[sysshield]系统安全盾

紫狐

今天又想到一个问题，再次提出来供参考，也是关于驱动方面的，木马加载于驱动模式的，大部分都是在在XP的设备管理区中的“非即插即用驱动程序”，如果能够获取这个列表进行清理，列表外的不进行清理，那么系统正常的驱动就基本不会受影响，这样反黑辅助工具的兼容性也会更好，不知道这个想法可行不。当然，还是希望能够加入热键和选择驱动加入临时的信任列表的功能，呵呵～～

wang6071

原帖由 happyday2 于 2006-9-13 12:25 PM 发表

可能是我说的不太清楚，我的意思是这样的：

　　反黑工具中的进程显示目前分了两种颜色，系统自带的为黑色，非系统自带的为红色。那我在分析进程的时候就可以忽略那些黑色进程，而只看那些红色进程，这样可以 ...

分色必须在对每个进程作模块检测,每次刷新重作判断,严重影响显示效果,下面的附件是分色了的,效率比原来的低了些．．．．

监测网络连接以前syscheck做过，感觉效果不是很好，且要分win2000及winxp两种版本的模块，增大体积，效果还不如用金山网镖.

木马加载于驱动模式的，大部分都是在在XP的设备管理区中的“非即插即用驱动程序”
可能不太正确，反而看到许多本机的硬件信息，但如安全盾的驱动确不在其中．．．．

解决问题的根本办法不在于加不加用户列表，难道你处理每台机器前先整理硬件驱动信息吗？太麻烦了．真正的办法还是不要立即启动，编辑"还原禁用的服务.bat",这个批处理中的驱动比列表少得多，加个Rem屏蔽不想还原的驱动，余下的立即还原，然后才重启，这才是最好的兼容方法．(个人使用可以将编辑好的批处理备份，下次使用时直接用这个批处理还原，不就是用户自定义列表吗?)

[ 本帖最后由 wang6071 于 2006-9-13 10:05 PM 编辑 ]

emca

今天连续参加了5个会议，累极、郁闷至极……

emca

沁园春·流氓

深山红叶步韵  EricXP(karlamy)

网上风光，千机毒霸，万千马跑。
望系统内外，流氓莽莽；
杀软装卸，顿失滔滔。
3721，雅虎百度，流氓赤膊试比高。
强奸后，看系统混乱，分外妖娆。

流氓如此霸道，引无数高手竞折腰。
惜诺顿32，略输文采；
江民瑞星，稍逊风骚。
一代天骄，卡巴斯基，欲与流氓再拥抱。
俱往矣，数风流人物，Wangsea 独笑。

ah1283328

运行syscheck(1.0.0.30)版，出现了xx盘没插磁盘，按了n个继续终于出现syscheck画面。是不是我的系统有问题，xp+sp2
明天就拿同事一台中毒很深、速度巨慢的机器试用。感谢wang6071 ！

[ 本帖最后由 ah1283328 于 2006-9-14 12:00 AM 编辑 ]

wang6071

原帖由 ah1283328 于 2006-9-13 11:54 PM 发表
运行syscheck(1.0.0.30)版，出现了xx盘没插磁盘，按了n个继续终于出现syscheck画面。是不是我的系统有问题，xp+sp2
明天就拿同事一台中毒很深、速度巨慢的机器试用。感谢wang6071 ！

这个问题可能是使用内置浏览器控件检测盘符时引起的,上次试图修复出现盘符错误就还原了.有空时再研究一下这个问题.(奇怪的是不是每台机器都出现)

其实不要按继续,按取消或忽略就很快退出这个错误对话框.

sck

我试了，没有出现1717楼的现象。

happyday2

试用了，没问题。效率有点降低，但感觉还行。不过查看分析进程省事多了，相比较物有所值。

感谢wang6071兄的努力。

happyday2

原帖由 wang6071 于 2006-9-13 09:55 PM 发表

分色必须在对每个进程作模块检测,每次刷新重作判断,严重影响显示效果,下面的附件是分色了的,效率比原来的低了些．．．．

　　我说点我的想法，如果说的不对，千万别笑话。

　　原来每个进程模块就已经分色显示，应该每次刷新也会作判断，如果这样的话，设一变量，初始比如为0，有模块为红色时，将变量赋值为1，以此作为进程颜色标志。

　　我不知道wangsea兄是如何判断的，如果也是这样的话，只是在原有判断基础上为一变量赋一下值，应该不会影响效率呀。除非原有分色无需专门判断，但如没有判断，系统如何知道哪个为黑色？哪个为红色呢？

sunkist

原帖由 emca 于 2006-9-13 11:44 PM 发表
沁园春·流氓

深山红叶步韵  EricXP(karlamy)

网上风光，千机毒霸，万千马跑。
望系统内外，流氓莽莽；
杀软装卸，顿失滔滔。
3721，雅虎百度，流氓赤膊试比高。
强奸后，看系统混乱，分外妖娆。

流 ...

