[sysshield]系统安全盾

emca · 发表于 2006-9-19 14:37:35

可疑文件清除功能基本无效。
上午测试一台中了ctfmon.exe的机器，它会自动在移动磁盘根目录生成Autorun.inf，病毒体在回收站，同时在用户“启动”目录实现自动加载。但如果病毒在内存中，则由于其自动修复功能，会导致清除功能失效，手工清除也会立即被修复。只有手工结束病毒进程后才能真正删除。由此可见，病毒对文件操作的函数入口进行了接管，看来得就此改进一下可疑文件清除功能的处理方式了。

紫狐 · 发表于 2006-9-19 16:32:43

可疑文件清除应该在快速净化后再进行处理，这样在恢复ssdt和进程后清理的应该能起作用，不过可能添加到活动文件手工处理可能方便些。

xdg3669 · 发表于 2006-9-19 17:17:57

原帖由 happyday2 于 2006-9-19 08:37 AM 发表

此功能不够透明，没有任何提示，如果不看这个说明，根本不知道软件做了些什么？既使看了说明，具体到我的机器上，也不知道到底删了些什么文件。

样样都提示，你能用，我不想用，用得着心烦！

如果用户都不知道究竟做了些什么，那么，就算程序的功能再强悍，我想，很多人都会望而却步的——如果心里没底，从某种程度上来说，一个软件功能越是强大，对用户来说就越是一种灾难。

这样的话你还是别用了，就是MS的windows也另用了，你可了解多少操作系统？你不知道微软在系统里面埋下了多少刺探你的东西？

[ 本帖最后由 xdg3669 于 2006-9-19 05:24 PM 编辑 ]

happyday2 · 发表于 2006-9-19 17:20:35

现在的流氓软件太流氓，前两天清除彩信通MMsassist时就费了好大劲，最后在DOS下才把它删除干净。

这家伙既占进程，又有服务（可能还不止一个服务），文件也备份了好几个，杀除进程、删除服务、删除文件都不管用，删了很快就会自动生成，讨厌极了。

遇到这种流氓，恐怕在快速净化后也难做到。

wang6071 · 发表于 2006-9-19 18:26:17

对于强悍病毒的清理步骤：
1:还原ssdt
2:Kill所有进程,从进程列表顺数2个svchost.exe后的进程全部结束它．（注意，同时勾选一下禁止线程创建）
3:完成后打开余下进程，将各进程模块中的红色模块全部卸载.
4:开始清理分析各起动组，Bho，删除木马及dll,对驱动级的如无法停止则一定要使用延时删除功能.
5:按时间查询一下最近生成的文件，可疑的或删除或移动到其它地方．
5:最后用"删除木马文件"功能清理一下可能忘记处理的地方．

前段时间测试过清彩信通MMsassist(下载了许多个版本,但就是没找到带驱动的),每次都成功了.哪位兄弟有它带驱动的样本发个上来研究研究.

红叶兄反映的对ctfom.exe木马无效，是清理过程中所写杀进程函数出现一个小失误导致杀进程无效所致,楼下已解决杀进程无效的问题,有机会再测试一下这个自动化功能.如果失败,可能的情况下请保留一份样本.

[ 本帖最后由 wang6071 于 2006-9-19 09:05 PM 编辑 ]

namejm · 发表于 2006-9-19 18:39:36

原帖由 xdg3669 于 2006-9-19 05:17 PM 发表

这样的话你还是别用了，就是MS的windows也另用了，你可了解多少操作系统？你不知道微软在系统里面埋下了多少刺探你的东西？

　　呵呵，这位兄弟的口气也太冲了吧？我说了要处处都提示了吗？只是提提建议而已，心平气和地讨论一下不是挺好的吗？

happyday2 · 发表于 2006-9-19 19:03:06

原帖由 wang6071 于 2006-9-19 12:15 PM 发表
都说是顺手帮您清了,有就清除,没有就什么也不做,每步都要提示,你点得累我写得也累呀!
...

