[sysshield]系统安全盾

happyday2 · 发表于 2006-9-22 11:26:21

再给安全盾的规则设置提个建议：

像下边的两条规则，是否能够让它同时起作用：

c:\Program Files\ √ × √ × ×
c:\Program Files\ × × × × ×

　　这样设置的理论依据：一个目录本身（不包括子目录）与“既包括目录本身又包括子目录”应该是两个级别的概念，从本质上讲，目录本身（不包括子目录）应该与各子目录是平等的级别，共同为“既包括目录本身又包括子目录”所管辖，应该能够独立出来。就好像北京政府与中央政府的关系一样。

　　其实际意义：正如这个例子一样，当对一个目录的所有子目录的要求与目录本身不一样时，或者说对目录本身的要求与整个目录（包括子目录）的默认要求不一样时，不如此则规则设置将比较困难，且不具有通用性。

　　如果能够实现这样的判断，会使规则设置更加符合逻辑，更科学严密，也更为灵活，从而能够设置出更加简单通用的规则。

　　不知此想法正确与否，还请wangsea兄定夺。

xdg3669 · 发表于 2006-9-22 12:13:56

目录本身（不包括子目录）应该与各子目录是平等的级别，共同为“既包括目录本身又包括子目录”所管辖，应该能够独立出来。就好像北京政府与中央政府的关系一样。

?????????:'(:'(:'(:@

zytlinux · 发表于 2006-9-22 13:00:34

我觉得他的意思就是：
本目录与子目录可以分开来吧

alauco · 发表于 2006-9-22 14:27:54

如果用了,要怎麽樣才能還原哪?

emca · 发表于 2006-9-22 16:12:32

Winpooch 新版本我反复测试了，兼容性比旧版本还要差劲！
但Winpooch中的规则定义有一点值得学习的。它对路径和文件名支持通配符，而且支持两种，一种是只支持本级路径匹配，一种是支持全路径匹配。这样在制定规则时灵活性能够大大增强，同时防护的针对性也更好。

xdg3669 · 发表于 2006-9-22 16:38:00

Winpooch 新版本可能由于采用驱动级的hook,在我的系统上导致不断出现stop的错误蓝屏！

它没有安全盾的稳定，设置简单、方便！

[ 本帖最后由 xdg3669 于 2006-9-22 04:39 PM 编辑 ]

happyday2 · 发表于 2006-9-22 17:54:35

建议wangsea兄将安全盾监视的注册表项目写在说明文件中。

希望红叶兄能更新一下黑名单。

黑名单不能少呀，它可是安全盾文件监控的最后一堵墙，作用不可忽视。

[ 本帖最后由 happyday2 于 2006-9-22 05:59 PM 编辑 ]

happyday2 · 发表于 2006-9-22 18:07:23

系统安全盾如果能让用户自主添加要监视的注册表项目，那就完美了。

　　

xdg3669 · 发表于 2006-9-22 18:45:45

很多高级的防火墙、监视软件也有许多具有自主定制规则！但是又有多少人能够自己定制规则？许多都是采用默认的简单的规则，还不如不装！省得占用内存！

[ 本帖最后由 xdg3669 于 2006-9-22 06:47 PM 编辑 ]

happyday2 · 发表于 2006-9-22 19:10:31

原帖由 xdg3669 于 2006-9-22 06:45 PM 发表
很多高级的防火墙、监视软件也有许多具有自主定制规则！但是又有多少人能够自己定制规则？许多都是采用默认的简单的规则，还不如不装！省得占用内存！

那安全盾为什么要加入文件监控的自定义功能呢？全部用wangsea兄做好的默认规则，每个用户什么也不要做，岂不是更简单、更省心！

freesoft00 · 发表于 2006-9-22 19:32:33

王兄用了ssm,它是中文版的在设置中有语言选择的。

emca · 发表于 2006-9-22 19:48:26

我记得安全盾最早期的版本就是支持自定义注册表监视的。可能是Wangsea把它在后来融合到程序内部了。
因此，顺便提醒Wangsea兄弟把新近我们在测试Syscheck时收集到的注册表自动加载项目检查一下，看看是不是比以前的有所增加（好象增加不少键值）。

以下共享我的最新规则。

emca · 发表于 2006-9-22 20:00:31

顺便共享一下本人制作的磁盘自动运行病毒清除免疫脚本程序。
功能：清除、免疫U盘或硬盘中利用Autorun功能激活和传播的病毒。支持目前已知各种同类病毒的杀进程、免疫。尤其是采用了独创的简单技术实现了U盘和移动磁盘的免疫——而这是杀毒软件所无法做到的，因为单纯的U盘自身并无防毒能力，就算拷贝一个杀毒软件随盘携带也不能解决问题，因为插入即可激活病毒。其中需要补充一些同类病毒的自动加载方式，有能力的兄弟可看看并继续帮忙提供相关病毒的感染和加载位置、文件名等信息。

小木头 · 发表于 2006-9-22 20:24:46

发现新版的安全盾1.33没有了文件监控设置中的在监控目录中鼠标提示监控的详细目录功能了.我觉得看不出监控的详细目录了.还是不要取消的好!

