册表键的不完整造成的，而非是关联被修改。

to happyday2:  
  syscheck是一个维护工具,方便于对系统一定了解的人员使用,自定义颜色功能基本上用不上

。每个用户安装程序目录并不尽相同，程序也相差万别，你定义的色彩到另一个用户身上并不

一定就合适。
  至于维护单位上的多台机器，我认为简单清松的方法还是用EruNT在正常时备份注册表，并

将还原快捷方式放到快速启动栏，教会各机操作人员出问题点击还原即可。病毒木马清不清没

多大关系，最主要的是立即就能用。
   "只有经我允许的程序才可进入我的机器"这个功能用全局HOOK可以实现，但用处不大，因为这样限制了使用的程序数量，且使用范围有限，使得大量的工具不能使用(安装的和绿色的都不能使用)，会很麻烦的,你不会想一天到晚找你去个XXX装个QQ,XXX装个播放器,给XXX装个pdf阅读器吧?如果想这样还不如用那个PowerShadow影子系统，还没那么多限制。

----------------
另外，有许多朋友觉得该加入Autorun.inf的检测，我觉得没多大必要。因为如果觉得出了这样的症状，无论是用syscheck的内置资源管理器还是使用syscheck中的搜索功能，都能轻易清除这些文件。

to longwang :
  进程和服务中加入文件属性的公司名称等显示会让显示速度太慢，且通过右键的属性查看已经实现了，没必要一一列出。
  分疑之所以慢是对工具的熟悉度不够。分析应基于:
  1:分启动项位置,结合进程管理清除相关已启动的进程。
  2:服务项先检查内核HOOK，没有则点击服务项按时间排序，只分析最近创建的服务。
  3:要使用文件搜索功能，在搜索中钩选 "创建时间大于"选项 等，分析最近生成的可执行语文件。(提示：搜索过程中不必等待完成，可切换到其它页面操作)
  4:遇到删除不了的.exe结束其进程，遇到删除不了的dll,使用模块显示中的卸载模块并删除相关文件功能。

xdg3669

用        #1687楼的附件测试的在windows文件夹及其子目录生成新的文件均能弹出提示并能正常删除！但在Program Files下没有什么提示！（用自解压文件，里面包含有执行文件，但没有往注册表写注册信息。就像复制文件一样！）

[ 本帖最后由 xdg3669 于 2006-9-12 09:17 PM 编辑 ]

longwang

to wang6071：
我基本也是按照这个顺序操作的，很多情况下，有问题的模块，根本就没有版本信息，当然个别情况下，也有没有版本信息的正常文件。像这种没有版本信息的模块，能不能给个快速鉴别的方式。

[ 本帖最后由 longwang 于 2006-9-12 09:12 PM 编辑 ]

wang6071

原帖由 xdg3669 于 2006-9-12 09:02 PM 发表
用        #1687楼的附件测试的在windows文件夹及其子目录生成新的文件均能弹出提示并能正常删除！但在Program Files下没有什么提示！

当然,除非这些文件写注册表启动项或释放到系统目录才会有提示.
想一下,有木马插件不写注册表启动项启动的吗?
(注意：IE，服务，winsock我们一直都在禁止写入中，除了这个地方，它能在哪个地方启动?)

wang6071

原帖由 longwang 于 2006-9-12 09:10 PM 发表
to wang6071：
我基本也是按照这个顺序操作的，很多情况下，有问题的模块，根本就没有版本信息，当然个别情况下，也有没有版本信息的文件。像这种没有版本信息的模块，能不能给个快速鉴别的方式。

从创建时间上是一个较好的方案．
没有版权信息，如果在系统重要目录，不妨备份后删除看一下．
对启动项可以定位注册表，导出保存后删除．
手工清理是一个费时而细致的工作，有时所花时间比GHost重做要长得多，但好处是可保留用户配置．应该没有捷径可走．

emca

Wangsea 兄弟是否愿意与一些正规安全公司进行某些程度的合作？

gdlgh

原帖由 emca 于 2006-9-12 10:19 PM 发表
Wangsea 兄弟是否愿意与一些正规安全公司进行某些程度的合作？

支持红叶兄的建议！！！这样有利于安全盾、反黑工具的长远、持续发展，但也担心被安全公司过分商业化操作！！！

wang6071

原帖由 emca 于 2006-9-12 10:19 PM 发表
Wangsea 兄弟是否愿意与一些正规安全公司进行某些程度的合作？

当然可以啦,这有利有个人水平的提高,了解更多的安全知识,有利于做出更好的作品.

