[sysshield]系统安全盾

xdg3669

wangsea ：难为他了，可能只有在组策略里找得到！

emca

开关机脚本：
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
一般系统中无此键值，只有设置过组策略才有。因此可以一律删除此键值！

命令行自动运行：
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
上述位置可以有一个 autorun的键项，默认是空白。如果有内容，则执行CMD时会自动执行键值内容。

另，Syscheck在检测一种病毒时无法显示病毒进程和自动启动项目。病毒名为 Ctfmon.exe、隐藏位置在回收站（由磁盘根目录Autorun.inf激活）、加载位置在C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\，直接把病毒文件而不是快捷方式放到启动组中。因此同时具有两种加载方式。本人是凭经验和直觉，发现回收站文件不能删除后跟踪发现的。

[ 本帖最后由 emca 于 2006-9-16 10:05 PM 编辑 ]

emca

服务信任列表的提示中，最后一句有错：“将不在显示”应当为“将不再显示”

wang6071

原帖由 emca 于 2006-9-16 10:04 PM 发表
开关机脚本：
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
一般系统中无此键值，只有设置过组策略才有。因此可以一律删除此键值！

命令行自动运行：
HKEY_CURRENT_USER\Softwar ...

谢谢红叶兄的资料,开关机脚本：HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts一般系统中无此键值，只有设置过组策略才有。因此可以一律删除此键值,那么就是说做到<敏感键值>页中,给个建议删除就行了.

Autorun.inf激活的  Recycled\Recycled\XXX.exe我见过U盘上的,每次都给杀软Del了.该文件夹是伪造的回收站文件夹,整个删除就没事了.

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\这个加载位置在syscheck的<活动文件>,启动组中应该可以检测到的.(这个检测不光是检测.lnk,也检测加载的exe文件.当前用户,全局用户都要检测的)

由于该病毒由Autorun启动,启动后不一定常驻内存,制造感染后又退出了,所以syscheck的进程检测检测不到,并不是该病毒有何隐藏手段.

以上分析不一定正确,大家以后遇上不妨留心细看一下.

happyday2

发一下自己在安全盾中关于文件监控的规则，请大家看一下，是否有什么漏洞和会影响系统正常运行的地方？

监控目录　　　　　　　　　　　　　　　　　　　　监视子目录　使用免检文件　使用黑名单　使用模糊匹配　使用类型过滤

c:\　　　　　　　　　　　　　　　　　　　　　 　　　　√　　　　　×　　　　　　×　　　　　　　×　　　　　　×

c:\documents and settings\　　　　　　　　　　　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×　
　　
c:\program files\common files\network associates\　　　　×　　　　　√　　　　　　×　　　　　　　×　　　　　　×

c:\program files\network associates\　　　　　　　　　　 ×　　　　　√　　　　　　×　　　　　　　×　　　　　　×

c:\recycler\　　　　　　　　　　　　　　　　　　　　  　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

c:\system volume information\　　　　　　　　　　　　　√　　　　　×　　　　　　√　　　　　　　√　　　　　　√

c:\windows\　　　　　　　　　　　　　　　　　 　　　　√　　　　　√　　　　　　√　　　　　　　√　　　　　　√

c:\windows\temp\　　　　　　　　　　　　　　 　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

d:\　　　　　　　　　　　　　　　　　　　 　 　　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

e:\　　　　　　　　　　　　　　　　　　　　　　 　 　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×


我的机器共C、D、E三个分区，系统装在C盘，c:\program files\network associates\是杀毒软件所在目录。

[ 本帖最后由 happyday2 于 2006-9-16 11:05 PM 编辑 ]

emca

共享一下我机器中的可信服务列表。

happyday2

原帖由 emca 于 2006-9-16 11:02 PM 发表
共享一下我机器中的可信服务列表。

红叶大侠出手好快，先研究一下。

wang6071

c:\program files\  目录无设置,沿用父目录设置:监视子目录
常态下则安装程序无法在该目录安装.另外,如果使用maxthon且已安装在此目录下,则mathon的设置也不能保存.除非再单独定义maxthon免检.

