[sysshield]系统安全盾

wang6071 · 发表于 2006-10-22 20:11:39

这个版本的webpagemon应该不存在启不动的问题了.

-------------------------
关于能加查看功能，删除功能吗？因为原拟打算是安全盾辅助用的,而删除工作安全盾已做了,所以未加更多的功能.同时不加删除也是为了方便有搜集木马样本研究爱好的部份网友保存样本.

因为木马程序的启动已经被阻止,并未运行,所以按日志所示路径找到该文件可以清松地手动删除.

这个版本主要是给大家测试一下,看看网页木马防范的效果如何,如果有阻止失败的情况,请给出那个网页的链接以便改进监测.

[ 本帖最后由 wang6071 于 2006-10-22 08:15 PM 编辑 ]

yht · 发表于 2006-10-22 20:15:49

webpagemon2已启动正常!!辛苦啦!wang ser!
继续测试中.................
发现webpagemon2资源占用很低呵!......

[ 本帖最后由 yht 于 2006-10-22 08:18 PM 编辑 ]

小木头 · 发表于 2006-10-22 20:37:35

原帖由 wang6071 于 2006-10-22 08:11 PM 发表
这个版本的webpagemon应该不存在启不动的问题了.

-------------------------
关于能加查看功能，删除功能吗？因为原拟打算是安全盾辅助用的,而删除工作安全盾已做了,所以未加更多的功能.同时不加删除也是为了 ...

试了,这个版本启动和最小化到系统托盘都正常!:lol

250662772 · 发表于 2006-10-22 20:42:48

关于能加查看功能，删除功能吗？因为原拟打算是安全盾辅助用的,而删除工作安全盾已做了,所以未加更多的功能.同时不加删除也是为了方便有搜集木马样本研究爱好的部份网友保存样本.
呵呵，同意你的说法，就是收集样本还是要进那个目录里面，增加个查看功能，不是直接就进到那个目录里面了吗也方便收集木马样本啊，

pppp1234 · 发表于 2006-10-22 21:27:52

在Maxthon的外部工具中，随Maxthon自动启动正常，随Maxthon自动关闭不正常

pppp1234 · 发表于 2006-10-22 21:34:12

21:29:28 C:\WINDOWS\system32\notepad.exe进程被阻止
21:32:52 C:\Program Files\WinRAR\WinRAR.exe进程被阻止
想查看源码也不行了
不下载文件直接打开文件也不行了，
阻止文件时能不能给个提示。

pppp1234 · 发表于 2006-10-22 21:41:02

想请教一下，有个软件《网页木马客星》，跟你这个功能一样，还加上了注册表监视，但它会在当前用户TEMP下生成一个MC21.TMP,或mc22.tmp,用syscheck可以看到服务名是mchlnjDrv,baidu里搜不到，google里说是木马，请指教。

wang6071 · 发表于 2006-10-22 22:38:52

在Maxthon的外部工具中，随Maxthon自动启动正常，随Maxthon自动关闭不正常
是哪些工具需要随Maxthon关闭会出错?

想查看源码也不行了,不下载文件直接打开文件也不行了，阻止文件时能不能给个提示。
这是因为阻止了浏览器进程创建进程的原因,不过可以加上对notepad.exe的放行以方便查看源码.直接在浏览器中打开文件被阻止了,原因同上,阻止当然可以有提示,但要达到保护目的阻止时会挂起浏览器主进程,偶自测时是先提示后阻止的,为了方便使用就直接阻止了.
网页木马客星没用过,但Google了一下似乎四处都有下载,所以不太可能是木马.至于生成临时文件也许是该软件直接采取了某个控件的原因.至于syscheck可以看到服务名是mchlnjDrv,不知是否对应的是该软件,如果是可能是该软件的启动方式.不过也有绿色版的,比如:
http://www.xdowns.com/soft/8/19/2006/Soft_33370.html
你可以先卸载原软件，看该服务是否随同卸载以判明是否真的需要这么一个服务．或者卸载后用绿色版的试试是否有相同的状况以判明你当前所用的版本是否有问题．

pppp1234 · 发表于 2006-10-22 23:08:58

webpagemon可以随Maxthon自动启动正常，但关闭Maxthon时，webpagemon无法关闭，就是关闭了其进程还在。
外部工具栏中所有工具都被阻止。