[ 本帖最后由小木头于 2006-9-22 08:33 PM 编辑 ]

wang6071 · 发表于 2006-9-22 20:44:28

安全盾注册表内置保护的项目如下:

禁写:
Services\Winsock
Services\Winsock2
SYSTEM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
Software\Microsoft\Internet Explorer\Main
Software\Microsoft\Internet Explorer\Explorer Bars
Software\Microsoft\Internet Explorer\Extensions
Software\Microsoft\Internet Explorer\Toolbar
Software\Microsoft\Internet Explorer\MenuExt
Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Software\Microsoft\Windows\CurrentVersion\Policies
SOFTWARE\Classes\exefile\shell\open\command
SOFTWARE\Classes\.exe
SOFTWARE\Classes\comfile\shell\open\command
SOFTWARE\Classes\.pif
SOFTWARE\Classes\batfile\shell\open\command
SOFTWARE\Classes\.bat
SOFTWARE\Classes\cmdfile\shell\open\command
SOFTWARE\Classes\.cmd
SOFTWARE\Classes\scrfile\shell\open\command
SOFTWARE\Classes\.scr
SOFTWARE\Classes\chm.file\shell\open\command
SOFTWARE\Classes\.chm
SOFTWARE\Classes\lnkfile\shell\open\command
SOFTWARE\Classes\.html
SOFTWARE\Classes\htmlfile\shell\open\command

//阻一级CreatKey,其它不阻
SYSTEM\CurrentControlSet\Services\
SYSTEM\ControlSet001\Services\
SYSTEM\ControlSet002\Services\

询问:
Software\Microsoft\Windows NT\CurrentVersion\Windows
SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

不提供自定义设置功能是因为我在驱动中作了简化处理,必须按特定的顺序加入规则及使用特定的符号规则才会有效,改驱动太麻烦了,所以不提供自定义设置功能.

[ 本帖最后由 wang6071 于 2006-9-22 08:47 PM 编辑 ]

wang6071 · 发表于 2006-9-22 21:27:34

syscheck(1.0.0.37)
虽然个人感觉信任列表加Md5检测没多大用处,但看来提此建议的人不少,所以本版的信任列表加上Md5校验,大家用用再说.

---------------
另外关于happyday2 的那个规则建议我同意xdg3669兄弟的意见,看着描述都昏~~~
规则还是不要有太大的变化为好,这样容易理解一些.

[ 本帖最后由 wang6071 于 2006-9-22 09:30 PM 编辑 ]

emca · 发表于 2006-9-22 21:39:04

建议添加以下监视键项：
开关机脚本：
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
Load等：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
各种Run：
SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
ShellExecuteHooks：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
命令行自动运行：
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
COM（以下两项必须同时监视！下同）：
HKEY_CLASSES_ROOT\.com
HKEY_CLASSES_ROOT\comfile
TXT：
HKEY_CLASSES_ROOT\.txt
HKEY_CLASSES_ROOT\txtfile
REG:
HKEY_CLASSES_ROOT\.reg
HKEY_CLASSES_ROOT\regfile
外壳服务对象预加载:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
应用程序映像映射：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

以上是我发现预置中没有处理的键项，供参考！同时也请大家查对是否还有遗漏。

wang6071 · 发表于 2006-9-22 21:49:24

Load等：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
有了,是规则的:
Software\Microsoft\Windows NT\CurrentVersion\Windows

各种Run：
SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
有了,是规则的:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

COM（以下两项必须同时监视！下同）：
HKEY_CLASSES_ROOT\.com
HKEY_CLASSES_ROOT\comfile
有了,我贴漏了

.text类型REG类型似乎也没有多大的必要,因为述类型不改只改这两个没意思.也好修复.

