[sysshield]系统安全盾

wang6071

syscheck(1.0.0.52)
  上一版用线程来检测签名验证还是不太稳定,这次单独将验证分离出来做个选框让需要的人选择使用,且将取签名的过程做到主进程中,要完成才显示,这样避免了刷新未完出错的问题。当然，随之而来是使用这功能可能要让后你等上2-3分钟左右。

-----------------------------------------------------
xubo1971 还知道中招的那个网页吧?如果安全顿1.45网页监视(当然,前提是浏览器设置正确)不能阻止,请告诉我网页,我来测试.

zzzzzzzzzzz

52版列出进程、模块和服务的速度都有大幅提升。
联网验证有了开关和进度，非常好。
对于某些挂钩ZwOpenProcess和ZwOpenThread的变态程序（AVP，IS等），有一篇文章曾经提到可以去csrss进程里去搜索Descriptor等相关信息。
http://syssafety.com/download/spt.exe?pid=141
Simple process termination leaktest 演示了这种方法（也就是它说的“强制打开进程”）
它还有十多种在Ring3下折磨其它进程致死的方法。

红蓝相间

wang大哥，我有一点建议不知当讲不当讲，你的安全盾的窗体控件，我建议改一下，它们好像不是Windows的标准控体，使用起来不太方便，
1.你下面的列表框，就是不可以排序。。。（我个人认为，如果可以排序，就可以把相同路径的或想同名字的在一起，对比容易多了）
2.我的1.45在使用中，怎么没发现你们说的注册表锁定/监控启动项呢？

[ 本帖最后由 红蓝相间 于 2006-11-11 01:37 PM 编辑 ]

zwww1967

[quote]原帖由 红蓝相间 于 2006-11-11 01:32 PM 发表
我的1.45在使用中，怎么没发现你们说的注册表锁定/监控启动项呢？

wang6071

注册表监视功能是内置的,直接阻止了可能的木马启动项,没有提示,没有拦截记录,主要是方便一般的电脑用户,这类用户根本不知道如何应对这些陌生的提示.

仅程序在写Run*项目时,会弹出确认框提示用户有程序试图加载到开机启动中.类似的确定提示在"不信任安装模式下"也会提示.具体内容可于偶的空间(http://wangsea.ys168.com)下载 安全盾说明.rar ,这个帮助是chm格式的,有图示例.

------------------------------------------------------
关于进程列表显示不排序不是做不到,是有意这么做的,这样你可以用 进程列表中的安全盾进程为分界线,直接找到新进入的病毒或木马进程.

[ 本帖最后由 wang6071 于 2006-11-11 04:14 PM 编辑 ]

zwww1967

喜欢wang兄待人的谦和，表示对wang兄赞赏！

xubo1971

回wang6071:
    我上网习惯于同时打开若干窗口，在浏览器的不同窗口下切换，因此已经无法获知中招的那个网页了。抱歉 !

6618

反馈一下：52版在我的机子中测试正常，如果使用MS验证如WANGSEA兄所言，要2分钟左右，50版在我的机子中，则快很多，15秒内完成——我的是PD805双核CUP，1G的内存，没装杀软，只有16个进程，不知是否与此有关。

[ 本帖最后由 6618 于 2006-11-11 06:28 PM 编辑 ]

xdg3669

确实1.52版速度好像慢了！特别是MS验证项，感觉没有1.51版快！

wang6071

不是慢了,是一次性校验完进程,模块,服务的所有文件,以后各页切换速度很快.

而1.50版是用到哪里校验到哪里,1.51版是后台用线程校验,显示时未校完的需下次显示才可能校验完.1.50及1.51可能存在的问题是因校验影响到刷新速度,在未刷新完退出可能syscheck要出错.

校验的总时间是一样的,不过感觉不一样而已.仔细体会一下校验完后的显示速度就知道1.52并不慢.

