无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
楼主: wang6071
打印 上一主题 下一主题

[sysshield]系统安全盾

[复制链接]
2191#
发表于 2006-10-11 13:56:30 | 只看该作者
我以为是什么原因,造成假死的现象,原来是卡巴的原因。
回复

使用道具 举报

2192#
发表于 2006-10-11 15:27:04 | 只看该作者
原帖由 xdg3669 于 2006-10-11 12:34 PM 发表
系统在卡巴的文件保护状态下,安全盾的退出、应用规则设置占用太高的cpu和内存导致假死的情况在V1.37以后一直都没改变。好像是V1.36后吧。


的确存在此现象!!!
回复

使用道具 举报

2193#
发表于 2006-10-11 16:58:40 | 只看该作者
原帖由 wang6071 于 2006-10-10 09:28 PM 发表


HKEY_CLASSES_ROOT\CLSID\*\InprocServer32下的内容是什么?
可能的话导个这个键的.reg或抓个图给我


我截图上来    附件是我把那个小软件也上传上来

Snap1.gif (28.99 KB, 下载次数: 140)

抓取的图片

抓取的图片

Me.rar

163.39 KB, 下载次数: 22, 下载积分: 无忧币 -2

上传那个小软件

回复

使用道具 举报

2194#
 楼主| 发表于 2006-10-11 18:35:28 | 只看该作者
原帖由 258 于 2006-10-11 04:58 PM 发表

我截图上来    附件是我把那个小软件也上传上来


HKEY_CLASSES_ROOT\CLSID\{954F618B-0DEC-4D1A-9317-E0FC96F87865}\InprocServer32
{954F618B-0DEC-4D1A-9317-E0FC96F87865}键是向系统中注册DLL生成的,并不能自动启动.
InprocServer32下指明了该DLL的位置.当然,你修改了此值这个DLL就找不到不会启动了.

但这个位置并非自启动位置,如果你未屏蔽前它能自动启动,则可能有其它的启动位置来启动.

由于你所提供的附件除了在Program Files下建一目录xM目录外,无释放文件,无写注册表操作,显然这不是一个完整的安装程序,所以无法得知它的启动方式.

建议:
先还原你的屏蔽,看是否还在启动.如果在启动,检查一下启动项是否有rundll32  xxxx.dll
检查IE启动项挂接,检查BHO等是否有相关连的文件或xmtool.dll存在,当然,也可以用各种流行的检测工具查看,以找到它真正的启动位置.
回复

使用道具 举报

2195#
 楼主| 发表于 2006-10-11 19:25:02 | 只看该作者
syscheck(1.0.0.45)

WinSock修复加入针对Win2000的修复。去除ssdt原判定不检测5.2.3790以上版本的代码。

加入端口监测,这个监测的输出不输出系统进程号为0和4连接的结果,
不输出进程名相同,远程端口,远程IP相同时仅本地端口变化的项目.(减少输出才能快速判断)

在不切换页面观察的情况下,每发现有端口新连接就会加入列表,即使连接已关闭也不会删除列表项。
这是为了检测那些定时发一个连接后马上关闭连接的木马。

当然这样处理的结果是在有浏览器进程切换网页时输出会慢慢变多,所以这个检测请不要长时间当成监控来使用,除非你不浏览网页或不频繁更换网站,那长时间使用也没多大关系。

端口检测列表在切换到其它工作页并重进入时完全刷新。

syscheck(1.0.0.45).rar

401.06 KB, 下载次数: 67, 下载积分: 无忧币 -2

回复

使用道具 举报

2196#
发表于 2006-10-11 20:44:02 | 只看该作者
如图

未命名.JPG (39.92 KB, 下载次数: 130)

未命名.JPG
回复

使用道具 举报

2197#
发表于 2006-10-11 21:09:14 | 只看该作者
我没有2200楼的问题,但......(win2000)

[ 本帖最后由 zrfdcs 于 2006-10-11 09:10 PM 编辑 ]

cv.jpg (76.84 KB, 下载次数: 146)

cv.jpg
回复

使用道具 举报

2198#
 楼主| 发表于 2006-10-11 22:10:51 | 只看该作者
关于win2000显示及那个按钮位置在不同分辨率下显示位置有细小差别的修正.

syscheck(1.0.0.45)修正.rar

401.18 KB, 下载次数: 61, 下载积分: 无忧币 -2

回复

使用道具 举报

2199#
发表于 2006-10-11 22:42:16 | 只看该作者
bug?
端口查看的右键好像没修改。
回复

使用道具 举报

2200#
发表于 2006-10-11 23:09:41 | 只看该作者
syscheck(1.0.0.45)修正版,端口查看的右键似乎有问题!...........
回复

使用道具 举报

2201#
 楼主| 发表于 2006-10-11 23:47:49 | 只看该作者
不仅是这里,因为采用了菜单复用,所以某些无菜单的窗口如果前面使用过直接右键点击弹出菜单而又未使用左键点击一次的话,则无菜单窗口弹出上一个窗口的菜单.

