[sysshield]系统安全盾

258 · 发表于 2006-10-18 13:40:36

原帖由 wang6071 于 2006-10-17 06:55 PM 发表
这个检测是确实加入了呢,至于检测不到可能有某些原因被忽视了,请导出
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
与HKEY_CLASSES_ROOT\CLSID\{954F618B-0DEC-4D1A-9317-E0FC96F87865}
该两处注册表键的reg文件

然后与dll一些打包发上来研究一下.(你以前发的那个安装我测试过无法安装)

我觉得大侠还是直接下载安装研究下最好。用百度直接搜索“小Me地图搜索器”就能找到，那个软件的名字就是“小Me地图搜索器”
也可以直接点击这个链接直接看搜索结果。
http://www.baidu.com/s?wd=%D0%A1 ... B%F7%C6%F7&cl=3

有{954F618B-0DEC-4D1A-9317-E0FC96F87865}这个键值的的方共有四处，我都导出来了，和xMTool.dll打包在附件里面

wang6071 · 发表于 2006-10-19 00:02:51

原帖由 258 于 2006-10-18 01:40 PM 发表
我觉得大侠还是直接下载安装研究下最好。用百度直接搜索“小Me地图搜索器”就能找到，那个软件的名字就是“小Me地图搜索器”
也可以直接点击这个链接直接看搜索结果。
http://www.baidu.com/s?wd=%D0%A1Me% ...

syscheck(1.0.0.47)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
检测方法更新。

wang6071 · 发表于 2006-10-19 00:06:10

原帖由 xdg3669 于 2006-10-18 11:31 AM 发表

红叶在Pe中已有一个高级注册表管理工具，已内置了常用的注册表关键项的书签！这个很好用！方便，有地址栏，但查找速度没有“注册表搜索 Registry Crawler”快。

没用过那个,看图片好象说的是只针对当前系统.不如Erd2003(偶用的是老九64M中的那个),这个注册表编辑器处理的是注册表转储的hiv文件,可以编辑非当前windows的注册表,因为是Pe中直接修改注册表转储文件,所以不怕HOOK,实用性很大.

[ 本帖最后由 wang6071 于 2006-10-19 12:28 AM 编辑 ]

wang6071 · 发表于 2006-10-19 12:28:54

syscheck(1.0.0.47b)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
检测方法更新。
b版过滤掉上面判断项中xp中要显示出来的微软文件部份。如过滤未干净请使用右键定位到注册表,复制出那个clsid(就是{xxxx-xxxx-xxxx-xxxx}这样形式的键值),贴在下面贴子中.

[ 本帖最后由 wang6071 于 2006-10-19 12:30 PM 编辑 ]

xdg3669 · 发表于 2006-10-19 13:00:22

微软文件部份clsid:
{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}
{D6277990-4C6A-11CF-8D87-00AA0060F5BF}
{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}
{E4B29F9D-D390-480b-92FD-7DDB47101D71}
{87D62D94-71B3-4b9a-9489-5FE6850DC73E}
{A6FD9E45-6E44-43f9-8644-08598F5A74D9}
{c5a40261-cd64-4ccf-84cb-c394da41d590}
{BD472F60-27FA-11cf-B8B4-444553540000}
{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31}
{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
{640167b4-59b0-47a6-b335-a6b3c0695aea}
{cc86590a-b60a-48e6-996b-41d25ed39a1e}
{21569614-B795-46b1-85F4-E737A8DC09AD}
{42042206-2D85-11D3-8CFF-005004838597}
{BDEADF00-C265-11D0-BCED-00A0C90AB50F}

258 · 发表于 2006-10-19 13:40:33

原帖由 wang6071 于 2006-10-19 12:02 AM 发表

syscheck(1.0.0.47)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
检测方法更新。

感谢大侠，这个版本能很好的检测出来了

“b版过滤掉上面判断项中xp中要显示出来的微软文件部份”，我觉得屏蔽微软的不是很好，有些恶意的软件可以利用这个来“强奸”机机的～

^_^ 个人意见，希望在以后的版本中不要屏蔽微软文件部分，或者应该相对应出个不屏蔽的版本。

wang6071 · 发表于 2006-10-19 18:21:42

syscheck(1.0.0.48)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
有太多的微软clsid项,且各系统下并不相同,难以搜集齐全,故再次更改检测方式检测第三方加载。
修正文件关联中.chm项在win2000下被误检出的问题。
ShellServiceObjectDelayLoad下Ms在win2000中有一个微软文件netshell.dll载入，本次加入判断不检出此项。
微软文件cscript.exe及wscript.exe都有可能被关联到vbsfile及jsfile文件上,所以加入一个判断使其两者不被检出。