原帖由 6618 于 2006-9-19 12:25 PM 发表

说得有理，这也提示，那也提示的，看到就烦。

原帖由 xdg3669 于 2006-9-19 05:17 PM 发表

样样都提示，你能用，我不想用，用得着心烦！

　　看来反对的人不少呀。

　　wangsea兄的辛苦大家有目共睹，我也知道。对于一个程序员的殚精竭虑、费心耗神，我也有所体会，因为我也写过一两个小程序，知道这其中的苦乐－－对自己的程序，那就像是对自己的孩子一样呀。

　　不是我不心疼wangsea兄，实在是我希望这个软件能更加完美。经过这么多天的关注，还真的对他有了感情了。

　　我提这个建议，不是仅仅站在我的角度上去考虑，也不是站在各位大侠的立场上去考虑，而是站在每一位可能用到该软件的用户的角度去考虑。因为我希望这个软件能为更多的人所运用，而不是仅仅为少数人所把玩，只有这样，才能体现该软件的价值，才能不负wangsea兄的辛苦。

　　当然，具体到删除可疑木马文件这个功能上，有没有这个提示也无所谓，毕竟还在测试嘛。我所说的是一种思路，一种态度，对于要删除文件这样有一定危险的功能，不管删除的是什么，如果不给出一个反馈信息，那是不够慎重的。

　　最近，我提的意见可能多了点，如有不妥之处，还请wangsea兄包涵。

紫狐 · 发表于 2006-9-19 19:24:06

想到一个功能，不知道实现难度大不大，有时候清理一下木马的时候能够知道那个文件是木马的一个文件，但是该文件有一定包含，就是说有其他进程包含，不能删除或者中断进程后删除又会再出现，不知道能不能根据这个文件查出守护这个文件的进程否？如果能，那么在处理一些进程插入且进程比较隐蔽的木马就方便多了，进程执法官能够从进程查出这个进程有那个可以模块是通过这个进程加载的，但是不能通过可疑文件查找是从那个进程加载的，Unlock倒是可以查看当前进程是那个进程加载当前文件的，如果能够增加这个功能放黑辅助的功力就更厉害了。

wang6071 · 发表于 2006-9-19 20:57:23

syscheck(1.0.0.35)
上一版在删除Autorun.inf时,可能会遇上该文件所指木马已启动,原来也考虑了杀除进程再删除文件,但由于处理时的一个小失误使得杀其进程无效,从而无法删除Autorun.inf.本版修复这个bug.

[ 本帖最后由 wang6071 于 2006-9-19 09:12 PM 编辑 ]

wang6071 · 发表于 2006-9-19 21:02:28

原帖由紫狐于 2006-9-19 07:24 PM 发表
想到一个功能，不知道实现难度大不大，有时候清理一下木马的时候能够知道那个文件是木马的一个文件，但是该文件有一定包含，就是说有其他进程包含，不能删除或者中断进程后删除又会再出现，不知道能不能根据这个文 ...

看来我的理解还是有误：

进程执法官能够从进程查出这个进程有那个可以模块是通过这个进程加载的，但是不能通过可疑文件查找是从那个进程加载的
---------------------------------------------------
好象没有你说的功能,它的查看可疑文件就是将syscheck中的红色显示的部份集中在一起显示了．

Unlock倒是可以查看当前进程是那个进程加载当前文件的
-----------------------------------------------------------------------------
如果是Unlocker好象没有这个功能，不知说的是哪个软件?是否看到的是父进程号呢?

其实就目前的syscheck要解决这个反复创建的问题，勾选禁止线程创建就行了，可避免反复加载．其实分析一下

进程的路径是否在其不应该在的路径，进程的名字是否有点奇怪，进程的创建时间，厂商信息，加载方式是否是非常规等．

对dll的加载方式(是否是rundll32加载，是否是bho加载等等)，完全可以快速判定．

对于插件类的找到一个可以先看属性，然后持贝厂商关键字(如 Microsoft,可以取Micr部份,不一定要求全称),复制到文件搜索中按厂商查找，一定大有收获．

[ 本帖最后由 wang6071 于 2006-9-20 12:17 AM 编辑 ]

ymzsc · 发表于 2006-9-19 21:58:33

好东西啊，感谢分享，有问题偶会反馈的。

冰上人 · 发表于 2006-9-19 23:41:11

一直在用。但设置始终没看太懂。我想问：文件监视中选“自定义目录过滤”，文件监控设置中什么也不动（类型过滤指定如下：*.exe;*.com;*.vbs;*.bat;*.cmd;*.lnk;*.dll;*.pif;*.sys;）这样，是不是就不用安杀毒软件了？