要安装程序就必须切换到暂停监视项目中安装了.

合不合理,可以自行测试一下,看一下删除列表中是否删除了不想删除的文件,如是则调整该目录或父目录设置.

---------------------------
各位大侠可以用红叶兄的列表作基础列表,再添加自已的信任服务(右键单条添加),然后共享上来,则列表会越来越完整,在别的机器上检测时也会越来越准确.

[ 本帖最后由 wang6071 于 2006-9-16 11:14 PM 编辑 ]

happyday2

如果能搜集一个比较全面的可信服务列表的话，那分析服务就简单多了，流氓制造者就要哭鼻子了。

wang6071

在红叶兄的基础上加入了偶的机器(win2003)上的服务(加了数十个)
--------------
添加方法:先切换到<使用过滤列表>,看还有多少项目显示.没有就不用添加了.如果有可以
用右键将你机器上可信服务添加进去,最后打包发上来即可.

提醒一下:各位添加时留意一下,不要将可疑服务添加进去啊!

[ 本帖最后由 wang6071 于 2006-9-16 11:32 PM 编辑 ]

happyday2

原帖由 wang6071 于 2006-9-16 11:08 PM 发表
c:\program files\  目录无设置,沿用父目录设置:监视子目录
常态下则安装程序无法在该目录安装.另外,如果使用maxthon且已安装在此目录下,则mathon的设置也不能保存.除非再单独定义maxthon免检.

要安装程序就必须切换到暂停监视项目中安装了.
...

谢谢wangsea兄指点。

c:\program files\ 如果不监视子目录，那么对流氓软件的安装目录就得一一进行定义，这有点像黑名单的性质，监视总是不够彻底。如果使用了maxthon之类的程序，可以单独定义该目录免检或使用黑名单，这是有限的，不像使用黑名单，那是无限的。
如果要安装程序，我想既使不监视c:\program files\ 目录，也应该在暂停监视项目中安装。因为所安装程序可能会写其他监视的目录，那样就会造成文件丢失。

happyday2

原帖由 wang6071 于 2006-9-16 11:25 PM 发表
在红叶兄的基础上加入了偶的机器(win2003)上的服务(加了数十个)
...

这个工作可得由一位像红叶那样的资深大侠进行把关了，不然要是混进流氓特务，那就惨了。

drop

sea哥哥...源码在那，我学习学习。

wang6071

原帖由 drop 于 2006-9-17 10:38 AM 发表
sea哥哥...源码在那，我学习学习。

呵呵,美好时光一去不复返了.....

wangaihao

呵呵 今天才知道这个软件。用来一下感觉很好。

happyday2

wangsea兄，安全盾的文件检测还存在一个小问题：

　　将某分区设置为监视子目录，其他不设置，从分区内某一文件夹中将其一个子文件夹移动到另一文件夹下，或者删除至回收站时，监视规则不起作用。这就可能存在一个漏洞，假如分区中有一个免检目录，那么就能够先在免检目录下生成文件夹和文件，然后再移动到监视子目录，从而逃过安全盾的检测。虽然这种情况很少，但存在这么一个漏洞，总是有点儿不完美。

　　另外，反黑工具的可信任服务列表仅依靠文件名称来判断有点太简单，当这个列表做得很大时，重名的风险就会大大增加，如果能够再加入一点儿其他的检验信息（不需要太复杂），比如版本信息中的某一项，将会大大降低重名的风险。

wang6071

原帖由 happyday2 于 2006-9-17 01:14 PM 发表
wangsea兄，安全盾的文件检测还存在一个小问题：

　　将某分区设置为监视子目录，其他不设置，从分区内某一文件夹中将其一个子文件夹移动到另一文件夹下，或者删除至回收站时，监视规则不起作用。这就可能存在 ...

