[sysshield]系统安全盾

wang6071

密码保护作用也不大,终止进程就可以了.对于安装到托盘组的东西大多数人是不会去动的,有少部人爱乱调易出问题,给这部份人用一键恢复类的东西最好.只有资料失失去多了才会觉得系统稳定的重要.

安全盾的退出码是防止误退用的,有兄弟嫌输入麻烦,但个人觉得安全盾已提供了信任程序安装,完全放开了权限,没必要经常退出它.为什么要经常退呢？安全盾设计的目的就是尽量减少对用户的干挠，不需要经常性的调整操作．

winpooch以前的代码好象没有Hook远线程的,现在的不知道.安全盾要做到在文件写入前阻止,只有两个方案
1是象winpooch做成全局hook,这个方案我不喜欢,因为全局钩子必竞对系统的效率有所影响,win32级的全局钩子对某些木马无效．且如果进程终止的话保护就失败了．
2是搞个如filemon的驱动，这个方案不错，可调试太痛苦了，也没那么多时间．

目前的在文件写入后删除个人认为也没什么不好，只要能删掉，哪种方案不行呢？且还有一个好处，比如你将IE临时文件夹设为禁止写入也不会影响你浏览网页，所浏览过的网页在切换到其它网页后会被删除，适合一些安全性要求的场合使用．

另外，安全盾的文件监视与注册表监视可以说是独立的两个部份．也就是说，结束了安全盾进程而不是安全盾自动退出，则注册表监视除启动项部份无效外，其它监视仍然有效．驱动，winsock修改，IE设置，重要文件关联依然受保护．反之，如果ssdt还原了安全盾的驱动，而安全盾未退出，则文件监视部份仍然有效(这也是不用驱动的好处)

小木头

你将IE临时文件夹设为禁止写入也不会影响你浏览网页，所浏览过的网页在切换到其它网页后会被删除，适合一些安全性要求的场合使用．
其实这种方法也不错。这样浏览网页就不会留下什么网页木马了。安全性高！我就是这样设置的 。哈哈

xdg3669

1. 将快速净化中的禁用第三方服务的功能去除.

复制代码

这会不会影响快速净化　的效果？许多木马都启动服务！如果在快速净化之前不关掉木马的服务，许多注册表、文件能删除吗？

wang6071

原帖由 xdg3669 于 2006-9-14 11:44 PM 发表
将快速净化中的禁用第三方服务的功能去除.

这会不会影响快速净化　的效果？许多木马都启动服务！如果在快速净化之前不关掉木马的服务，许多注册表、文件能删除吗？

注意清理完成后不要立即重启，而应在重启前对服务进行操作．

此时ssdt已还原,守护进程已关掉,全局HOOK钩子已全部去掉,大部份dll,exe都能在正常的Explorer中删除.

某些服务.sys如果还在运行无法删除,可以在服务页关闭一下,如果不行还可以直接删除服务的注册表键,重启后可以删除文件了.如果不放心,可以先删除服务,再加人重启删除列表,此法应有90%以上成功率.

如果以上方法失效(可能性很小了),估计也只能光盘启动删除了.

6618

原帖由 xdg3669 于 2006-9-14 05:10 PM 发表
增加提示这种东西，一方面导致增大程序的大小！二方面鼠标动到地方不断检测影响软件运行的效率。三方面鼠标动到的地方总弹出一大堆东西，烦人！！！

同意，这个工具使用简单明了，有必要搞这些东东把它复杂化吗？

6618

原帖由 xdg3669 于 2006-9-14 11:44 PM 发表
将快速净化中的禁用第三方服务的功能去除.

这会不会影响快速净化　的效果？许多木马都启动服务！如果在快速净化之前不关掉木马的服务，许多注册表、文件能删除吗？

我和xdg3669朋友有同感，建议wangsea兄在1.0.0.29的基础上只添加进程中给注入了DLL为紫色这个功能，而禁用第三方服务这个功能不要去掉。而其他不同的进程不同颜色之类，搞得五颜六色的，看到眼都花了——取实用功能，去花俏的东东。

我目前仍在用1.0.0.29

[ 本帖最后由 6618 于 2006-9-15 07:23 AM 编辑 ]

happyday2

试用了，效率明显提高，看来wangsea兄又花费了不少心思。

好，先赞一个，下边再提建议。

happyday2

原帖由 longwang 于 2006-9-14 04:51 PM 发表
另外，syscheck可不可以考虑鼠标停留或单击的时候，气泡显示文件属性。

气泡显示可能有点影响视觉，但这个功能还是有实用性的。可以考虑在列表中再增加几列显示文件属性（主要是版本信息，经观察，最大化后，屏幕还有显示空间），为防止影响效率，默认不显示，单击某个服务或模块才显示。

[ 本帖最后由 happyday2 于 2006-9-15 08:39 AM 编辑 ]

happyday2

原帖由 longwang 于 2006-9-14 01:10 PM 发表
syscheck添加制定自定义列表还是很有意义的，可以通过右键自动添加到自定义列表和从信任列表中清除，自动添加相关的效验信息，...

