[sysshield]系统安全盾

ywcn · 发表于 2007-6-17 15:22:23

flashget下载小文件是不是有bug啊
下了多次都下不了,直接另存为倒是很快就完了

[ 本帖最后由 ywcn 于 2007-6-17 03:28 PM 编辑 ]

sunboyzh · 发表于 2007-6-17 16:11:42

简单的看了一下，wang6071的编程水平真的很不错！！

wang6071 · 发表于 2007-6-18 00:28:52

原帖由 fortunez 于 2007-6-16 07:44 PM 发表
老大可否做一个可以用在PE下的wsyscheck?就是做一个读服务跟注册表等等是目标操作系统的，这样杀毒更容易了。

PE下读写注册表要使用另一系统的hive文件,这方面的资料不多,对hive了解不深,所以无法支持.

Wsyscheck(0618)
修改对Autorun.inf指向文件判定以检测更多的Autorun.inf指向的病毒文件。
添加在驱动加载后，删除及改变服务状态优先使用驱动方法。

changtaitv · 发表于 2007-6-18 01:54:03

随便逛逛，不料抢了个头筹！
老大又是挑灯夜战，令人钦佩......

lmle · 发表于 2007-6-18 10:42:30

关于wsyscheck打开“禁止进程和文件创建”功能后，双击“我的电脑”后，windows外壳explorer.exe会重启（不是电脑重启）的问题，大家有没有遇到过？为什么我测的几台电脑都有这个现象？（测试的电脑有：3台XP2，其中1台上海 g-o-v-e-r-n-m-e-n-t版的，两台是番茄花园的；1台XP1精减版的；1台番茄花园的windows2003)。
主要现象是：打开wsyscheck的“禁止进程和文件创建”，双击桌面上的“我的电脑”、“我的文档”、“网上邻居”、“回收站”、鼠标移到到“开始”菜单的“所有程序”上（只要移上去），这些都会引起重启外壳。但用右键中的“打开”去打开“我的电脑”、“我的文档”、“回收站”却好象不会重启，但“网上邻居”例外，还会重启。
windows的“事件查看器”的“应用程序日志”中有这样的记录（见图）：

namejm · 发表于 2007-6-18 13:12:38

　　确实会发生如 lmle 所说的情况，只是重启外壳一次之后，再用右键打开我的电脑，然后再双击打开我的电脑，却不会再发生外壳重启的事情。我的是番茄花园XP 3.1。

zfqi2003 · 发表于 2007-6-18 16:30:55

一直在用syscheck和系统安全盾的，效果很好，而且小巧、方便！

wang6071 · 发表于 2007-6-18 21:40:20

原帖由 lmle 于 2007-6-18 10:42 AM 发表
关于wsyscheck打开“禁止进程和文件创建”功能后，双击“我的电脑”后，windows外壳explorer.exe会重启（不是电脑重启）的问题，大家有没有遇到过？为什么我测的几台电脑都有这个现象？（测试的电脑有：3台XP2， ...

wsyscheck(0618第四版)

修正在服务页中删除或更改了服务类型后切换到其它页再回来是仍显示先前数据的BUG。（事实上完成更改但显示时将其还原了）

修正服务右键菜单(Auto与Demand屏蔽操作时搞反了)与显示不对应的小BUG。

修正使用驱动操作注册表(服务页,重启删除)在某些机器上引起重启的问题(感觉这些机器的ssdt中的newcode无法获取,所以对这样的机器则只用常规操作)。

修正SSDT页取消全部显示后在某些机器上因无法读newcode而无法简洁显示的问题。

修正SSDT恢复后重新刷新全部显示状态不对应的问题。

修正使用“禁止进程与文件创建”后双击我的电脑在某些机器上引起Explorer重建的问题。通
过对一注入系统进程木马的测试,发现如禁写注册表如木马程序无错误处理会导致系统进程崩
溃,故本版对写注册表操作只做监控而不阻止。

IE检测页加入了Ctrl多选,端口页增加了点击标题条排序。

[ 本帖最后由 wang6071 于 2007-6-18 10:45 PM 编辑 ]

ywcn · 发表于 2007-6-19 10:55:47

更新太快了,跟不上......

woshixiguapi · 发表于 2007-6-19 14:07:45

原帖由 wang6071 于 2007-6-18 12:28 AM 发表

PE下读写注册表要使用另一系统的hive文件,这方面的资料不多,对hive了解不深,所以无法支持.