哈哈。。
一代诗人深山红叶&Wang;P

小木头

试用了，没问题。效率有点降低，但感觉还行。再次感谢wang6071兄的努力。

紫狐

原帖由 wang6071 于 2006-9-13 09:55 PM 发表


分色必须在对每个进程作模块检测,每次刷新重作判断,严重影响显示效果,下面的附件是分色了的,效率比原来的低了些．．．．

监测网络连接以前syscheck做过，感觉效果不是很好，且要分win2000及winxp两种版本的 ...

选择不要立即启动，编辑"还原禁用的服务.bat"的时候，在部分机器会出现错误后自动重启，在这种情况下根本没有时间对"还原禁用的服务.bat"进行编辑。

longwang

原帖由 ah1283328 于 2006-9-13 11:54 PM 发表
运行syscheck(1.0.0.30)版，出现了xx盘没插磁盘，按了n个继续终于出现syscheck画面。是不是我的系统有问题，xp+sp2
明天就拿同事一台中毒很深、速度巨慢的机器试用。感谢wang6071 ！

从写保护的U盘中运行syscheck，多数机子也会出现写保护提示，需要按三次忽略，有的不会，而办公室的2000server反而不会出现提示。

[ 本帖最后由 longwang 于 2006-9-14 11:16 AM 编辑 ]

xdg3669

原帖由 longwang 于 2006-9-14 11:13 AM 发表

从写保护的U盘中运行syscheck，多数机子也会出现写保护提示，需要按三次忽略，有的不会，而办公室的2000server反而不会出现提示。

在启用快速净化时要看提示！把所有其他杀软、监视关掉！

还有syscheck(1.0.0.30)加颜色后，查看进程效率太低了！特别对于中毒较深的机子，应该会更慢！一般是看前面几个系统进程有没有其他模块就行了，最后一个svchost.exe之后的进程卡喀掉，无非就看几个进程了！这样效率会高很多！

[ 本帖最后由 xdg3669 于 2006-9-14 12:22 PM 编辑 ]

ctsren

试用了syscheck(1.0.0.30)，效率有些降低，但可以接受，加颜色后处理病毒机子确实方便了很多。

非常感谢wang6071兄的软件！

wang6071

进程加色之所以效率低的原因是要检测每个进程的模块文件，而模块文件的数量是很大的．同时，也不能说检测一次做个标志就不检测了，因为模块是可自由装卸变化的．

syscheck(1.0.0.30)为了减少加色对显示的影响，已经将原来的每隔2秒刷新一次进程列表改为了每隔4秒刷新一次，但如果用户机器上的进程较多，影响仍然很严重．

考虑下一版本不改变颜色，而在其后用文字注明，这样可以取得和以前一样的效果，影响要小得多．

关于编辑"还原禁用的服务.bat"的时候，在部分机器会出现错误后自动重启,我想最好的办法是在下一版本中取消对系统服务的禁用．因为哪怕做个自定义列表，有添加自定义列表的时间，也足够在重启前在服务管理页手动禁用，删除木马服务了．

longwang

syscheck添加制定自定义列表还是很有意义的，可以通过右键自动添加到自定义列表和从信任列表中清除，自动添加相关的效验信息，自定义列表启用方式方式为可选，默认不启用，需要应用自定义列表检查才启用，完全不影响效率。自定义列表可分为信任项和不信任项，如木马驱动如果MD5值（仅为假设，可以考虑其它效验方式）相同，完全可以马上鉴别出来。有效的驱动可以下次不需要重新去识别和处理。
这种方式可能不能完全共享(但不信任列表几乎是完全可以共享的），但在自己的活动范围（工作范围）内，没有重复性劳动，还是非常高效的。

进程加色的问题，也可以考虑默认不打开的方式较好，先解决进程问题，最后再检查模块。效率可能高些（其实实际处理过程几乎也是这样的）。

呵呵，再复杂点，自定义列表还可以加点简单描述，就更帅了。如果不考虑共享，可以采用非常简单的效验方式或不效验，以提高执行效率。虽然，执行效率可能受到影响，但总的工作效率能够得到提高。

共享的不信任列表可能太大，效率很低，当然现在最需要的主要是个人使用的驱动级信任列表。

另外可以考虑将信任列表保存在机器中某各位置，只要我处理过的机器，下次将不再对该机器的驱动进行人工鉴别，从默认位置导入就行了。

[ 本帖最后由 longwang 于 2006-9-14 03:42 PM 编辑 ]

happyday2

原帖由 longwang 于 2006-9-14 01:10 PM 发表
进程加色的问题，也可以考虑默认不打开的方式较好，先解决进程问题，最后再检查模块。效率可能高些（其实实际处理过程几乎也是这样的）。
...