　　关于这点wangsea兄一直没回答，是不是正在考虑这个问题？我也比较赞同这个方案。

　　这个自定义列表以文本文件存放于本地磁盘（最好在安全盾安装目录），是否自定义完全由用户决定，完全不影响原有使用。如有自定义，则自定义项在显示中以不同颜色区分（又回到了颜色的问题，不好意思），表示是我所信任的。一来，用户查看进程、服务，可以不再注意已信任部分，提高工作效率，二来，也能为软件进行一些自动化清理工作提供依据，使软件更灵活，更富有人性化。

　　这个自定义列表应该包括模块和服务两个种类，至于进程，则由模块决定，进程的模块都是系统的和信任的，则进程也是信任的，有一个模块是不信任的，则进程就为不信任的（红色的），当然，在添加信任列表时也要能将进程加入，但进程加入时应该是加入其所有红色模块而不是进程本身。

　　这个自定义列表可以被安全盾和反黑工具共同使用，则安全盾的进程显示也能使用不同颜色表示。为防止眼花缭乱，系统的和信任的进程、服务可以用区别不大且不刺眼的颜色来区分，红色仅表示不信任的进程、服务。
　　
　　如能实现以上功能，则有一个更为智能化、人性化的功能可以实现：

　　当你的机器万一被木马或不明软件侵入（尽管安全盾的防范功能已相当不错，但谁也不能保证万无一失），出现了红色进程，安全盾就可以弹出一个提示：你的机器出现可疑进程，请注意查看。这样，就能保证第一时间发现情况，是木马赶紧清除，不是可以加入信任列表。这样，就实现了系统监测的完全自动化，更省事，更放心，更人性化。

　　当然，这个提示也要做成可选的，不喜欢可以关闭。

　　我的主张是：能交给机器做的事情，要全部交给机器去做。

wang6071

自定义列表太复杂了,需浪费很多时间与精力搞这个"可能"有用的东西,sfc,sigverif有用吗?有几个人修复系统时用过?Ms本身的校验功能又用了多少呢?

气泡提示无助于软件功能提高,界面做得再好功能一包草有用吗?软件硬件都要以够用为原则,,太花招的功能还是少些地好.

以上两点没回复是因为我根本没打算去实现它.有这时间还不如多学习,实践点有用的Project.

namejm

　　我觉得用紫色显示有注入的进程仍然不太好，因为紫色和红色的差异并非十分悬殊，放眼望去，红色和紫色一片煞是晃眼，我觉得换成用黄色来显示对比效果可能要好得多。

wang6071

原帖由 namejm 于 2006-9-15 12:29 PM 发表
　　我觉得用紫色显示有注入的进程仍然不太好，因为紫色和红色的差异并非十分悬殊，放眼望去，红色和紫色一片煞是晃眼，我觉得换成用黄色来显示对比效果可能要好得多。

用画图选黄色白底写两个字,你就会觉得为什么不用黄色.

ctsren

原帖由 wang6071 于 2006-9-15 12:20 PM 发表
自定义列表太复杂了,需浪费很多时间与精力搞这个"可能"有用的东西,sfc,sigverif有用吗?有几个人修复系统时用过?Ms本身的校验功能又用了多少呢?

气泡提示无助于软件功能提高,界面做得再好功能一包草有 ...

赞成！软件以实用够用为好，太复杂了反而偏离了本身的特点．

白底黄字不能用，看不清楚！

xdg3669

原帖由 wang6071 于 2006-9-15 12:20 PM 发表
自定义列表太复杂了,需浪费很多时间与精力搞这个"可能"有用的东西,sfc,sigverif有用吗?有几个人修复系统时用过?Ms本身的校验功能又用了多少呢?

气泡提示无助于软件功能提高,界面做得再好功能一包草有 ...