没有的是,下一版加上,大家看看还有没有遗漏.
开关机脚本：
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
ShellExecuteHooks：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
命令行自动运行：
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
外壳服务对象预加载:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
应用程序映像映射：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

wang6071 · 发表于 2006-9-22 23:37:53

安全盾1.34覆盖升级文件:

按红叶兄的意见,加入了上述漏加的键值保护,定义设置中鼠标所指显示设置全路径修改了以前的一点Bug。

完整安装包到偶的空间下载,已集成红叶兄新的过滤文件,将原来的readme.chm小改了一下放到空间内单独提供下载,安装包不集成这个chm了.

zwww1967 · 发表于 2006-9-23 09:24:35

兄弟是最好的原创者之一，佩服！佩服！佩服技术也佩服人品！

songq · 发表于 2006-9-23 10:01:12

原帖由 wang6071 于 2006-9-22 09:27 PM 发表
syscheck(1.0.0.37)
虽然个人感觉信任列表加Md5检测没多大用处,但看来提此建议的人不少,所以本版的信任列表加上Md5校验,大家用用再说.

---------------
另外关于happyday2 的那个规则建议我同意xdg3669兄弟的 ...

谢谢wangsea,加了md5校验功能.

我本来的意思是这样的.在进程管理,服务管理,文件搜索这三个模块中,首先验证涉及的exe,dll,sys等是否有数字签名,有的话,专门有一栏显示已签名,就跟厂商代码一样,但厂商代码我认为没什么用,太容易伪造了.我试过微软的signtool+capicom.dll
可以验证有签名的文件,不光是微软的.
如果没有签名,就计算md5,保存这3个模块的hash列表,如果有变化就提示,询问是否是许可的更改.
当然如果再加上系统目录或指定目录里所有的文件快照,起到整个系统完整性检查功能的话,就更好了,我可以知道我得系统相比某个baseline多了或少了,改了那些文件.

小木头 · 发表于 2006-9-23 10:37:36

定义文件监控设置中鼠标所指显示设置全路径 .这就方便多了.好!

chujiafu · 发表于 2006-9-23 10:41:22

请教Wang6071兄：怎样禁止创建目录呀？

freesoft00 · 发表于 2006-9-23 11:20:45

syscheck又更新了，不知道王兄能否在文件浏览中加一个隐藏微软文件的选项。
这样找第三方文件好找些。

wang6071 · 发表于 2006-9-23 12:02:01

原帖由 songq 于 2006-9-23 10:01 AM 发表
谢谢wangsea,加了md5校验功能.

我本来的意思是这样的.在进程管理,服务管理,文件搜索这三个模块中,首先验证涉及的exe,dll,sys等是否有数字签名,有的话,专门有一栏显示已签名,就跟厂商代码一样,但厂商代码我 ...

用签名校验在运行中输入:sigverif 然后回车,微软做好了的。
用Md5校验避免不了程序更新，升级带来的问题。且要做这个校验文件数量庞大又不通用，只能在本机有一点很小的效果,没人愿意每天去比对一下是否有N多文件是否被修改了的。
如果校验真的那么管用,各大比砘褂貌《咎卣鞲墒裁?直接用校验更省事,检测速度可能还更快。所以不想再添加这个"可能有用"的功能了。

原帖由 chujiafu 于 2006-9-23 10:41 AM 发表
请教Wang6071兄：怎样禁止创建目录呀？

用Winpooch或者ssm吧，安全盾实现不了。

原帖由 freesoft00 于 2006-9-23 11:20 AM 发表
syscheck又更新了，不知道王兄能否在文件浏览中加一个隐藏微软文件的选项。
这样找第三方文件好找些。

不如用内置的搜索来得快些,那个是文件浏览是第三方控件，不好改动。

[ 本帖最后由 wang6071 于 2006-9-23 12:04 PM 编辑 ]

zwww1967 · 发表于 2006-9-23 12:53:55

完整安装包下载不了////???

emca · 发表于 2006-9-23 13:00:10

虽然Syscheck不能禁止创建目录，但目录规则中的目录即使创建成功了，里面也无法植入任何文件。只是多个垃圾目录让人不爽而已。

zyjffnn · 发表于 2006-9-23 13:10:42

新人报到，对编程完全不懂，但还是佩服楼主，目前下了1.20版，1.34版太挤了。

zrfdcs · 发表于 2006-9-23 15:13:01

麻烦WANGSEA兄解决一下系统安全盾与NOD32,F-prot等杀软的兼容问题。
只有1.27版（20060828）以前才不会被误报病毒。

250662772 · 发表于 2006-9-23 15:27:40

syscheck(1.0.0.37)为什么还是不能内核检测？麻烦作者检查一下，我用超级巡警试了一下，也能检测出来。我现在只能用作者原来发布的那个软件检测了。

[ 本帖最后由 250662772 于 2006-9-23 03:30 PM 编辑 ]

		自动登录	找回密码
密码			注册