我用的网页木马客星是绿色版，在google上查mchlnjDrv驱动是木马，这个驱动可能是网页木马客星临时生成的,因为有时能看到此驱动，有时看不到，但我相信与它有关，因为平时看不到这个服务，但网页木马客星运行后，有时就能发现。每次生成MC21.TMP后，又将其删除，但在服务管理里能看到。
建议您也试一下网页木马客星，它也帮我挡了几个网页木马

[ 本帖最后由 pppp1234 于 2006-10-22 11:28 PM 编辑 ]

wang6071 · 发表于 2006-10-22 23:45:00

原帖由 pppp1234 于 2006-10-22 11:08 PM 发表
webpagemon可以随Maxthon自动启动正常，但关闭Maxthon时，webpagemon无法关闭，就是关闭了其进程还在。
外部工具栏中所有工具都被阻止。

我用的网页木马客星是绿色版，在google上查mchlnjDrv驱动是木马，这个 ...

明白了你的意思了,你是让webpagemon随Maxthon自动启动,这当然没问题,但关闭webpagemon普通的关闭已被偶改到最小化了,且有退出确认,所以Maxthon不能关闭它.解决办法是先于Maxthon启动，就设成开机启动吧，占不了多少资源的。

外部工具栏的问题已经修正,不屏蔽浏览器本身对%windir%下的调用即可。也就是说Ms的工具作为外部工具不会再屏蔽了。应该也够了，难得用在Maxthon的选单下用外部工具，不如Ms的快捷工具栏方便。

对输出木马进程阻止信息可允许双击该条直接定位到该文件。

yht · 发表于 2006-10-23 00:18:52

如图:我是在某论坛上传附件时发现的,这个verclsid.exe进程似乎是微软的补丁呵!------Windows 资源管理器中的漏洞可能允许远程执行代码 (908531)!

pppp1234 · 发表于 2006-10-23 09:28:27

新版新bug,如图，win2000
还想建议一下，阻止提示，我的Maxthon外部工具栏有下载，邮件工具等，很方便，能不能设一选项，阻止进程时提示，喜欢就选上，不喜欢就不选。
此工具对注册表进行保护吗？

戏耍 · 发表于 2006-10-23 23:10:55

webpagemon把BT种子也阻止掉了不知道是不是BUG。。。

wang6071 · 发表于 2006-10-24 01:39:48

webpagemon 1.04 版新特性如下:
加入用户配置文件,当使用到自我设置时会自动生成相关配置.

现在可以在下面的列表框中右键直接手动添加待监测的网页浏览程序。

默认情况下将对所有截获的浏览器创建进程弹出提示报告，你可以在弹出窗口中将你认可的程序加入到信任列表中,这样下次就不会再弹出窗口了。信任列表不在界面上列出，查看或手动修改可以打开MyMonCfg.ini手动操作。

建议不要过多添加信任列表,而使用弹出提示时动态添加使用到的进程(比如你的某个下载软件,你的某个Email软件被阻止了后再添加它,选择"总是允许,不再提示"会自动帮您添加的),这样针对性强保护更好.

配置正常后可取消“截获可疑操作时提示”选框，这样可以更畅通无阻地浏览使用。

[ 本帖最后由 wang6071 于 2006-10-25 07:40 AM 编辑 ]

yht · 发表于 2006-10-24 02:04:02

我下载了!已是凌晨1.50啦!!wang辛苦了!这个时间段发布Webpaghmon1.04.可想而知您的劳作与苦心呵!致敬!.....................

wang6071 · 发表于 2006-10-24 02:26:22

突然想起有一个小bug,passfile加入了确没有应用设置,修正一下.