小木头

比较了一下1.51和1.52确实如王兄所说：1.52是一次验证完全部进程服务后可以直接在进程服务页面切换不用再等待验证．1.51则进程验证完再转转服务管理页面后还要等待服务验证．　

zzzzzzzzzzz

服务管理还是有些小BUG

---------------------------
Syscheck2
---------------------------
Access violation at address 00480234 in module 'Syscheck2.exe'. Read of address 00000024.
---------------------------
确定   
---------------------------

但可以继续运行

红蓝相间

原帖由 wang6071 于 2006-11-11 16:11 发表
注册表监视功能是内置的,直接阻止了可能的木马启动项,没有提示,没有拦截记录,主要是方便一般的电脑用户,这类用户根本不知道如何应对这些陌生的提示.

仅程序在写Run*项目时,会弹出确认框提示用户有程序试图加载 ...

wang兄你好：
1.  今晚上突然想到了,一个文件运行锁定的情况.起床开机试了一下：果然,我锁定C:\后,右击C:\下空白,新建一个空白新文件,马上被删掉了,新建一个WORD文件，也马上被删掉了。接下来我打开WORD，直接保存一个空文件在C:\名为“DOC1.DOC”，回头看一下，没有被删掉（因为WORD有锁定正开启的文件的功能），等一会----还在。打开安全盾发现有写一行：“C:\DOC1.doc 延时删除……”。我干脆关掉WORD，回头一看还在。重启安全盾以后索性那一行：“C:\DOC1.doc 延时删除……”也不见了。我的DOC1.doc还在好好的放在那里……
这种情况并不少见，我就常遇到将U盘插入电脑后，中毒、然后在各个分区下复制复本。病毒程式在执行，无法删掉，试想如果一个病毒程式复制到目的地后马上运行（事实上病毒程式都较小，完全可以做到），那不是怎么也不能删掉了？
2.  再有你说的那个列表如果只是为了看时间先后，再做上一个/* CPU 时间 */ 列不就好了吗，这样更灵活嘛。
3.  再有就是双击系统栏图标后，安全盾的窗口有弹出，但不能自动切换为当前窗口，不知是不是wang大哥有意设定的？

红蓝相间

原帖由 flyingsand 于 2006-11-9 19:09 发表
杀安全盾的方法：
调出任务管理器，把安全盾切换到前台，这时在任务管理器应用程序列表里能看到安全盾在运行，重复点选它按结束任务直到杀死安全盾为止，一般两三次就行了。望修正。
我是装了红叶盘里能显示进程 ...

翻看了一下之前的：我的XP SP2，升级过的进程管理器。与flyingsand 的一样，安全盾结束点两次就死了。

wang6071

原帖由 红蓝相间 于 2006-11-12 02:49 AM 发表

wang兄你好：
1.  今晚上突然想到了,一个文件运行锁定的情况.起床开机试了一下：果然,我锁定C:\后,右击C:\下空白,新建一个空白新文件,马上被删掉了,新建一个WORD文件，也马上被删掉了。接下来我打开WORD，直接 ...

-------------------------------------------------------------------------
什么是延时删除？延时删除是重启机算机后删除，也就是说一时被锁定无法删除的文件是放到重启计算机后删除中处理的。

安全盾不只是监视文件，注册表部份同样也是监视的，即使程序复制到其它地方，它也没办法加到启动项中，重启后如何运行?

另外，如果程序先自我锁定，再复制到安全盾的监视目录中，则锁定的部分一时无法删除，但其复制的部分可以被删除。

解锁其实也做得到，用syscheck中的解锁功能就能解锁，但考虑执行效率问题，所以安全盾没有加入解锁功能，因为上面功能已经可以解决了木马加载的问题。

关于可以在任务管理器中杀安全盾的那个方法，在新版1.46(还在改动中)已经解决。

关于进程列表不排序偶觉得没什么不便（最多也就20来个进程，一眼就可看完，何必排序），没必要做得和任务管理器一样。

关于3是与使用密码配合的需要。另外，使用密码仅是避免菜鸟乱改设置用的，勤快点可以找到设定的密码。

--------------------------------------------------------------------------------------------
to zzzzzzzzzzz:
   请描述一下具体是哪个执行步骤会发生错误，可以重现吗？也许你机器上某个注册表键保护造成的，用一下syscheck 1.0.0.49版，看是否有同样的问题。