emca

Wangsea 兄弟，首先佩服你的人品！
昨天遇到一个安全公司的老总，我谈到安全盾系列的发展历程，老总首先也是佩服！
希望让我问一下兄弟是否愿意开展有限的合作？比如先以一定相对较保守的方式合作一个时间，然后Wangsea放心后再开展深入合作？不过先声明，不会有流氓性质的利用，在商业化合作上也是非常谨慎的，不会给兄弟带来负面影响，但我想有更强大一些的具体支持，既能够保证这些花费兄弟无数心血和众多网友无限期待的好工具的发展，也对兄弟个人的发展多少有些帮助。

wang6071

原帖由 emca 于 2006-9-12 11:29 PM 发表
Wangsea 兄弟，首先佩服你的人品！
昨天遇到一个安全公司的老总，我谈到安全盾系列的发展历程，老总首先也是佩服！
希望让我问一下兄弟是否愿意开展有限的合作？比如先以一定相对较保守的方式合作一个时间，然后 ...

红叶兄都保证的事偶还有什么不能放心的呢?关于这方面红叶兄经验较多,就请费心周旋啦 ,细节可发邮件到偶的邮箱.

emca

行！明天我抽空写个邮件。谢谢Wangsea！

uime

与公司合作？这个软件也算到了尽头了

xdg3669

支持和理解Wangsea！毕竟是Wangsea的一番心血！也为了软件的更好的发展！但一定是正规的！别再警匪一家！到时候就是又是一巨大损失了！

Phexon

关于sysshield监控的有效性的问题上，我一直在思考一个问题。现在的流氓软件大部分是通过软件捆绑进来的。而在sysshield的监控之下，很多软件都不能正常安装；而在关闭sysshield的监控，或者是仅开启黑名单监视的情况下安装软件，流氓软件又能通过捆绑乘虚而入。

所以了，我就一直在想，怎么才可以做到对于正常软件的安装可以放行，而同时又要阻止捆绑的流氓软件？

分析，在syssheild监控情况下导致正常软件不能安装的情况，都是因为syssheild对于注册表关键项阻止写入。而安装正常软件的时候，仅仅关闭注册表监视，肯定能顺利放行正常软件的安装。于是我想到了以下方法：

1.sysshield的自定义监视，再增加注册表的自定义监视，以3721为例，可以让用户监视[HKLM\software\3721]等类似的项禁止写入
2.syssheild功能菜单里面增加这么一个选项：暂停监视-〉仅开启自定义监视。

这样，假设我的两条功能都添加到syssheild，对于捆绑软件安装的阻止，我就可以这么做，还是以3721为例，我现在自定义监视里面添加对于%Programfiles%\3721目录禁止写入，然后再在自定义监视里面添加[HKLM\software\3721]的禁止（当然了，关于规则问题是需要大家共同完善的，3721也不一定仅仅建立这么一个文件夹和这么仅仅一个注册表项，我仅仅是作为例子来讲的）。假设某个软件捆绑了3721，在安装的过程中，我就选择仅仅开启自定义监视，然后软件就顺利安装而不被阻止，而捆绑的3721却能被阻止。

当然了，我的设想是在大家共同完善规则的情况下才有效的，有红叶emca大虾在，规则方面肯定不会成为问题的

sunkist

支持wang和安全公司合作。
从软件一开始到现在，安全盾我一直在用，并完全删了杀毒软件。
到目前为止也是的。电脑还没有出现过什么问题。

紫狐

原帖由 wang6071 于 2006-9-12 08:51 PM 发表
to 紫狐:
  "在驱动清理方面添加个信任列表",不太现实,除非是自已用,否则就得忙着找硬件驱动名,永

远没完没了。净化重启后“鼠标依然无法使用”,估计鼠标是Usb的，需要还原驱动并重启才会

生效。 ...

