[sysshield]系统安全盾

yllg · 发表于 2006-11-3 16:33:17

谢谢ｌｅ

Phexon · 发表于 2006-11-4 08:16:25

此帖我编辑了，如有疑问，请Phexon 你发信息给我。——6618

[ 本帖最后由 6618 于 2006-11-4 07:01 PM 编辑 ]

emca · 发表于 2006-11-5 20:52:09

哈哈，给 WangSea 兄弟顶帖，顺便把我以前做的免疫流氓病毒的、经 Phonex新近花费大量精力修正过的 RogueDead.exe 贴上来共享！
一个压缩包，里面的特征已经更新，同时修正了空格目录免疫失效的问题！

免疫原理是目录占位加权限限制，因此出现一些0字节空目录并不能打开的属于正常现象。因此不喜欢的不要用也不要就出现的目录问题多嘴。

经我几个月给大量菜鸟的使用实践，证明目录免疫仍然是目前对付流氓病毒最有效的方法，无论是在线安装还是捆绑都极其有效！不用内存驻留程序，不存在关闭监视后失效，不会与正常应用冲突。因此看上去最笨的办法却成为最有效的办法，哈哈！

[ 本帖最后由 emca 于 2006-11-5 09:53 PM 编辑 ]

zxyzxhzxm · 发表于 2006-11-5 22:04:44

谢谢了啊，楼主真厉害啊

Phexon · 发表于 2006-11-5 23:23:21

原帖由 Phexon 于 2006-11-4 08:16 AM 发表
此帖我编辑了，如有疑问，请Phexon 你发信息给我。——6618

晕啊。
不明白了。

Phexon · 发表于 2006-11-5 23:25:22

原帖由 emca 于 2006-11-5 08:52 PM 发表
哈哈，给 WangSea 兄弟顶帖，顺便把我以前做的免疫流氓病毒的、经 Phonex新近花费大量精力修正过的 RogueDead.exe 贴上来共享！
一个压缩包，里面的特征已经更新，同时修正了空格目录免疫失效的问题！

免疫原 ...

红叶。你把名字搞错了。:( Not Phonex。

emca · 发表于 2006-11-6 07:53:37

你那个名字金山词霸查不出来，不小心顺手就又错了，Sorry！！！！！！1

uime · 发表于 2006-11-6 10:21:30

建议系统安全盾在监视的时候可以锁定某些文件，比如网站主页

gs971wd · 发表于 2006-11-6 11:22:47

用安全盾一段时间了,没发现中流氓软件的症状,可今天用恶意软件清理助手扫描了一下机子,发现注册表中好多信息.。

建议：对注册表的监控，是否可进一步加强，不允许随意写注册表？

gs971wd · 发表于 2006-11-6 14:49:27

如今流氓软件比比皆是，但无论如何，不能写注册表，不能往硬盘上写东西，再厉害的也发挥不出作用。

戏耍 · 发表于 2006-11-6 16:50:58

原帖由 gs971wd 于 2006-11-6 11:22 AM 发表
用安全盾一段时间了,没发现中流氓软件的症状,可今天用恶意软件清理助手扫描了一下机子,发现注册表中好多信息.。

建议：对注册表的监控，是否可进一步加强，不允许随意写注册表？

安全盾对任何写入注册表都有监控啊...
除非你自己安装其它东东带入的吧

wang6071 · 发表于 2006-11-6 22:16:25

原帖由 gs971wd 于 2006-11-6 11:22 AM 发表
用安全盾一段时间了,没发现中流氓软件的症状,可今天用恶意软件清理助手扫描了一下机子,发现注册表中好多信息.。
建议：对注册表的监控，是否可进一步加强，不允许随意写注册表？

完全不写注册表是行不通的,你用Regmon监视一下就会发现每一个小动作都会引起注册表的一大串写入.
安全盾的注册表监控仅是阻止流氓木马软件的关键启动地方,使其无法生效.但对于它们写入其它的安装键值是不会阻止的.所以你用恶意软件清理助手能够扫描到这些被安全盾后台已阻止的流氓程序的残余键值．
保留这些残余键值也没什么不好，就好象打免疫补丁一样，有些流氓检测到这些残余键值后会误认为已安装．．．．