[ 本帖最后由 wang6071 于 2006-11-12 08:46 AM 编辑 ]

zzzzzzzzzzz

to zzzzzzzzzzz:     请描述一下具体是哪个执行步骤会发生错误，可以重现吗？也许你机器上某个注册表键保护造成的，用一下syscheck 1.0.0.49版，看是否有同样的问题。

这是可以在49-52版（其它版本没试过）重现的，选择显示所有服务，等显示完后选择显示非MS服务，会有一定概率出现。
52版已经有一些改进，以前的版本还会出现其它错误。
测试环境：Windows 2000 Server SP4 + Rollup 1 + System Safety Monitor Free（SSDT表已恢复，所以基本上没用了）

wang6071

syscheck(1.0.0.53)
  再次改进签名验证为线程方式，使其可以在验证未完成前工作于其它方式下。验证未结束关闭程序在测试中未出现错误，但未做更多测试，各位可以试试。   
  另外，为避免出现服务页面刷新未完选择其它功能，改为必须刷新完才能选择其它功能，避免出现一个错误提示。(楼上zzzzzzzzzzz 提到的就是反复快速在显示全部与显示非ms功能间切换形成的)

小木头

试了试1.53版的．总体来说syscheck的签名验证都太占用系统资源了！在我的老机器上签名验证时CPU占用在90%以上．

[ 本帖最后由 小木头 于 2006-11-12 04:11 PM 编辑 ]

xdg3669

原帖由 wang6071 于 2006-11-12 01:08 PM 发表
syscheck(1.0.0.53)
  再次改进签名验证为线程方式，使其可以在验证未完成前工作于其它方式下。验证未结束关闭程序在测试中未出现错误，但未做更多测试，各位可以试试。   
  另外，为避免出现服务页面刷新未完 ...

试用syscheck(1.0.0.53)：

启动syscheck速度与原来差不多（在慢度机上要5～15秒才能打开窗口），但在服务管理的页面打开速度、和显示全部、非微软、使用过滤列表之间切换时速度明显加快（比以前任何版本）。获取微软验证与选择其他页面功能互不干扰，非常好！

红蓝相间

关于进程列表不排序偶觉得没什么不便（最多也就20来个进程，一眼就可看完，何必排序），没必要做得和任务管理器一样。

关于3是与使用密码配合的需要。另外，使用密码仅是避免菜鸟乱改设置用的，勤快点可以找到设定的密码。

针对关于进程列表不排序偶觉得没什么不便（最多也就20来个进程，一眼就可看完，何必排序），没必要做得和任务管理器一样。我以为确实是个人不同的需求问题，wang兄可以看一下我的贴图，哗！一下就有41个进程，对你们来说可能就安装几个编程等等的或者一些绿色用完就关了，但大多数人们都把电脑当做是一个多媒体中心，安装电视卡（我就有装）、红外发射/接收器、蓝牙了等等的；各个程式不同，有的为了方便就来一个Tray开机就加载上，这样使用时就会快也方便很多，这样一来，系统进程就不可能只是20多个了50多个是正常的事。你也应该有子解一个程式可能一下子要加载多个进程，这样5、60个进程不能排序，要找出相同的程式也实在是个问题了……　;P　（我也是个人愚见，也希望Wang兄不要嫌我总在这个无紧要列表上纠缠，我只是认为这样对多数人方便一些而已没有其它意思，加不加的主动权还是在你那里　:D　）
再有就是安全盾，不知是不是我设定不对，C:在　X　X　X　X　X　只监控文件不监控新生成的文件夹（如果新的文件夹名字不在黑名单的话），同样也不监控新文件中新生成的文件，我总不能设成　V　X　X　X　X　吧？这样设C:\下*.*包括字目录都不可以建文件的话，有的程序会报错的（之前我用WINAMP是就是这样，没有测试其它的程式）。也没见日志上有提示什么的：比如你说的延时删除。
Syscheck2有在使用，不错！
以后常关注你们的“进程”，哈哈……

xdg3669

进程的问题还是不能排序！能像现在这样按照加载的先后排列，分析起来是非常方便的！

freesoft00

syscheck 53 试用进程中有些进程的模块信息显示是乱码。
服务管理我选择的是仅显示非微软的。
然后切换到进程中选择使用微软认证，认证完后，再次切换到服务管理 ，现在还是仅显示非微软的，但认证完后显示的是全部服务。只能选择显示全部服务，再次选择仅显示非微软的才正常。