    安全盾没有重现你说的故障,可能你设置了没应用.

   反黑工具的可信任服务列表仅依靠文件名称?你看一下生成的文件就知道是不是仅依靠名称了．另外,服务项允许重名吗?

[ 本帖最后由 wang6071 于 2006-9-17 01:29 PM 编辑 ]

happyday2

wangsea兄，是否可以再考虑一下：

　　在服务列表中再加两三列，当单击（选中）某一项服务时，显示其版本信息中的几项（比如名称、公司、版本等），这样就能避免老是需要右键操作的麻烦。不选中的项目不必显示，同一时间只需要显示一项服务的信息，应该不会影响效率。

　　如果比较简单的话，希望考虑一下，如果实现起来比较复杂，那就算了。

happyday2

原帖由 wang6071 于 2006-9-17 01:27 PM 发表

    安全盾没有重现你说的故障,可能你设置了没应用.

　　我的确实如此呀，我复制文件夹或者仅移动文件时，都可以被检测到并正常删除，就是仅当移动文件夹（下有文件）时，该文件夹下的内容不被删除，从另一分区移动文件夹至监视分区时，也能正常删除。

happyday2

原帖由 wang6071 于 2006-9-17 01:27 PM 发表
   反黑工具的可信任服务列表仅依靠文件名称?你看一下生成的文件就知道是不是仅依靠名称了．另外,服务项允许重名吗?

看来我的表达能力确实有问题，我的意思是：

假如列表中有这么一项：

tunmp=%windir%\system32\drivers\tunmp.sys

假如这个服务是某一正当软件所用服务，但我机器没装它，因此这项服务不存在我的机器上，但正好有一木马也用了这个名称，那当我中了这个木马后，我就会把它当成信任的了。

这种情况短期内应该很少出现，但当我们这个信任列表越做越大，使用这个软件的人越来越多时，这种情况就会很多了。还不敢考虑有人故意为之。

wang6071

这两个问题有点是先病毒考虑了.第一个问题该病毒先知道了你有一个安全盾在保护,并且知道了你的安全区设在何处,然后才能这样操作,并且它还得过如何启动这一关.

第二个问题是病毒采取与某硬件同名的服务名,也就是自我限制在某些系统中不安装.秘以首先检测是否有同名的服务.同时检测完没有同名的服务后该病毒还得做到与该硬件服务驱动文件同名,另外,它还得考虑安装的位置也得一模一样.最后,它所做的一切仅仅是因为你可能使用syscheck服务检测中的用过滤列表过滤,且列表中有这么一项．

如果真有这么了解你习惯的病毒，除了你就是病毒的编写者外，还有多少肯下力气在这些方面考虑的呢（过样杀软已经够头疼的了）？如果你是病毒编写者，已经下了这么多功夫，那改改版权，冒充一下Ms又何妨呢，或者直接替换掉微软服务又何妨呢?

创建时间，公司，版本号均可能变化，服务名都可能变化（MS难道不发行sp包了?硬件驱动难道不升级了，杀软驱动难道不升级了?），用 此校验与根本是废掉过滤列表功能．

[ 本帖最后由 wang6071 于 2006-9-17 03:17 PM 编辑 ]

happyday2

原帖由 wang6071 于 2006-9-17 03:15 PM 发表
这两个问题有点是先病毒考虑了.第一个问题该病毒先知道了你有一个安全盾在保护,并且知道了你的安全区设在何处,然后才能这样操作,并且它还得过如何启动这一关.

第二个问题是病毒采取与某硬件同名的服务名,也就是 ...

关于第一个问题，确实是个小问题，一般不会影响使用，只是不明白为何会这样？

第二个问题吗，可能是我考虑的太远了，提供这个功能已相当有用了，以后的事以后再说吧。

再稍带问wangsea兄一个问题：在监视文件时，只是删除新建的文件，为何没考虑将新建文件夹也删除掉呢？

是在实现上有什么问题？还是仅仅觉得没必要呢？

不好意思，又麻烦wangsea兄了。

wang6071

原帖由 happyday2 于 2006-9-17 05:24 PM 发表


关于第一个问题，确实是个小问题，一般不会影响使用，只是不明白为何会这样？

第二个问题吗，可能是我考虑的太远了，提供这个功能已相当有用了，以后的事以后再说吧。

再稍带问wangsea兄一个问题：在监 ...