说得有点绕口,现在修正一下,端口查看原定就是无右键菜单的,主要目的是分析有没有可疑的网络连接,处理在相关页面中进行,所以不提供右键菜单.

syscheck(1.0.0.45)修正2.rar

401.24 KB, 下载次数: 65, 下载积分: 无忧币 -2

回复

使用道具 举报

2202#
发表于 2006-10-12 11:35:19 | 只看该作者
反黑工具越来越完善了。

利用反黑工具处理木马病毒,不仅省时省力,而且能够做到完全心中有数,不多余一个模块,不多余一项服务,这是以前从未能做到的事情。

看到一台台让木马病毒侵蚀得千疮百孔的微机被修复得如处子般纯洁干净,心中就会充满无比的满足,这,都是反黑工具的功劳啊!

如果要吹毛求疵的话,还有两点:

1、模块信息也加入产品厂商信息。事实证明,产品厂商信息的显示,为判断可疑的服务驱动提供了重要依据,节省了大量时间精力,居功至伟。

2、端口查看能够给出一个动态提示,对正在进行连接的进程(利用快速刷新产生的变化来判断)以不同颜色显示,方便找出可疑进程。

上传两款端口监视软件以供参考:

端口监测.rar

117.42 KB, 下载次数: 39, 下载积分: 无忧币 -2

回复

使用道具 举报

2203#
发表于 2006-10-12 16:57:32 | 只看该作者
好象服务显示仍然有问题?!

APACHE的服务死活不显示!

现在是不是驱动和服务都放在一起的了?!突然,感觉还是服务是服务,驱动是驱动!:)

个人建议!

screenshot3.jpg (110.31 KB, 下载次数: 165)

screenshot3.jpg
回复

使用道具 举报

2204#
发表于 2006-10-12 20:02:17 | 只看该作者
原帖由 非常人 于 2006-10-12 16:57 发表
好象服务显示仍然有问题?!

APACHE的服务死活不显示!

现在是不是驱动和服务都放在一起的了?!突然,感觉还是服务是服务,驱动是驱动!:)

个人建议!

服务说到底也是一种驱动
回复

使用道具 举报

2205#
 楼主| 发表于 2006-10-12 22:38:47 | 只看该作者
原帖由 非常人 于 2006-10-12 04:57 PM 发表
好象服务显示仍然有问题?!

APACHE的服务死活不显示!

现在是不是驱动和服务都放在一起的了?!突然,感觉还是服务是服务,驱动是驱动!:)

个人建议!


倒不一定是不显示,因为syscheck中显示的是服务名,而win的服务管理中显示的描述名,有时描述名与服务名是不一样的.win中的服务名在Msconfig中才显示的是服务名.
而在win的服务管理中,你需要双击服务,才能看到它的服务名.

比如:Application Layer Gateway Service 描述名  对应的服务名是  alg.

你比对一下,如果确系不显,请将该服务的服务键导一个给我,位置在:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\对应的服务键(即服务名)
回复

使用道具 举报

2206#
发表于 2006-10-13 09:40:06 | 只看该作者
关于系统安全盾的:

           我在一台有连接共享的电脑上装了系统安全盾1.4,但每次装完安全盾重启后连接共享就被关闭了,导致其它电脑不能通过连接共享上网。一连试了三次都是如此。怎样解决?
回复

使用道具 举报

2207#
发表于 2006-10-13 09:55:43 | 只看该作者
键值如下,另外,不会判断失误的,我搭建的是PHP环境,在D盘的,只出现一个MYSQL-NT的,APACHE没有显示,但是进程里面正常运行 ,都是SYSTEM的用户的!

  1. Windows Registry Editor Version 5.00

  2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Apache2]
  3. "Type"=dword:00000010
  4. "Start"=dword:00000002
  5. "ErrorControl"=dword:00000001
  6. "ImagePath"=hex(2):22,00,44,00,3a,00,5c,00,75,00,73,00,72,00,5c,00,6c,00,6f,00,\
  7.   63,00,61,00,6c,00,5c,00,61,00,70,00,61,00,63,00,68,00,65,00,32,00,5c,00,62,\
  8.   00,69,00,6e,00,5c,00,41,00,70,00,61,00,63,00,68,00,65,00,2e,00,65,00,78,00,\
  9.   65,00,22,00,20,00,2d,00,6b,00,20,00,72,00,75,00,6e,00,73,00,65,00,72,00,76,\
  10.   00,69,00,63,00,65,00,00,00
  11. "DisplayName"="Apache2"
  12. "DependOnService"=hex(7):54,00,63,00,70,00,69,00,70,00,00,00,41,00,66,00,64,00,\
  13.   00,00,00,00
  14. "DependOnGroup"=hex(7):00,00
  15. "ObjectName"="LocalSystem"
  16. "Description"="Apache/2.0.54 (Win32) PHP/4.4.0"