为何要保证微软的不被检出,是因为快速净化要以检出结果为修复对象,而对微软项的删除可能会带来未知故障。

进程模块显示加入厂商显示。

[ 本帖最后由 wang6071 于 2006-10-19 06:22 PM 编辑 ]

ok-gao · 发表于 2006-10-19 21:07:04

我机器老，平时把卡巴５。０是关着的，可能中毒了，要用时再开
可我把这个服务禁用了，为何还运行呢

wang6071 · 发表于 2006-10-19 22:39:24

原帖由 ok-gao 于 2006-10-19 09:07 PM 发表
我机器老，平时把卡巴５。０是关着的，可能中毒了，要用时再开
可我把这个服务禁用了，为何还运行呢

已知卡巴还有一个在注册表中的run中的启动项。其实你不想常开卡巴，何不用两个贴子中的绿色版呢?
http://bbs.wuyou.net/forum.php?m ... &extra=page%3D3
http://bbs.wuyou.net/forum.php?m ... &extra=page%3D1

ok-gao · 发表于 2006-10-19 23:27:41

哦。这样的啊。谢谢指点！
现在这个系统已做好ghost了，已有的系统反复安装不同版本卡巴，我怕装卸会发生异常。只有一个服务了，也不怎么拖打开速度了，也不是太要紧的。呵呵。

xiaopingma1 · 发表于 2006-10-20 16:55:30

原作,好用

emca · 发表于 2006-10-20 19:28:55

在大量使用实践中感觉到，活动文件项目中最好分类显示为好。

longwang · 发表于 2006-10-20 20:11:35

原帖由 emca 于 2006-10-20 07:28 PM 发表
在大量使用实践中感觉到，活动文件项目中最好分类显示为好。

最好借鉴autorun，清晰明了。

xdg3669 · 发表于 2006-10-20 22:01:56

syscheckr的服务管理，如果是中毒很深的电脑，它的非微软的项目会非常多，一般都会有几十项，这时仅从文件名就很难判断哪是可留的，哪个是必杀的！

mmzz2688 · 发表于 2006-10-21 15:20:46

用了，和sreng比较，性能还可以的。

ok-gao · 发表于 2006-10-21 21:10:39

syscheck疑难修复中，“删除可疑文件”一项，还是没有“确认”操作一项。同类三个中前两个有的，同时还有简明提示。应该是小小的疏忽。不然刚用此工具的，会不知道到底删除什么，可疑的标度是什么。有简明操作提示比较好。

另外，“防止驱动干扰修复”，个人感觉比较拗口，改为“阻止驱动级修复干扰”如何？

[ 本帖最后由 ok-gao 于 2006-10-21 10:01 PM 编辑 ]

wang6071 · 发表于 2006-10-22 00:26:00

原帖由 xdg3669 于 2006-10-20 10:01 PM 发表
syscheckr的服务管理，如果是中毒很深的电脑，它的非微软的项目会非常多，一般都会有几十项，这时仅从文件名就很难判断哪是可留的，哪个是必杀的！

这个要做到自动恐怕是没办法,除了创建时间,文件厂商及所在目录及文件名等辅助判断外,经验要占很大的因素.最近也处理了好几台感染不同病毒木马的机器,包括威金等流行病毒,也只用到了syscheck就手动清除干净了。
有一台装瑞星的本本，进入系统后连鼠标都动不了的，根本无法运行任何程序，在进入安全模式后用syscheck手动清理后也是一次性就成功了。所以偶认修复成功与否经验还是占很大的因素。希望大家多积累一点经验，有空时常上一安全论坛，了解一下流行病毒的特征，基本做到仅凭文件位置，文件名，文件属性，创建时间也能判断得八九不离十。
另外，机器正常时一定要用EruNT备份一个注册表，以便实在没法时在PE是恢复。必竟不是每次出问题都用Ghost来暴力解决，保存系统盘的设置与用户数据还是很关键的，请大家一定要养成尽量不破坏用户数据的习惯。

原帖由 ok-gao 于 2006-10-21 09:10 PM 发表
syscheck疑难修复中，“删除可疑文件”一项，还是没有“确认”操作一项。同类三个中前两个有的，同时还有简明提示。应该是小小的疏忽。不然刚用此工具的，会不知道到底删除什么，可疑的标度是什么。有简明操作提示 ...