主要是不好分辨是否是新建,也是为了简化处理,防止误删除.

xdg3669

采取与某硬件同名的服务名,也就是自我限制在某些系统中不安装

试问有哪个黑客、木马如此笨？自我限制自己？也许。。。。

[ 本帖最后由 xdg3669 于 2006-9-17 06:07 PM 编辑 ]

happyday2

原帖由 wang6071 于 2005-7-23 09:38 PM 发表
谢谢大家支持,偶正改进算法,拟采用如下方式处理:
1:方式一：文件黑名单(黑名单是完全匹配)，适用一般用户,此为默认方式．
...
不再做目录删除(删除了恶意文件仅留下它的垃圾目录对系统没有影响),这样可以简化一些算法
...

　　终于找到是为什么了。

　　我之所以关心这个问题，是因为我考虑到它会影响到文件监视规则的设置。

　　比如：对一个文件夹（假如就是Program Files），其下面已存在很多子文件夹，这时，我想达到如下目的，对已有文件夹，我不想做监视，以防影响其运行，但我不允许再有任何新增文件，以防止木马安装。那么我的规则就得这样设置：设置监视子文件夹（如果不设置，只需建一子目录，就可以任意增加文件，而一般安装程序肯定是要建子目录的），其它不做设置，然后其下属文件夹一一设置免检，如果以后增加了新的子文件夹，还要再为其设置免检。

　　但如果能删除新增目录的话，以上规则就可以简化为一条：此文件夹各项全部为×。因为新增文件夹也会被删除，所以既使不设置监视子目录，也不会新增任何文件，又因为没有设置监视子目录，所以已有目录自然免检，并且日后如果需要增加新的目录，也不必再修改规则。

　　这样在设置规则时，就会更加灵活。其他方面，还有待大伙都发表发表意见，以防我的考虑不周。

　　还有一个好处：我想能够补上前边我提的一个小漏洞，即分区内移动文件夹或删除文件夹会失去监视的漏洞。（虽然不大影响使用，但留下一个小尾巴，总是缺憾）

　　当然，还能少许多垃圾目录。（虽然无关痛痒，但干净些总是好的）

　　另外，在说明中什么也不设置的定义为：不允许在文件夹下新增任何文件，但通过新增文件夹却可以新增任何文件，似乎和定义也不太相符，给人以漏洞之嫌。

[ 本帖最后由 happyday2 于 2006-9-17 08:20 PM 编辑 ]

happyday2

原帖由 wang6071 于 2006-9-17 05:46 PM 发表


主要是不好分辨是否是新建,也是为了简化处理,防止误删除.

哦，原来如此，如果会影响程序的稳定性，倒不必再修改了。

happyday2

原帖由 xdg3669 于 2006-9-17 06:04 PM 发表

试问有哪个黑客、木马如此笨？自我限制自己？也许。。。。

当然不会，但你是否考虑过：

　　1、一般的服务名都与文件名同名，也就是说服务名的区别大多情况可以认为是文件名的区别。

　　2、一般的服务文件都存在于system32和其下的drivers下，安装地方做到一模一样太容易了，无意中就能做到。

　　3、也就是说，以上两点其实真正的区别也就仅仅是文件名称。连扩展名都不外是sys、dll和exe,且大多是前两种。以上看看反黑工具中的服务列表就明白了。

　　4、世界上的软件太多了，服务项目也太多了，黑客、木马固然不会自我限制自己，但我想也不会去一一验证，是否重名，仅靠这7、8个字母的排列组合来区别，我想重名的几率还是不小的，当然，目前还很小，因为我们的信任列表还很少，但是，有论坛中这么多兄弟共同收集，这个列表我想很快会变得很大。