－－－－－－－－－－－－－－－－－－－－－－－－－－－
安全盾1.43更新说明:

1:设定用户密码后无密码只能查看日志,输入一次密码可以打开任意页面，
  在程序未最小化前都有效。最小化再恢复界面后，查看其它页仍需输入密码。

2:加入了浏览器网页过滤，网页过滤需检测到你的浏览器才起作用，如果未检测
  到请在监控设置页中手动添加(可以直接拖放浏览器程序或它在桌面上的快捷方
  式)。网页过滤中的信任列表不允许在设置页面乱加，当网页过滤弹出窗口时才
  可以添加，但删除已有的信任项是允许的(信任项建议在不影响使用的情况下越
  少越好,以防木马调用正常程序加载)。

  建议先打开你的浏览器上网，试用一下你的bt下载等软件，在弹出阻止窗口时
  先将它加入信任列表。另外，弹出阻止窗加了被阻止的图标，双击显示的路径
  可以定位到被阻止的程序，也可据此决定是否加入信任列表。


3:文件监控页中加入了一项目录黑名单功能，进入该黑名单的目录无论在安全盾
  的哪种状态下均会在后台阻止其创建。当然，在日志中是有输出的。目录黑名
  单采用模糊匹配方式，格式为 \目录名\ ,请注意不要带盘符。
  几种状态下建立黑名单目录不会被阻止，也就是说这个功能只针对安装程序创建
  有效。请大家不要求全，说不定哪天流氓软件会采用动态创建目录名，这个功能
  只针对不算太流氓的打包软件安装。

4:具体使用中如果网页过滤有效的话应可阻挡绝大部份的网页木马及未通知的插件
  安装，安装程序时注意使用一下"不信任程序安装"模式，应可起到很好的防御效果。

[ 本帖最后由 wang6071 于 2006-11-7 01:07 AM 编辑 ]

wang6071 · 发表于 2006-11-6 22:51:32

syscheck(1.0.0.50)
这个版本偶感觉不太满意,加入了签名认证后速度大受影响。尽管偶做了一些优化，第二次更出或刷新时不会现有迟缓现象，但验证文件签名的速度确实是太慢了。
也许将在下一版去掉这个功能。因为该功能autorun来实现得已经很好，直接用它算啦。

gdlgh · 发表于 2006-11-6 23:03:20

请红叶兄评测1.43版，个人认为此次升级意义重大。

zytlinux · 发表于 2006-11-6 23:27:40

今天碰到一个木马，只要开了syscheck,sreng,等，系统马上关闭，而且程序也会被删除，由于是客户的机子，没有时间来研究，只好重新安装了事

emca · 发表于 2006-11-7 06:36:22

Syscheck 新版本使用感受：

1、进程模块的简洁显示非常方便查看模块信息，再一次证明 Syscheck 以用户为本的理念，这是其他工具远远不能企及的！
2、签名验证在我的笔记本上只比平时稍慢，数秒后即可显示所有进程，但准确率大幅度提高，值得使用；
3、服务管理页面，如果也改成默认只显示非微软服务，则操作时就少一个步骤，更加方便，请考虑；
4、上一版本中发现无法检测灰鸽子进程，明明在Windows的任务管理器中有一个iexplorer.exe的进程（无IE窗口），但Syscheck就是不能显示。不知道为什么任务管理器能够显示而Syscheck反而不能显示。条件限制没有采样。

pppp1234 · 发表于 2006-11-7 08:15:51

Syscheck签名验证太慢。
个人感觉syscheck不是给一般用户使用的，因为要做一些判断，需要经验，所以签名验证实用意义不大，影响速度倒很大。如果要加入，能不能设一个选项，默认不打开。

sunkist · 发表于 2006-11-7 08:28:18

多谢Wang兄。。升级完毕后都正常。。。。

hntn · 发表于 2006-11-7 10:51:08

原帖由 pppp1234 于 2006-11-7 08:15 AM 发表
Syscheck签名验证太慢。
个人感觉syscheck不是给一般用户使用的，因为要做一些判断，需要经验，所以签名验证实用意义不大，影响速度倒很大。如果要加入，能不能设一个选项，默认不打开。

namejm · 发表于 2006-11-7 12:50:06

　　签名认证栏目中，“未通过”能否用醒目的颜色标出？感觉这个应该和可疑进程用红色标注的做法一脉相承。

pppp1234 · 发表于 2006-11-7 15:37:08

E我没监视啊！
bin是哪个盘？

下面是什么意思
C:\WINNT\PIF\COMMAND.PIF 2006-11-07 15:10:00
C:\uniextract.txt 延时删除2006-11-07 15:15:45