支持wangsea朋友！

我提个建议:

与其取消了禁用服务列表，不如仍然导出禁用服务列表.bat,然后在退出快速净化之前提示用户[/Size]检查禁用服务列表.bat，选择还原部分禁用服务列表.bat，毕竟禁用服务列表.bat无非区区几行，比系统服务列表简单！

快速净化之结束前导致来不及更改禁用服务列表.bat，就自动重启，不一定是禁用服务导致吧？它跟用户不正确操作有很大关系。如没有先停止杀毒软件或者监视工具都有可能！

搞得五颜六色的，看到眼都花了——取实用功能，去花俏的东东。

对！:lol:lol

[ 本帖最后由 xdg3669 于 2006-9-15 02:02 PM 编辑 ]

小木头

赞成！软件以简单实用够用为好，太复杂了反而偏离了本身的特点．

yht

个人感到紫色完全适合!紫色与红色色谱接近!给人以同类之感!(即:非纯净系统进程)又与黑色形成较大反差!同时紫红两色之间在一般人视觉上也是泾渭分明的!
看来wang先生一定是经过缜密考量的呵!!吾等受之其惠!当体谅与善解呵!

emca

大家不用就无关痛痒的问题过多浪费Wangsea兄弟的注意力了。一切以实用为标准！

happyday2

原帖由 wang6071 于 2006-9-15 12:20 PM 发表
以上两点没回复是因为我根本没打算去实现它.有这时间还不如多学习,实践点有用的Project.

看来又想错了。

不过没关系，一个功能的实现得经大家认同才有意义，10个人有8个人认为有用，那才算有用。

再提一个：把安全盾也加上紫色吧。

（不好意思，又是颜色，同意的说一声，如果没人提那就算吧。）

sunkist

原帖由 emca 于 2006-9-15 02:33 PM 发表
大家不用就无关痛痒的问题过多浪费Wangsea兄弟的注意力了。一切以实用为标准！

支持。。
简单方便即可。。

happyday2

报告两个小BUG：
是处理一台中毒较深的机器时发现的：
1、反黑工具在卸载模块、卸载模块并删除文件时，几次失去响应。该文件被几个进程加载，查看任务管理器，CPU占用和内存占用无增高。最后一次是在清除mmsassist这个流氓时出现的，刚杀死其升级的进程，鼠标点至内核检测按钮时，失去响应，这次居然结束不了反黑工具的进程，无论点关闭还是任务管理器结束进程都不管用。CPU占用和内存占用依然正常，其他可顺利打开。杀软开的卡巴。
2、查看进程或服务，当选择模块或打开文件属性窗口后，原选中进程或服务失去选择状态（没了蓝条），以致不知道刚处理的是哪一进程或服务，有点不便，希望改进。

penghy

原帖由 emca 于 2006-9-15 02:33 PM 发表
大家不用就无关痛痒的问题过多浪费Wangsea兄弟的注意力了。一切以实用为标准！

强烈支持！
毕竟是维护工具而不是娱乐软件。

freesoft00

昨天用了emca 的最新winpooch规则。
规则加了好多，但是有点凌乱，恶意软件和目录规则杂在一起。虽然不影响使用，但是看规则不方便。还有，规则中有重复的。
最新的规则删除了原来老规则文件规则最后一条      *      *      拒绝
感觉最后一条挺强大的，不知道emca为何去掉了。这条规则 前面允许的可以写入，未经允许的都不能写入。现在明白了我原来说的windows目录下及其子目录下不能写入任何文件和文件夹的原因了。
虽然没有    win*\*    拒绝     这条规则，但有上面的一条规则。所以不能写入。

如果我想禁止向program files目录下建立文件和文件夹，但不影响到子目录，这条规则如何写。
写成   program files\*  的话子目录也受影响。不知道如何写。

另外，它的网络规则， net :connet 表示本机程序向外的连接。net:listen  表示 外部连接本机的。不知道是不是？就像mcafee的出站 入站 一样。

xdg3669

winpooch规则好像分先后顺序的不能调错！

adminfire

安全盾如何实现在winnt目录下禁止写入任何exe文件？

happyday2

　　反黑工具给我们提供了一把清除流氓病毒的利刃。

　　希望大家谈一下使用反黑工具的心得，以使我们能够更快、更好的清除流氓病毒，更好地发挥反黑工具的作用。

　　接到一台中毒机器，我一般是先用杀毒和木马清除工具在安全模式下扫描一遍，清除掉大部分木马病毒（一般病毒很多，最多一次用木马工具杀掉260多个，手动清除会忙不过来）。然后再启动到正常模式，使用反黑工具分析进程、服务，对漏网分子手动清除。