或者，您能否指出如何设置，就可以最强，强大到可以不用杀毒软件？
设置上，是不是有这样一个功能，如设为最强、强、中、一般几个等级。这样，用户可以按要求自己选，不用一项项设置了。

happyday2 · 发表于 2006-9-20 09:00:37

我认为比较强的设置，供参考。假设有C、D、E三个分区，系统装在C。

监控目录　　　　　　　　　　　　　　　　　　　　监视子目录　使用免检文件　使用黑名单　使用模糊匹配　使用类型过滤

c:\　　　　　　　　　　　　　　　　　　　　　　　　　√　　　　　×　　　　　　×　　　　　　　×　　　　　　×

c:\documents and settings\　　　　　　　　　　　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×　
　　
c:\program files\common files\network associates\　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

c:\program files\network associates\　　　　　　　　　　 √　　　　　×　　　　　　√　　　　　　　×　　　　　　×

c:\recycler\　　　　　　　　　　　　　　　　　　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

c:\system volume information\　　　　　　　　　　　　　√　　　　　×　　　　　　√　　　　　　　√　　　　　　√

c:\windows\　　　　　　　　　　　　　　　　　　　　　√　　　　　√　　　　　　√　　　　　　　√　　　　　　√

c:\windows\temp\　　　　　　　　　　　　　　　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

d:\　　　　　　　　　　　　　　　　　　　　　　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

e:\　　　　　　　　　　　　　　　　　　　　　　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

下边是注释：
第一条（c:\）：C盘下（包括子目录）不允许创建任何文件。最强的设置，如果C盘下子目录不单独设置，则延用这条规则。

第二条（c:\documents and settings\）：这里是所有用户的文件，因为用户的文件需要经常更新，所以设置黑名单，网开一面。

第三、四条（c:\program files\common files\network associates\；c:\program files\network associates\）：这是杀毒软件安装目录，使用黑名单（或免检）可以不防碍病毒库的升级，没有杀毒软件可以不设置，如有类似的需要定期更新的目录，可以参照此设置。（其实使用这样的设置，可以放弃杀毒软件了）

第五条（c:\recycler\）：使用黑名单。原默认使用最强设置，不允许新建任何文件，这样一来，回收站就失去了作用，任何放到回收站的东西都被删除，相当于直接物理删除。

第六、七、八条（c:\system volume information\；c:\windows\；c:\windows\temp\）：使用原默认设置，具体效果问wangsea兄或红叶大侠。

最后两条：系统以外的其他分区使用黑名单，可以在不影响使用的前提下，最大程度地防止木马文件的建立。

以上设置对需要经常写入文件的目录都设置了使用黑名单，是为了最大程度地防止木马文件建立，如果仍然会影响使用，可以设置为免检。

注意：使用以上设置，要求在安装任何程序时，暂停监视。

第二条，也就是关于用户文件的一条是漏洞比较大的一条，如果想要严密一些，可以逐个文件夹单独设置，不过那样比较复杂，如果也能禁止文件夹新建的话，设置规则会比较简单一些。

[ 本帖最后由 happyday2 于 2006-9-20 09:25 AM 编辑 ]

250662772 · 发表于 2006-9-20 09:43:40

如果也能禁止文件夹新建的话那就好了。

紫狐 · 发表于 2006-9-20 10:10:08

原帖由 wang6071 于 2006-9-19 09:02 PM 发表

看来我的理解还是有误：

进程执法官能够从进程查出这个进程有那个可以模块是通过这个进程加载的，但是不能通过可疑文件查找是从那个进程加载的
---------------------------------------------------
好 ...

呵呵，我的表达能力太差了，很多地方说得不够清楚，让你多费神了。
先说说以前使用进程执法官的一次杀毒经过吧，去年还是前年的时候，有一次在查一台机器的时候，那个木马一个是进程注入的，那个时候进程注入的木马还比较少，在查出其中一个文件是木马文件，在删除后该文件里面又再出现，但是使用autoruns、sreng、icesword等都查不到是那个进程在创建这个文件，而该进程是从那加载的，查了很久，最后终于使用进程执法官查到一个进程调用了一个可以模块扩展名是dat的文件，卸载该模块即删除后终于能够删除另外那个老是删不掉的文件了，但是当时依然没有找到木马加载的地方，也可能是我的能力有限，该木马虽然是清除了，但是是否有残留尸骸在该系统里面也就没有再去考究；之后一直考虑碰上这样的木马要如何快速找出其保护的进程，也就是说那个进程创建这个文件的。