　　5、黑客、木马不像正当软件的设计者，要充分考虑不会影响系统的正常运转，人家是只求目的，不择手段的，能运行则运行，不能运行就算，既使破坏你的系统也无所谓，服务重名又何妨。

　　6、黑客、木马不会针对此工具进行专门设置，那是因为此工具用的人还很少，但如果有一天，安全盾、反黑工具普遍了，妨碍了黑客、木马的利益，难道它们就不会反击吗？ (别告诉我不会，我相信只要软件做的好，就一定会普及，到时候，嘿嘿，wangsea兄，你就等着出名吧）

　　所以，服务重名还是很有可能的，当然，这是后话，目前可以不理，但我也绝对不会是杞人忧天。

6618

原帖由 drop 于 2006-9-17 10:38 AM 发表
sea哥哥...源码在那，我学习学习。

像这类杀毒辅助工具，公开源码，无疑就是自杀！

6618

原帖由 happyday2 于 2006-9-17 01:56 PM 发表


看来我的表达能力确实有问题，我的意思是：

假如列表中有这么一项：

tunmp=%windir%\system32\drivers\tunmp.sys

假如这个服务是某一正当软件所用服务，但我机器没装它，因此这项服务不存在我的机器 ...

今天下了 syscheck(1.0.0.33)版，原来过滤列表是用这syscheck上的，重新编辑一下帖子。

[ 本帖最后由 6618 于 2006-9-18 04:05 AM 编辑 ]

紫狐

终于看到wang6071兄弟制作出支持信任列表的版本了，高兴那！就这个功能我再说一下我当初建议增加这个功能的原意吧，我发现部分兄弟在帖子中的讨论和对信任列表的使用和我当时说建议的初衷有少许差异，所以有必要再详细说说。

我觉得这个信任列表虽然可以制作成通用的，即红叶和wang6071 制作的包含部分驱动的列表，但是不推荐使用通用列表；原1.0.28版本在快速净化的时候是把所有非微软驱动都设置为停止，在重新启动后通过编辑bat来重新启动那些正常的驱动，例如显卡、声卡等，但是在使用过程发现在部分机器上面使用bat恢复后部分硬件在设备管理器里面显示的状态是正常的，但是其实该驱动并没有真正正常，例如一台机器的鼠标驱动通过bat调整后已经显示驱动正常，但是鼠标依然无法使用，显卡也显示正常状态，但是只能显示4色，重新安装驱动也无效，而且当时在重新启动后没有鼠标驱动，想在反黑辅助工具再检测的并恢复服务的发现该软件没有设置热键，无法在服务等页面进行切换，因为当时那个单位中毒的机器比较多，所以没有时间仔细查看是什么原因引起该驱动不能正常使用，所以希望能够添加信任列表，在运行快速净化前把该机器的显卡、声卡之类的能够识认出来的驱动添加进去，在净化后再查看被禁用的驱动，如果不属于木马的再设置为启动，这样可以比较方便的对服务进行净化；但是我的看法是信任列表可以作为辅助，但不支持直接使用通用信任列表，因为在一定程度会增加漏查的可能性，就我的印象，我记得好像有一个木马是修改了原微软的一个服务，然后在木马本身加载后再加载微软的那个服务，但是在那个机器检测的时候就是没有显示微软的服务，导致那个木马总是无法清除，后来仔细的去检测服务终于查出那个被修改的服务，将该服务恢复为调用微软的文件才恢复正常的，使用使用信任列表的时候我觉得还是直接在检测的机器手工识别后添加，部分无法判断的再手工参考通用列表，这样可以降低漏查的可能，以上才是我建议添加信任列表的本意，希望大家探讨一下意见，大家的讨论都是希望wang6071 的软件能够更上层楼，能够更好的为我们的安全领域提供一个超一流的安全软件。