  17. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Apache2\Parameters]
  18. "ConfigArgs"=hex(7):00,00,00,00

  19. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Apache2\Security]
  20. "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  21.   00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  22.   00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  23.   05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  24.   20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  25.   00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  26.   00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

  27. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Apache2\Enum]
  28. "0"="Root\\LEGACY_APACHE2\\0000"
  29. "Count"=dword:00000001
  30. "NextInstance"=dword:00000001

复制代码

screenshot3.jpg (55.11 KB, 下载次数: 167)

screenshot3.jpg

screenshot4.jpg (55.72 KB, 下载次数: 165)

screenshot4.jpg
回复

使用道具 举报

2208#
发表于 2006-10-13 09:58:12 | 只看该作者
原帖由 老毛桃 于 2006-10-12 20:02 发表

服务说到底也是一种驱动

呵呵,毕竟太多人习惯于使用系统自带的服务管理方式了!

而底层驱动应该是最早加载的,so,建议还是区别对待比较好!个人建议还是以前的两页(服务项、驱动项)显示
回复

使用道具 举报

2209#
发表于 2006-10-13 13:31:37 | 只看该作者
原帖由 wang6071 于 2006-10-11 06:35 PM 发表
HKEY_CLASSES_ROOT\CLSID\{954F618B-0DEC-4D1A-9317-E0FC96F87865}\InprocServer32
{954F618B-0DEC-4D1A-9317-E0FC96F87865}键是向系统中注册DLL生成的,并不能自动启动.
InprocServer32下指明了该DLL的位置 ...


我已经找到启动的真正位置 在如下的键值
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved       
其中一个键值就是引用的我截图的那个键值{954F618B-0DEC-4D1A-9317-E0FC96F87865}
说明这个键下的所有启动是不经过系统审核的隐藏启动希望wang6071大侠予以修正
               

原帖由 非常人 于 2006-10-13 09:58 AM 发表

呵呵,毕竟太多人习惯于使用系统自带的服务管理方式了!

而底层驱动应该是最早加载的,so,建议还是区别对待比较好!个人建议还是以前的两页(服务项、驱动项)显示

我觉得也是服务项、驱动项分开显示或者是标注显示比较好,也方便查找。
回复

使用道具 举报

2210#
发表于 2006-10-13 21:08:32 | 只看该作者
技术贴,支持楼主的原创,谢谢了
回复

使用道具 举报

2211#
发表于 2006-10-13 21:28:39 | 只看该作者
今天有机会试用了红叶上面发布的新流氓程序免疫脚本
发现代码写的有问题。
是凡带空格的目录不能建立,如  midea  cns    建立的只是midea   
不存在的路径无法建立,如 kingsoft\ew.com    无法建立,提示   系统找不到指定路径
我用md 替换了代码中的type命令,还是不行。
红叶再修正一下吧。
----------------------------------

另外,上面提到的红叶的 卓尔系统贴心锁,注册表部分锁定后无法解锁,红叶为作回复。
请红叶看看有没有问题。
回复

使用道具 举报

2212#
发表于 2006-10-14 09:07:16 | 只看该作者
原帖由 chujiafu 于 2006-10-13 09:40 AM 发表
关于系统安全盾的:

           我在一台有连接共享的电脑上装了系统安全盾1.4,但每次装完安全盾重启后连接共享就被关闭了,导致其它电脑不能通过连接共享上网。一连试了三次都是如此。怎样解决?


Wang6071兄,是不是注册表的某些项目被禁止了呢?
回复

使用道具 举报

2213#
发表于 2006-10-14 23:12:12 | 只看该作者
我觉得syscheck的杀进程能力还有包欠缺,许多进程杀不了,会卡在杀进程的过程中。我觉得杀进程冰刃做得比较好一些,能否借鉴一些
回复

使用道具 举报

2214#
发表于 2006-10-15 10:53:16 | 只看该作者
http://xiangku.yikuaiqian.com/popkart/(这是个挂马网页)
这个网叶我上去后docm service pro~~ launcher 这个服务就被意外终止~~~1分钟后重起~~~我用的是安全盾,1。40版。
请老王查下原因。

[ 本帖最后由 xuweihuai 于 2006-10-15 10:54 AM 编辑 ]
回复

使用道具 举报

2215#
发表于 2006-10-15 11:21:52 | 只看该作者
请大家试试把以下内容导入注册表,对于防范网页木马是极其有效的,对于正常使用基本没有任何感觉:

REGEDIT4

; 说明:
; 为防范恶意网页木马感染而删除以下组件:
; 恶意执行程序组件 WScript.Shell
; 木马生成组件 FileSystemObject
; 木马下载组件 XMLHTTP
; 木马上传组件 ADOB.Stream
; 木马执行组件 Shell.Application
; 要恢复时,请删除下面每行前面的 - 号再重新导入注册表即可!
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88D969C5-F192-11D4-A65F-0040963251E5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88D969EA-F192-11D4-A65F-0040963251E5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}]


我如此处理后,不使用任何安全防护工具,直接用 IE 上大家说的有毒的网站,怎么都不中毒,强的很!
有没有更好的办法,大家也发表意见!
回复

使用道具 举报

2216#
 楼主| 发表于 2006-10-15 12:47:59 | 只看该作者
syscheck(1.0.0.46)
修正<仅删除服务键值>在键值成功删除后不刷新列表的Bug。
修正原IE工具栏及ShellHook下修复时未删除clsid的操作。
修正不显示Apache2等这类服务的Bug。
增加对
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
下自动加载的DLL的检测。
修正无法在内置资源管理器左边目录树删除文件夹的问题。

syscheck(1.0.0.46).rar

401.63 KB, 下载次数: 59, 下载积分: 无忧币 -2

回复

使用道具 举报

2217#
 楼主| 发表于 2006-10-15 12:52:19 | 只看该作者
原帖由 chujiafu 于 2006-10-14 09:07 AM 发表
我在一台有连接共享的电脑上装了系统安全盾1.4,但每次装完安全盾重启后连接共享就被关闭了,导致其它电脑不能通过连接共享上网。一连试了三次都是如此。怎样解决?

你可以试一下将安全盾切换到信任程序安装模式等可以使用了共享上网后再还原到正常模式.如果这个连接不是每次动态生成的,下次就不做此操作也应可以了.

原帖由 xuweihuai 于 2006-10-15 10:53 AM 发表
http://xiangku.yikuaiqian.com/popkart/(这是个挂马网页)
这个网叶我上去后docm service pro~~ launcher 这个服务就被意外终止~~~1分钟后重起~~~我用的是安全盾,1。40版。
请老王查下原因。


重启后只要你的系统未被侵入,还是可以认为防御是成功的.

因为N多木马最开初的动作就是先杀杀软,再释放文件,然后注入系统进程.而安全盾在检测到进程注入后会尝试释放注入的模块并删除文件,这一步有可能造成系统进程的关闭,所以可能发生上面的现象.

原帖由 emca 于 2006-10-15 11:21 AM 发表
请大家试试把以下内容导入注册表,对于防范网页木马是极其有效的,对于正常使用基本没有任何感觉:
; 说明:
; 为防范恶意网页木马感染而删除以下组件:
; 恶意执行程序组件 WScript.Shell
; 木 ...

在Maxthon的设置中,将下载项的 scripts 禁用,可以阻挡N多的网页木马及广告,可能的后果是少量的论坛不能正确显示.此时不改设置则可以直接在选项中打开scripts(仅本页有效)

[ 本帖最后由 wang6071 于 2006-10-15 01:06 PM 编辑 ]
回复

使用道具 举报

2218#
发表于 2006-10-15 12:55:46 | 只看该作者
syscheck(1.0.0.46)不错,驱动级的检测能力增强了。
回复

使用道具 举报

2219#
发表于 2006-10-15 13:15:21 | 只看该作者
老王~~
净化的文件搜索能找到我系统上的c:NTDETECT.COM,显示是rhsa属性,红色的,以前我看时间是2003的就没动他,今天我手痒把他删掉了,然后就进不了系统了,还原了事。
以后这种可能不能删的东西能不能提示下啊~~~
回复

使用道具 举报

2220#
发表于 2006-10-15 16:52:33 | 只看该作者
APACHE2这下OK了~


突然想到一个馊建议:

有没有办法实现这样的,比如,给不熟悉的人用这工具扫描,然后,生成一个报告,比如类似HIJACKTHIS的完整报告!(他只有报告的功能),然后,生成的报告可以让别人比如是技术员判断,修改里面的某些值,然后,通过工具导入到刚刚生成报告的PC上,运行以后, 相关的功能自动按修改的键值判断以后修正,比如所有报告后面都加一个“0”,如果需要修改,则变为“1”,导入以后就对应修改!

适合远程帮助的吧,当然,生成的和验证的使用需要判断是否是常用的进程,类似批处理!判断一下时间,严验证报告是否可运行,如果是时间太长就不运行

现在很多时候是靠HIJACKTHIS生成报告,然后在上面修改判断,在回传给别人按图索骥操作!

:)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-12-5 11:54

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表