我提的那个功能其实就是说在删除某个木马文件的时候能不能通过那个功能查出是那个进程不断创建这个文件的，查出进程后再查看该进程是在那里加载，从而直接从加载项目删除加载项，这样在某程度上可以加快查出木马的源头，只不过我的表达能力太差，上面的帖子说了半天都说不清楚，呵呵；只不过这样的功能有没有作用还是要大家探讨下，如果作用性不大就没必要增加。当然你所说的禁止进程创建能够清除掉大部分的木马，但是现在已经有好几个木马会自动修改微软的默认服务，在加载木马后再调用微软的服务，这样就比较难查出来，这个功能可能对付这样的情况会起到更好的作用，不知道对增加这个功能大家的看法如何，是否必要？

xubinfly · 发表于 2006-9-20 12:37:59

不知道别人怎么认为,楼上说的这个功能如果有就好了.当然我们对wang兄的软件相当满意,感谢他为我们做的一切.让我见到了真正的高手风范，不仅仅是技术的……

小木头 · 发表于 2006-9-20 15:12:53

今天用syscheck(1.0.0.35)检查了一下winsock 协议提示发现:检测到CDNNS.DLL第三方DLL在winsock加载.我就点击了YES还原了默认的winsock 协议.可重启后就不能上网.现在只好又在桌面上把Winsock备份.reg还原.才能上网.可不知中文上网CDNNS.DLL怎样才能在winsock中清除?

longwang · 发表于 2006-9-20 16:59:48

今天在一台装有卡巴6.0的机子上使用syscheck，居然奈何不了它，驱动也没检测到，有点郁闷。

wang6071 · 发表于 2006-9-20 18:21:28

原帖由 小木头 于 2006-9-20 03:12 PM 发表
今天用syscheck(1.0.0.35)检查了一下winsock 协议提示发现:检测到CDNNS.DLL第三方DLL在winsock加载.我就点击了YES还原了默认的winsock 协议.可重启后就不能上网.现在只好又在桌面上把Winsock备份.reg还原.才能上网 ...

对于强悍病毒的清理步骤：
1:还原ssdt
2:Kill所有进程,从进程列表顺数2个svchost.exe后的进程全部结束它．（注意，同时勾选一下禁止线程创建）
3:完成后打开余下进程，将各进程模块中的红色模块全部卸载.
4:开始清理分析各起动组，Bho，删除木马及dll,对驱动级的如无法停止则一定要使用延时删除功能.
5:按时间查询一下最近生成的文件，可疑的或删除或移动到其它地方．
6:最后用"删除木马文件"功能清理一下可能忘记处理的地方．

最后才使用winsock还原,否则它的注册表保护可能使还原后的东西不正确.如果已经按此步骤操作了,可以在连接向导中重装Tcp/ip协议.

今天在一台装有卡巴6.0的机子上使用syscheck，居然奈何不了它，驱动也没检测到，有点郁闷。

卡巴6.0的保护有点强,好在不是所有木马有此技术.

xdg3669 · 发表于 2006-9-20 18:51:43

原帖由 longwang 于 2006-9-20 04:59 PM 发表
今天在一台装有卡巴6.0的机子上使用syscheck，居然奈何不了它，驱动也没检测到，有点郁闷。

卡巴6.0好好的，为何要干掉它？

yht · 发表于 2006-9-20 19:00:05

Winpooch-0.6.0.发布!终于升级啦!
发现规则文件增加!前一版本Winpooch0.5.10较差的兼容性得到改善!.......似乎代码改进不少!.....
特告知,供wang先生参考!
下载地址:
http://sourceforge.net/project/showfiles.php?group_id=122629

wang6071 · 发表于 2006-9-20 19:01:40

syscheck(1.0.0.36)
托盘图标最小化后,双击可恢复界面。
服务页将服务加入服务厂商显示。
进程显示页加入一个<模块简洁显示>,使其只显示第三方模块。
<禁止外部线程创建>功能中在状态栏提示阻止了的线程创建.测试可以先勾选本选项,然后任击一应用程序(比如启动一下记事本,再看看状态栏显示哪个进程在试图启动记事本)。

xdg3669 · 发表于 2006-9-20 19:09:24

收下，多谢！

wang6071 · 发表于 2006-9-20 19:17:13

原帖由 yht 于 2006-9-20 07:00 PM 发表
Winpooch-0.6.0.发布!终于升级啦!
发现规则文件增加!前一版本Winpooch0.5.10较差的兼容性得到改善!.......似乎代码改进不少!.....
特告知,供wang先生参考!
下载地址:
http://sourceforge.net/project/showfil ...