[ 本帖最后由 pppp1234 于 2006-11-7 03:43 PM 编辑 ]

紫狐 · 发表于 2006-11-7 17:04:03

我觉得签名验证还是需要的。上次就碰过一台机器的木马伪装成微软的文件。还好我习惯只显示微软服务查完后再显示全部服务才查出来。

还有一个就是syscheck的进程中断能力还是太差，多次在中断进程或者模块后资源管理器崩溃，syscheck也跟着退出，最后使用冰刃把进程中断的。

[ 本帖最后由紫狐于 2006-11-7 05:18 PM 编辑 ]

6618 · 发表于 2006-11-7 18:01:38

原帖由 pppp1234 于 2006-11-7 08:15 AM 发表
Syscheck签名验证太慢。
个人感觉syscheck不是给一般用户使用的，因为要做一些判断，需要经验，所以签名验证实用意义不大，影响速度倒很大。如果要加入，能不能设一个选项，默认不打开。

在我的机子测试了新版，也许是配置比较高的故，只慢了一点点，不过我赞同“如果要加入，能不能设一个选项，默认不打开？”

sck · 发表于 2006-11-7 19:02:17

Syscheck 打开进程的速度太慢了。在打开进程时，如果退出程序，出现这个问题，不过按确定后能正常退出。

xdg3669 · 发表于 2006-11-7 19:03:28

原帖由 6618 于 2006-11-7 06:01 PM 发表

在我的机子测试了新版，也许是配置比较高的故，只慢了一点点，不过我赞同“如果要加入，能不能设一个选项，默认不打开？”

我认为还是从优化入手！提高速度！

zwww1967 · 发表于 2006-11-7 19:58:31

原帖由 pppp1234 于 2006-11-7 03:37 PM 发表
E我没监视啊！
bin是哪个盘？

下面是什么意思
C:\WINNT\PIF\COMMAND.PIF 2006-11-07 15:10:00
C:\uniextract.txt 延时删除2006-11-07 15:15:45

zwww1967 · 发表于 2006-11-7 20:52:16

文件监控页中加入了一项目录黑名单功能,我是空白的,没有目录黑名单????

bassay · 发表于 2006-11-7 21:00:42

感觉不错，Syscheck签名验证还是需要的，慢一点可以接受，如果设一个选项设置是否打开就更好了！

wang6071 · 发表于 2006-11-7 21:48:02

安全盾1.44更新说明:
1:解决在黑名单目录监控中可能出现的误判。
2:解决已设置为自定义目录监视但每次启动均显示为黑名单监控的误显。

下面这个压缩包仅是安装了1.43版安全盾的升级包,完整版本请到偶的空间下载.

zwww1967 :不知你是否重调了设置,到http://wangsea.ys168.com下载完整版重新安装吧.
设置黑名单目录在监控设置-->文件监控-->右下角选择目录黑名单

---------------------------------------------
关于认证慢是因为Ms的这个函数本身就慢,要解决可能不太容易.
退出syscheck(1.0.0.50)出错是因为认证未完成就退出造成的,这个版本仅是完成认证这个功能,未作容错处理.
关于灰鸽子1.23的隐藏进程已经可以检测了,下一版提供.

[ 本帖最后由 wang6071 于 2006-11-7 09:52 PM 编辑 ]

askai · 发表于 2006-11-7 22:16:26

不知怎么,在我2000系统中,安全盾1.43...1.44全部失效
安装后就像没有装一样,不能阻止任何文件创建

		自动登录	找回密码
密码			注册

[sysshield]系统安全盾

:)