[ 本帖最后由 wang6071 于 2006-10-25 07:40 AM 编辑 ]

pppp1234 · 发表于 2006-10-24 08:14:47

win2000 Maxthon下启动外部工具出错，maxthon 和 webpagemon同时关闭。
1.启动外部程序时wpm出错。
2.出错时让wpm最小化时的提示。

[ 本帖最后由 pppp1234 于 2006-10-24 08:18 AM 编辑 ]

250662772 · 发表于 2006-10-24 08:54:26

刚才试了个有木马的网站，但是弹出个对话框。这是有毒的网站http://myqq123.512j.com/mm/mm.htm

以前那个版本能检测出来。

[ 本帖最后由 250662772 于 2006-10-24 08:58 AM 编辑 ]

wang6071 · 发表于 2006-10-24 12:37:49

上一版测试前已生成了配置文件,所以未注意到没有配置文件时出错的情况,这次更正它.

Webpaghmon(1.04)修正2.rar 0.3MB ,文件夹名字不小心写错了,就不更正了.(不影响使用,解压后自已改一下名字).

下图所示为可疑操作时弹出的截获对话窗.如不选择15S后自动选择阻止.

[ 本帖最后由 wang6071 于 2006-10-25 07:39 AM 编辑 ]

250662772 · 发表于 2006-10-24 13:37:39

对输出木马进程阻止信息可允许双击该条直接定位到该文件

新版的怎么没有这个功能了呢？(有时候可以用有时候不能用）

不过发现个新问题关闭之后再运行软件就会出错，有时候没问题，有时候会出现。

[ 本帖最后由 250662772 于 2006-10-24 02:38 PM 编辑 ]

pppp1234 · 发表于 2006-10-24 14:08:17

如果有配置文件存在，运行新版就会出错，删除配置文件才行。
还有在win2000下，看不到进行名，不知道阻止的是什么，见本次和上次贴图
老大所有软件大概都是在系统小字体下编的吧，在系统是大字体情况下，显示不是很完整，包括syscheck,sysshield。如图

大bug，如果选择允许当次进程，以后所有进程都放行。在win2000下测试.

[PassFile]
0=
可能是我的系统没记录阻止的进程名。

[ 本帖最后由 pppp1234 于 2006-10-24 02:42 PM 编辑 ]

wang6071 · 发表于 2006-10-24 21:58:31

webpagemon1.05版:
  解决上一版在有设置文件时出现错误的BUG。
  解决在win2000下显示截获为空的问题。
  解决在大字体显示方式下界面不协调的问题。

---------------------------------
感谢pppp1234 的测试,上个版本修改得急躁了点,请试试新版看还有没有类似现象.

[ 本帖最后由 wang6071 于 2006-10-25 07:39 AM 编辑 ]

pppp1234 · 发表于 2006-10-24 23:23:09

设置文件好像还有问题，只能记录第一个，这回是winxpsp2
[PassFile]
0=d:\program files\maxthon\utility\iehistory\iehistory.exe
1=
2=
3=

[ 本帖最后由 pppp1234 于 2006-10-24 11:40 PM 编辑 ]

wang6071 · 发表于 2006-10-24 23:56:45

原帖由 pppp1234 于 2006-10-24 11:23 PM 发表
设置文件好像还有问题，只能记录第一个，这回是winxpsp2

0=d:\program files\maxthon\utility\iehistory\iehistory.exe
1=
2=
3=

将一个过程改写为通用函数中漏改了一处所致.现在修正
1.05修正版:
  修正1.05版只能保存一个用户设置的BUG。
  对设置中可能出现的空项载入写入时均加入判断。
  对选择了总是允许执行，不再提示后却点击阻止按钮的行为作出提示。