谢谢您的提供的消息,下载了Winpooch0.6,发现果然是重大的改进,以前的Win32级的HOOk已改成驱动HOOK了,进入了内核级的Hook无论在性能和效果上都好得多.看来安全盾可以淘汰了,希望红叶兄尽快整理一下最新的规则以适应这个变化.

longwang · 发表于 2006-9-20 19:52:56

原帖由 xdg3669 于 2006-9-20 06:51 PM 发表

卡巴6.0好好的，为何要干掉它？

呵呵，只是想测试一下syscheck的能力，感觉syscheck的检测能力还需要提高，灭不了没关系，最好能检测到。希望syscheck越来越好，现在基本上成了我的主力工具了。

[ 本帖最后由 longwang 于 2006-9-20 08:07 PM 编辑 ]

小木头 · 发表于 2006-9-20 20:17:27

原帖由小木头于 2006-9-20 03:12 PM 发表
今天用syscheck(1.0.0.35)检查了一下winsock 协议提示发现:检测到CDNNS.DLL第三方DLL在winsock加载.我就点击了YES还原了默认的winsock 协议.可重启后就不能上网.现在只好又在桌面上把Winsock备份.reg还原.才能上网 ...

syscheck(1.0.0.35)提示如下:

可我用syscheck(1.0.0.29)检测winsock却正常.不知怎么回事?

[ 本帖最后由小木头于 2006-9-20 08:25 PM 编辑 ]

蓝天飞翔 · 发表于 2006-9-20 20:20:31

楼上的几位，这个http://sourceforge.net/project/showfil ... 是什么工具啊，根系统安全盾一样的工具？是E文的吗？用翻译工具翻译不了啊？

wang6071 · 发表于 2006-9-20 21:02:20

原帖由 小木头 于 2006-9-20 08:17 PM 发表
原帖由小木头于 2006-9-20 03:12 PM 发表
今天用syscheck(1.0.0.35)检查了一下winsock 协议提示发现:检测到CDNNS.DLL第三方DLL在winsock加载.我就点击了YES还原了默认的winsock 协议.可重启后就不能上网.现在只 ...

说明1.0.0.35检测并修复成功了,你再用1.0.0.29检测当然是正常的了.
不知道你出错在哪里,你不妨再用1.0.0.35检测,一定提示你未发现第三方加载.

原帖由 longwang 于 2006-9-20 07:52 PM 发表
呵呵，只是想测试一下syscheck的能力，感觉syscheck的检测能力还需要提高，灭不了没关系，最好能检测到。希望syscheck越来越好，现在基本上成了我的主力工具了。

你说的是ssdt检测吧?卡6对此有保护,检测不到是正常的.但卡6的服务项是可以检测到的,所以.....

[ 本帖最后由 wang6071 于 2006-9-20 09:05 PM 编辑 ]

longwang · 发表于 2006-9-20 21:23:30

原帖由 wang6071 于 2006-9-20 09:02 PM 发表

你说的是ssdt检测吧?卡6对此有保护,检测不到是正常的.但 ...

的确是卡巴6保护了，ssdt无法检测，即使我删除了服务进程avp，在服务模块中klif.sys驱动仍然无法检测到，导致删除卡巴目录失败。看来卡巴的保护还是很强悍的。要是能够检测到klif.sys的存在就好了。

[ 本帖最后由 longwang 于 2006-9-20 09:34 PM 编辑 ]

emca · 发表于 2006-9-20 21:41:13

尝试在Windows 2000 环境修复 Winsock，但重启后也出现不能上网的情况。当时用LSP发现Windows2000的Winsock2模块似乎与Windows XP不一样，但由于不是自己的系统，因此不好详细检查对比。希望装有Windows 2000的兄弟把它的Winsock2键值导出比较一下，是否存在不同？

		自动登录	找回密码
密码			注册