小木头

原帖由 freesoft00 于 2006-11-12 09:33 PM 发表
syscheck 53 试用进程中有些进程的模块信息显示是乱码。
服务管理我选择的是仅显示非微软的。
然后切换到进程中选择使用微软认证，认证完后，再次切换到服务管理 ，现在还是仅显示非微软的，但认证完后显示的是 ...

我的没有显示乱码．其他现象与freesoft00相同　

uime

请红叶兄　王兄帮忙
internet选项功能不完整
xp系统，看我的ie选项，有些功能不能用啊，我用google查了一些方案如下

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
建一个dword值名称为GeneralTab设置为1，就可以隐藏常规页面
1常规页面GeneralTab
2安全页面SecurityTab
3内容页面ContentTab
4连接页面ConnectionsTab
5程序页面ProgramsTab
6高级页面AdvancedTab
这些都象常规页面那样设置就可以了，注意，internet选项关闭再打开就可以实现，设置为0时为显示。

但我用regedt32根本找不到这个分支
用syscheck修复无效　　金山注册表修复器无效　　黄山ie修复无效 重装ie无效　又建立了一个超户的ie设置和这个一样　
下面的两个，一个是组策略里的设置，另一个是internet选项图

感谢各位兄弟的回答
就是将c:\windows\system32中的dll全部regsvr32一遍，也无济无事，看来只有重新ghost了
用sfc /scannow 不行，我用的是ghost版本，没有安装程序

[ 本帖最后由 uime 于 2006-11-13 06:44 PM 编辑 ]

zzzzzzzzzzz

原帖由 uime 于 2006-11-13 10:37 AM 发表
请红叶兄　王兄帮忙
internet选项功能不完整
xp系统，看我的ie选项，有些功能不能用啊，我用google查了一些方案如下

但我用regedt32根本找不到这个分支
用syscheck修复无效　　金山注册表修复器无效　　黄山 ...

找不到分支就自己建立一个新的。如果还是没有用那也许是某些DLL出了问题。把System32目录下的DLL全部注册一遍（用批处理命令），还不行就sfc /scannow

wang6071

syscheck(1.0.0.54)
  更正上一版使用线程验证签名选择后不能还原用户在服务页选择的内容的Bug。
  更正前N版以来因调整兼容性而丢失在内置资源管理器的查看被隐藏的文件的Bug。
  删除了一些无用的重复代码，批量杀进程时感觉上似乎快了一点。

----------------------------------
to   uime :我同意zzzzzzzzzzz 的说法,估计是你前期用什么清理软件时将DLL被反注册掉了.

xdg3669

原帖由 wang6071 于 2006-11-13 12:43 PM 发表
syscheck(1.0.0.54)
  更正上一版使用线程验证签名选择后不能还原用户在服务页选择的内容的Bug。
  更正前N版以来因调整兼容性而丢失在内置资源管理器的查看被隐藏的文件的Bug。
  删除了一些无用的重复代码， ...

下了！多谢。

zzzzzzzzzzz

BUG：
在检测修复-活动文件里的启动脚本项上点右键-定位注册表项
---------------------------
Syscheck2
---------------------------
List index out of bounds (2)
---------------------------
确定   
---------------------------

呵呵~

gs971wd

注册表中HKCU-SOFTWARE-MICROSOFT-WINDOWS NT-CURRENTVERSION-WINDOWS:LOAD
怎么没监控到?

图见附件


另外怎么贴图?

xdg3669

原帖由 zzzzzzzzzzz 于 2006-11-13 02:04 PM 发表
BUG：
在检测修复-活动文件里的启动脚本项上点右键-定位注册表项
---------------------------
Syscheck2
---------------------------
List index out of bounds (2)
---------------------------
确定   ...