呵呵，可能是我说得不够清楚，wang6071误解我的意思了，我的所说的信任列表不是指通用的信任列表，是指对当前机器的驱动添加临时的信任列表，也就是说我在这台机器上查看后，可以把一些我知道的，是属于本机系统的驱动加入信任列表，这样，在快速净化的时候就不对这些驱动进行处理，至于这个信任列表可以当次有效，也可以保留在本机，这样在清理的时候就比较方便。

紫狐

另外，再顺便说说   Phexon 所提的问题，安全盾是否能够象winpooch那样增加一个虚拟接受的功能呢？Phexon所说的问题确实是现实，经常会造成软件安装失败，如果添加虚拟接受的功能，在软件安装的时候其释放的流氓软件禁止写入硬盘，但是返回给该软件的信息却是已经写入，这样该软件的安装就可以继续了，只是不知道难度大不。

[ 本帖最后由 紫狐 于 2006-9-13 02:51 PM 编辑 ]

wang6071

为什么不试试1.32版的安全盾下安装正常与非正常程序呢?

新版已经取消了暂停监视-->仅使用黑名单 方式,取而代之的是暂停监视-->不信任程序安装
(使用说明看安装目录下的更新说明)

(完整版的安全盾1.32版在偶的空间:http://wangsea.ys168.com)

以前失败并不等于1.32版也会失败的呀！添加规则目录规则，文件名规则只能起一时之效，对插件类效果好一点，但解决不了捆绑木马变种的问题．

在新的不信任模式下,正常程序大部份都可以一次安装成功(因为它们不会释放可疑文件到系统目录,不会有非法的注册表启动项).

而带有插件，木马捆绑的程序就是全部同意，也或多或少注册表阻止.同时,只要在安装过程完结之前选择了一次终止安装,则会删除本次安装过程中所建的所有文件．(是所有的,不管它同时释放文件到windows目录+program目录+磁盘的另一些目录都全部找出来删除.)
如果终止安装后不恢复到正常模式,即便手动复制文件到某个文件夹下,也同样会被删除.

[ 本帖最后由 wang6071 于 2006-9-13 01:10 PM 编辑 ]

happyday2

原帖由 wang6071 于 2006-9-12 08:51 PM 发表
...
to happyday2:  
  syscheck是一个维护工具,方便于对系统一定了解的人员使用,自定义颜色功能基本上用不上

。每个用户安装程序目录并不尽相同，程序也相差万别，你定义的色彩到另一个用户身上并不

一定就合适。
...

可能是我说的不太清楚，我的意思是这样的：

　　反黑工具中的进程显示目前分了两种颜色，系统自带的为黑色，非系统自带的为红色。那我在分析进程的时候就可以忽略那些黑色进程，而只看那些红色进程，这样可以省很多事。（这也是这个工具的一个好的特点）

　　但问题是，那些黑色进程也可能包括了一些红色模块，而这也正是好多木马寄存的方式之一，所以，每次我查看进程，依然不能忽略那些黑色进程，还得一一点击，拖动滑块（因为一个进程的模块很多，一屏显示不下），相当麻烦，没有将进程的颜色设置的优势发挥完全。所以，我想能够将这两种作个区分，不包含红色模块的系统进程依然保持黑色，而包含有红色模块的系统进程以另外一种颜色表示，这样，我就能够在每次查看进程的时候，完全忽略黑色进程，只注意其他进程。这样就会省下很多时间和精力，尤其是对喜欢常常查看一下进程的人。

　　至于自定义颜色，也是基于这个考虑，就是能够将自己确认的非系统进程给予区别，将红色留给那些完全陌生的进程，这样只要打开进程项目，一眼就能看出可疑情况，岂不妙哉。

　　因为程序已经有了颜色区别的基础，这个功能的实现只是在这个基础上稍作变化，应该比较简单，而实用性应该是很大的。

　　当然，这只是我的一管之见，如果老兄认为还是没有必要，或者实现有困难，那也无所谓。毕竟这只是一个小小的功能，我还是非常支持这款软件的发展。

happyday2

　　上午处理了一台微机（清除木马、病毒），完毕后，发现网络的灯隔一会儿就亮几下，感觉好像有程序在访问网络，可查病毒、木马软件也查不出来，看进程也看不出来。

　　请大伙推荐一款能监测哪个进程在访问网络的软件。

　　另外，请WANGSEA兄也考虑一下，反黑工具能否也实现动态监测进程访问网络情况的功能，以便更好地找出木马。