Wsyscheck(0618)
修改对Autorun.inf指向文件判定以检测更多的Autorun.inf指向的病毒文件。
添加在驱动加载后 ...

还是强烈建议老大做一个PE下的Wsyscheck，虽然有ERD，但是不像Wsyscheck那么好用。

wang6071 · 发表于 2007-6-20 00:04:10

Wsyscheck(0620)更新:

1：自动重设进程页进程区与模块区的比例。
2：活动文件页将常规的启动项显示红色标注出来以方便查看。
3: 服务页不显示自身驱动项避免误以为系统进入了木马。
4: 其它几个页面的小调整（如排序、多选）。
5: 小调整了一下Norun.dll。

[ 本帖最后由 wang6071 于 2007-6-20 01:00 AM 编辑 ]

yht · 发表于 2007-6-20 00:11:07

更新!谢谢!:lol

queyao · 发表于 2007-6-22 13:42:04

帖子沉得好快啊，顶一下，让更多朋友看到

zwww1967 · 发表于 2007-6-22 21:28:12

一直在用syscheck和系统安全盾的，效果很好，而且小巧、方便！

wang6071 · 发表于 2007-6-22 22:12:06

Wsyscheck(0622)
修正活动文件页、清理Autorun.inf在某些机器上弹出无法读驱动器提示的问题。
修正上一版调整活动文件页红色显示常规启动项后某些非红色项无法修复的BUG。
修正某些机器上程序启动后最大化再进入服务页后标题条不显示的BUG。

123 · 发表于 2007-6-23 12:37:50

请教一下，那个任务管理器里结束进程时提示“拒绝访问”是什么实现的？

wang6071 · 发表于 2007-6-23 23:27:52

原帖由 123 于 2007-6-23 12:37 PM 发表
请教一下，那个任务管理器里结束进程时提示“拒绝访问”是什么实现的？

驱动中HOOK ZwOpenProcess

雨中送客 · 发表于 2007-6-24 07:05:25

这个和那个 ssm 哪个好呢

xubinfly · 发表于 2007-6-24 08:14:35

这个和ssm是一个概念吗?晕

wang6071 · 发表于 2007-6-24 09:59:50

wsyscheck(0624):
修正对于某些较慢的机器一启动软件就取消“模块简浩显示”软件出错的BUG。
本版开始驱动加载情况下各页中的删除功能具有强删除效果。

zzzzzzzzzzz · 发表于 2007-6-24 11:26:09

随便开了一个普通程序，在文件管理器里面使用删除文件，失败，直接删除文件（？），无反应。
不知是不是我使用了NTFS文件系统的原因。

[ 本帖最后由 zzzzzzzzzzz 于 2007-6-24 11:27 AM 编辑 ]

wang6071 · 发表于 2007-6-24 12:00:01

原帖由 zzzzzzzzzzz 于 2007-6-24 11:26 AM 发表
随便开了一个普通程序，在文件管理器里面使用删除文件，失败，直接删除文件（？），无反应。
不知是不是我使用了NTFS文件系统的原因。

首先驱动得加载(不加载使用常规删除,无法删除运行中的文件),文件管理页要使用直接删除,直接删除后运行中的文件仍在运行,但文件已经被删除了。Fat32可以直接观察到文件已被删除，NTFS我这里系统区都不是NTFS(非统区的NTFS可以观察到),不知道是否可以直接观察到,但被删除程序关闭后(或重启后)可以看到文件已经不在了。

zzzzzzzzzzz · 发表于 2007-6-25 13:06:43

原帖由 wang6071 于 2007-6-24 12:00 PM 发表

首先驱动得加载(不加载使用常规删除,无法删除运行中的文件),文件管理页要使用直接删除,直接删除后运行中的文件仍在运行,但文件已经被删除了。Fat32可以直接观察到文件已被删除，NTFS我这里系统区都不是NTFS ...