没有确认提示倒不是什么疏忽，鼠标放上去已经有一个简要提示了，且该按钮的删除及恢复就是正常的机器使用也没有问题，就如删除系统临时文件一样，小做一个垃圾清理，所以感觉没必要做过多的提示。

"防止驱动干扰修复“，个人感觉比较拗口，改为“阻止驱动级修复干扰”如何？

后者字符过长，"防止驱动干扰修复“好象也没什么拗口的呀，可能是地域口音习惯关系，欢迎语文较好的兄弟给sycheck的这个功能提个更简洁更适合的用语。

-----------------------------------------------------------------
最近在搞防范网页木马的监控，稳定性及资源占用性还在测试中，个人感觉功能上已能达到第一时间防范网页木马的执行，不改动用户任何设置，不会造成浏览器死锁，再自测一段时间加入到安全盾的防护中。

[ 本帖最后由 wang6071 于 2006-10-22 12:37 AM 编辑 ]

yht · 发表于 2006-10-22 00:50:26

"最近在搞防范网页木马的监控，稳定性及资源占用性还在测试中，个人感觉功能上已能达到第一时间防范网页木马的执行，不改动用户任何设置，不会造成浏览器死锁，再自测一段时间加入到安全盾的防护中。"

[ 本帖最后由 wang6071 于 2006-10-22 12:37 AM 编辑 ]

这个不错!实用性强!期待中..........

wang6071 · 发表于 2006-10-22 12:48:37

可以单独使用的WebPageMon,经本人测试已能免阻止网页脚本木马的执行，已测试过好几个内含恶意脚本的网页，均成功地阻止了木马进程的执行。

请大家再做更多地测试。

这里有一个有毒网页可以测试本软件:http://www.08cq.com
结果会是：13:14:31 E:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe进程被阻止
为避免意外(指未检测到浏览器的情况下做测试)，请同时开着安全盾测试上面的有毒网页．

[ 本帖最后由 wang6071 于 2006-10-22 01:14 PM 编辑 ]

yht · 发表于 2006-10-22 14:09:13

报告:
试用WebPageMon,启动后任务栏显示其图标,但鼠标一接触该图标,图标即消失.程序主界面不出现!同时任务管理器中可观察到WebPageMon程序已退出!另外,观察到WebPageMonei物理内存占用率仅400k左右............
特告!

[ 本帖最后由 yht 于 2006-10-22 02:14 PM 编辑 ]

ncne · 发表于 2006-10-22 14:29:03

楼上问题属实！

xdg3669 · 发表于 2006-10-22 14:30:35

我的可没有这样问题！但无法检测到opera!

wang6071 · 发表于 2006-10-22 14:37:47

原帖由 yht 于 2006-10-22 02:09 PM 发表
报告:
试用WebPageMon,启动后任务栏显示其图标,但鼠标一接触该图标,图标即消失.程序主界面不出现!同时任务管理器中可观察到WebPageMon程序已退出!另外,观察到WebPageMonei物理内存占用率仅400k左右............
...

webpagemon.exe与webpagemon.dll两个文件必须放在一起,webpagemon.dll是一个全局钩子,是否你的系统有某个杀软监护不允许全局钩子注入?

原帖由 xdg3669 于 2006-10-22 02:30 PM 发表
我的可没有这样问题！但无法检测到opera!

opera本身就不使用IE内核,所以根本对脚本执行无反应,所以也没必要使用这个程序,你用mathon或直接使用ie试一试.

[ 本帖最后由 wang6071 于 2006-10-22 02:42 PM 编辑 ]

zgrrr · 发表于 2006-10-22 15:44:58

yht的报告正确。我的杀软未开启实时监控，webpagemon中的两个文件都在一起，但仍出现YHT所述的情况。

wang6071 · 发表于 2006-10-22 16:25:58

去除托盘图标,去除了自动启动,有问题的试试这个手动启动版看能否运行

[ 本帖最后由 wang6071 于 2006-10-22 04:30 PM 编辑 ]

250662772 · 发表于 2006-10-22 16:30:18

,,,手动的正常了

[ 本帖最后由 250662772 于 2006-10-22 04:46 PM 编辑 ]

zgrrr · 发表于 2006-10-22 16:48:20

手动启动版可以运行。启动监视生效，但不能关闭窗口，否则程序退出。

16:50:40 C:\DOCUME~1\RJJ\LOCALS~1\Temp\svchost.exe进程被阻断

[ 本帖最后由 zgrrr 于 2006-10-22 04:53 PM 编辑 ]

wang6071 · 发表于 2006-10-22 17:07:25

原帖由 zgrrr 于 2006-10-22 04:48 PM 发表
手动启动版可以运行。启动监视生效，但不能关闭窗口，否则程序退出。

16:50:40 C:\DOCUME~1\RJJ\LOCALS~1\Temp\svchost.exe进程被阻断

退出了还监视什么?处理全在exe中做的,不清楚上个版本为何最小化到托盘会失败?

zgrrr · 发表于 2006-10-22 17:25:10

原帖由 wang6071 于 2006-10-22 05:07 PM 发表

退出了还监视什么?处理全在exe中做的,不清楚上个版本为何最小化到托盘会失败?

========================================
相信会改好。

250662772 · 发表于 2006-10-22 17:56:54

提个小建议，可以增加个查看功能，删除功能吗？因为这个软件知识阻止运行并没有删除，增加个查看可以方便进入临时文件夹查看被阻止的svchost.exe

		自动登录	找回密码
密码			注册

[sysshield]系统安全盾

咋回事？