　　这也不失为一个好办法，毕竟用颜色来区分还是更显眼、明了些。

　　文字说明也不错。

　　到底哪个更方便，又不失效率，还得有劳wangsea兄多作试验了。

　　再次感谢wangsea兄的辛勤劳动。编程虽然是一件有乐趣的事情，但也是一件极费心费力的事，千万要劳逸结合，注意身体。

紫狐

原帖由 wang6071 于 2006-9-14 12:38 PM 发表
关于编辑"还原禁用的服务.bat"的时候，在部分机器会出现错误后自动重启,我想最好的办法是在下一版本中取消对系统服务的禁用．因为哪怕做个自定义列表，有添加自定义列表的时间，也足够在重启前在服务管理页手动禁用，删除木马服务了．  

取消对系统服务的禁用如果不会对快速净化的功能也是不错的。

另外，上次提的给按钮加上热键的功能也请考虑一下，这样在鼠标不能使用的情况下也能够使用各个功能。

longwang

另外，syscheck可不可以考虑鼠标停留或单击的时候，气泡显示文件属性。

xdg3669

增加提示这种东西，一方面导致增大程序的大小！二方面鼠标动到地方不断检测影响软件运行的效率。三方面鼠标动到的地方总弹出一大堆东西，烦人！！！

[ 本帖最后由 xdg3669 于 2006-9-14 05:12 PM 编辑 ]

xubo1971

这一向安全顿和防反黑辅助的更新好快！感觉和以前的相比明显上了一个台阶。
我个人倾向于支持紫狐版主提出的增加一个“本机信任列表”功能。
我想问一下，安全顿新增加了那么多监控目录，好多目录都是流氓软件的安装目录，应该可以用红叶的“流氓软件免疫工具”禁止写入，在已经用了流氓软件免疫工具的情况下，是否还需要在安全顿下设置这么多监控目录？监控目录多了，看着就令人眼花缭乱。
安全顿对安装软件时的改进很有用，希望在“快速净化”的易用性方面再改进一下。
这里祝wang6071和他的安全顿、防反黑辅助一路走好！

xdg3669

禁止写入是采用：只读＋ntfs权限   但是现在已经有流氓软件已经突破了这个限制！像cnnic!

freesoft00

前面有兄弟建议取消 安全盾 退出时的密码输入。
我觉得也没有必要。
有个提示就可以了。
另外，建议加入密码保护。防止别人随意修改 防护 规则。这样，在公司或公共场合用 安全盾 就不会被别人随意修改规则了。

adminfire

系统安全盾的黑名单的文件最好能象winpooch一样阻止写入，而不是删除！
好象有很多人也在用winpooch
顺便说一下winpooch最大的弱点，winpooch只对本机上的操作者有效，winpooch的所有规则对网络用户来说无效，通过网上邻居能写入所有winpooch的所有阻规则，所以建议大家不要用winpooch！

xdg3669

另外，建议加入密码保护。防止别人随意修改 防护 规则。这样，在公司或公共场合用 安全盾 就不会被别人随意修改规则了。

好是好！但其他人一样可以停止它！

顺便说一下winpooch最大的弱点，winpooch只对本机上的操作者有效，winpooch的所有规则对网络用户来说无效，通过网上邻居能写入所有winpooch的所有阻规则，所以建议大家不要用winpooch！

你所设置规则问题！不能说winpooch不好！通过网上邻居能写入所有winpooch的所有阻规则？？？？

[ 本帖最后由 xdg3669 于 2006-9-14 08:20 PM 编辑 ]

freesoft00

通过网上邻居能写入所有winpooch的所有阻规则？？
没有试验过，如果是的话，那就得注意了。
有条件等兄弟试试看。

adminfire

就算用winpooch的初始规则，winnt是不可以写入.exe的吧，但是进通其他电脑进入装有winpooch电脑的winnt下，能进行.exe写入的，不信的话进局域网测试！所有规则都失效的！

freesoft00

加入密码保护，给别人电脑上装上后，不让他随意更改规则，
少出问题，省得他自己更改后有问题，一直找你

wang6071

syscheck(1.0.0.31)
将有注入第三方模块注入的进程标注颜色为紫色并提高了显示速度.
将快速净化中的禁用第三方服务的功能去除.
将净化注册表启动项备份只保留到"启动备份.reg",原来提供的同时备份到Msconfig可管理的注册表中去除.