刚刚又试了一次。
驱动正常加载。使用“直接删除文件”删除一个正运行在 NTFS 上的小程序（未受任何保护），刷新一下文件仍然存在，资源管理器中也可见。关闭程序并等待5秒，未见变化。试着重新运行此程序，仍可正常运行。

环境：Windows XP Professional SP2 中文版。所有分区均为 NTFS。

wang6071 · 发表于 2007-6-25 18:54:27

原帖由 zzzzzzzzzzz 于 2007-6-25 01:06 PM 发表

刚刚又试了一次。
驱动正常加载。使用“直接删除文件”删除一个正运行在 NTFS 上的小程序（未受任何保护），刷新一下文件仍然存在，资源管理器中也可见。关闭程序并等待5秒，未见变化。试着重新运行此程序， ...

检查了一下代码,发现有一个小失误造成代码在NTFS主分区上总是执行不到.

Wsyscheck(20060625)
修正在校验微软文件时中途退出时出现一个错误提示的BUG。
界面修正一个小BUG,调整在SSDT恢复中无需恢复项上选择时弹出菜单的对应恢复项为灰。
端口查看页在无法获取pid的命令行时取其路径显示。
修改SSDT恢复的语句，看是否能更好地兼容不同的系统。
修正在NTFS环境下强删除无效的BUG(有NTFS系统分区的测试一下)。

zzzzzzzzzzz · 发表于 2007-6-25 21:26:04

原帖由 wang6071 于 2007-6-25 06:54 PM 发表

检查了一下代码,发现有一个小失误造成代码在NTFS主分区上总是执行不到.

Wsyscheck(20060625)
修正在校验微软文件时中途退出时出现一个错误提示的BUG。
界面修正一个小BUG,调整在SSDT恢复中无需恢复项 ...

NTFS下强制删除成功。

4401 · 发表于 2007-6-26 16:03:27

看到安全盾升级了，有没有什么详细点的介绍吗？

zaihu8641 · 发表于 2007-6-26 18:22:04

下了~学习一下~我是菜鸟我怕谁~

xubinfly · 发表于 2007-6-26 20:52:10

王兄的工具比较具有亲和力，安全盾也是这样，一般不需要设置什么了，所以不用什么ssm,eq什么。不过好象有个问题，有个木马poison ivy，它就是在windows或system32下产生个可执行文件，上一版的安全盾好像检测不到，它还是在window目录下生成文件了，这一版拦截住到了，它一直在生成文件，安全盾就一直在删除，可惜删除不掉。我的网盘xubinfly.ys168.com，有那个木马程序，王兄有兴趣看下？

wang6071 · 发表于 2007-6-26 22:22:00

原帖由 xubinfly 于 2007-6-26 08:52 PM 发表
王兄的工具比较具有亲和力，安全盾也是这样，一般不需要设置什么了，所以不用什么ssm,eq什么。不过好象有个问题，有个木马poison ivy，它就是在windows或system32下产生个可执行文件，上一版的安全盾好像检测不 ...

原因在于你在安全盾的防护之外运行木马,而木马只是不断地复制自身在system32下.安全盾只是忠实地执行删除防区内的文件.当然关机时看谁最后退出,安全盾如最后退出它复制的文件也被删除了.

另外,从另外的角度来看,木马不会只运行一次,它总是需要一个启动项(注册表或者启动组或者Autorun),这几个方面是安全盾内置的防区,重启后如它不再运行也只是一个垃圾文件而已.

183174067 · 发表于 2007-6-26 23:20:22

好东西你里面的东西好全啊 :)

		自动登录	找回密码
密码			注册