(顺便说一句,这个程序其实可以不只监测浏览器进程,也可以用来监测打包的安装文件创建进程操作,也就是说,如果该安装包调用了其释放的木马文件并试图执行时,该监测程序应该也可监测到,当然,先决条件是先将安装包在列表右键中添加到监测中.可以用来检测一下带捆绑恶意插件的安装包．

最简单的测试是你先将winrar加入到监测程序中,再用winrar直接执行压缩包内的可执行程序,立即可以看到截获对话框.测试完后再在列表中删除winrar，以避免以后操作上的不方便．
)

1.06版:
  更正上一版调整后允许按钮失效的BUG。

[ 本帖最后由 wang6071 于 2006-10-25 12:33 AM 编辑 ]

yht · 发表于 2006-10-25 00:48:46

Webpagemon1.06主界面的版本号似乎还是1.05呵!不算什么问题!不改也行..........

[ 本帖最后由 yht 于 2006-10-25 12:51 AM 编辑 ]

gs971wd · 发表于 2006-10-25 08:36:23

和Maxthon一起启动和关闭还有问题,在Maxthon外部工具中设置好后,第一次启动没问题,但Maxthon关闭后再启动时,则不会一起启动.

pppp1234 · 发表于 2006-10-25 11:54:20

前几楼提供的带木马网页，我裸奔浏览，怎么没中标。是不是系统补丁打全就比较安全。看了网页的源代码，是在当前用户临时目录下生产木马文件，然后运行。

askai · 发表于 2006-10-26 00:40:05

最好找个带维金病毒的网站.
星期日只开安全盾,没开我的杀软监控
中了维金病毒,把我整的够呛,全盘都中了,CHOST C也不行了
据说要全盘格了才能杀干净,天.........
希望这个东西能防维金这种BT病毒
顺便问一下如何妥善处理除C盘外受维金感染的EXE文件
实在不想全盘格

wang6071 · 发表于 2006-10-26 01:06:43

原帖由 askai 于 2006-10-26 12:40 AM 发表
最好找个带维金病毒的网站.
星期日只开安全盾,没开我的杀软监控
中了维金病毒,把我整的够呛,全盘都中了,CHOST C也不行了
据说要全盘格了才能杀干净,天.........
希望这个东西能防维金这种BT病毒
顺便问一下如 ...

前段时间顺手下载的威金专杀工具包,据说效好较好,没机会试,你可以试一试.

如果效果不好还可到各大杀软论坛下载所出的专杀.(不过我试过瑞星的好象不行,江民的就没再试了).

另外,如果你是开着安全盾中的,应该危害不大,我清过一台安装安全盾后中威金的电脑,中毒时间超过2个星期,未发现大感染,仅仅是winrar被破坏了,用syscheck清理手动病毒后(一定要使用一次以上删除可疑文件功能!一定要使用搜索功能查看删除一下系统盘最近的新文件,如_desktop.ini等),重装winrar完全恢复正常了.

你ghost回来之所以重复感染是各盘已经生成了自运行autorun.inf,所以你得先用syscheck的删除可疑文件功能删除掉各盘的autorun.inf及相关的病毒进程.至于是否手动清理系统盘还是ghost回来备份,视你资料的重要性和所花时间是否成正比而定.

所以用完专杀也最好用一次syscheck的删除可疑文件功能.

另外,你的安全盾版本好象在1.4以下,请注意升级.(http://wangsea.ys168.com)下载1.4版本
你还可以打上WindowsXP-KB917537-x86-CHS补丁预防威金.

[ 本帖最后由 wang6071 于 2006-10-26 01:32 AM 编辑 ]

chunz · 发表于 2006-10-26 02:08:57

老大，我2003系统，打开信任安装后恢复出现这个错误是什么原因？还有随系统启动后也出现！谢谢！

		自动登录	找回密码
密码			注册