　　首先是进程，现在用反黑工具进行进程分析太方便了，黑色进程不用管，先点击紫色进程，找到红色模块，利用路径、文件属性分析其性质，一般都是杀毒软件、打印驱动、压缩工具之类的，比较好区分，再不行，网上搜索一下，除此之外的一律卸载并删除，对典型的流氓软件还要删除其所在目录，搜索注册表，将其信息彻底删掉。再检查红色进程，依然是利用路径、文件属性来判断其性质,根据本机安装的软件，一般不难看出谁是流氓。利用反黑工具，我一般都能做到对每一个进程都能心中有数，这是用其他的进程工具难以做到的。

　　下来是活动项目，根据本机安装的软件以及一些经验，去掉无用的。这个相对简单。

　　再就是服务了，服务有点令人头疼，尽管有黑、红颜色之分，能省却一半的事，但其列表太多，红色项目依然繁杂，且路径大多相同，全集中在系统和驱动目录，区分不易，查看文件版权信息需要右键打开，少了还行，多了就烦了，所以对服务这块儿，还是很难做到心中有数，只能马马虎虎。

　　这是我对反黑工具的一些体会，在这里抛砖引玉，希望大家说一说，将反黑工具的作用发挥到最大。

　　对快速净化用得不多，体会不深。

　　另外，对安全盾的目录规则，不知大家是如何设置的，都用的是默认的吗？有没有自定义的？

longwang

原帖由 happyday2 于 2006-9-16 12:32 PM 发表
　　反黑工具给我们提供了一把清除流氓病毒的利刃。

　　希望大家谈一下使用反黑工具的心得，以使我们能够更快、更好的清除流氓病毒，更好地发挥反黑工具的作用。

　　接到一台中毒机器，我一般是先用杀毒和 ...

呵呵，大体过程其实都差不多，特别是中毒比较深的机子，对于驱动级靠日期来判断，帮不了多少忙。

虽然很多人反对，但我坚持认为添加驱动级的信任列表，能够帮很大的忙，特别对公司用户，用户群几乎是固定的，驱动级的信任列表不需要多大，可以不进行校验（服务级可能需要简单效验），只需要对比较生疏的项目进行判断后，随手添加。不浪费时间，不浪费精力。信任列表可以作为提高效率的辅助工具。

另外为了提高效率完全可以点击才进行自定义列表检查，这样可以采用比较准确的效验方式，同时可以使用比较大的列表（这点主要针对不信任列表），从而得到共享。这在同类软件中是绝无仅有的，未必不是一个创举。未必就不适用。

当然不用信任列表的话，可以添加在显示表格中添加文件的公司名称，来提高效率，这个对各种硬件的驱动鉴别还是有效率的。

[ 本帖最后由 longwang 于 2006-9-16 05:13 PM 编辑 ]

longwang

另外发现syscheck未对启动等脚本未进行检测，给木马带来可乘之机。

[ 本帖最后由 longwang 于 2006-9-16 03:03 PM 编辑 ]

wang6071

syscheck(1.0.0.32)
服务页增加<使用过滤列表>,过滤列表页中的服务将在此方式下将不再显示.
第一次选择单击<使用过滤列表>将生成本机所有服务的过滤列表,要解除某些服务的过滤请手动编辑生成的sysFilter.txt文件,格式简单,不再介绍.
以后使用过程中增加单条服务过滤可以使用右键的加入信任列表.

作用：
在安全的机器上导出一份服务(不安全就手动编辑sysfiter.txt)，在其它机器上就可以屏蔽掉这些相同的正常服务了，简化了服务页，方便查看．同时修理的机器越多(单条添加信任服务)，则服务列表会越小，可以迅速定位可疑的服务．


---------------------------------------------------------------------------------------
另外发现syscheck未对启动等脚本未进行检测，给木马带来可乘之机。
是指Autorun.inf吗？这个的特征很明显，修复过程中顺手在内置资源管理器中删除即可，用不着在syscheck启动时检测一次(检测会影响syscheck的启动速度，现在加入了进程查模块显紫色已对启动速度有较大的影响，所以这个简单的检测就不做了．)

[ 本帖最后由 wang6071 于 2006-9-16 09:09 PM 编辑 ]

longwang

主要是开机脚本、登陆脚本和关机脚本、注销脚本，遇到过这样的启动方式，而且很隐蔽，很容易忽略。

wang6071

原帖由 longwang 于 2006-9-16 07:49 PM 发表
主要是开机脚本、登陆脚本和关机脚本、注销脚本，遇到过这样的启动方式，而且很隐蔽，很容易忽略。

加载在何处?如何激发?详细描述一下．