[sysshield]系统安全盾

wang6071

原帖由 老毛桃 于 2006-6-12 10:12 PM 发表

啊？新的出来了吗？我要下来看看。

奇怪，前几天没有了那种怪怪的蓝屏。

会不会是内存不稳或cpu接触不良造成的?前几日我的系统也不稳定,每天都要不定时重启1-2次,我还怀疑是sysshield驱动的问题，但其它机器又无问题．最后我将所有硬件大卸八块，全部清洁了一遍，近一周拷机再没出现故障．

wang6071

安全盾及sycheck都有一些小修改，在http://wangsea.ys168.com

wang6071

原帖由 xubo1971 于 2006-6-18 09:47 AM 发表
最近安全盾及sycheck都更新得较快啊。
问一句题外话，大家与安全盾配合使用的监视软件安装的软件是什么？安装软件时要暂停安全盾，因此必须配合其他监视工具，用以监视软件安装和卸载。

1:一个杀软还是要的,因为如果是感染性的病毒而不是木马,则安全盾是没办法防住的.
所以偶还是装了一个kv2005.
2:一般较小的较件都可不停用安全盾试安装运行一下是否安装成功．如果不能运行,打开安全盾看看是否删除了部份文件,分析一下文件名,只要不是很奇怪的文件名,就关闭监测重新再安装一次即可.
3:如果文件比较大,估计也不会是什么木马,可等待安装界面出来后再退出安全盾(主要是预防一下是否被捆绑).

以上是个人安装程序一点心得，供你参考．

同时,syscheck本日又更新了一下，请以前不能正常运行syschek的兄弟测试一下这次的两种版本是否都能正常运行．

wang6071

原帖由 xubo1971 于 2006-6-19 12:25 PM 发表
wang6071兄，你的使用心得应该很实用，谢谢！
以前用syscheck主要是在一些较新的机子上不能正常运行，我有机会到别人的机子上试试。 请问一下，为何有时候在syscheck的服务函数栏目下可以看见很多函数，有时候却 ...

用以前的版本存在一定的兼容性问题,所以可能出现你所说的现象.你用最新的
反黑辅助0618版17:21版试试还有没有这个现象.

wang6071

好多非法网页在C:的根目录下建立以$为头的文件夹，安全盾能不能过滤以$为头的文件夹？
---------------------------
这个功能实现了价值也不大,比如现在的病毒"敲诈者"要建一个隐藏文件名来Move用户的doc等文件．假设安全盾有一个不允许新建文件夹，发现就删除的功能，如果其所建文件夹名（难保以后不会以$开头）的规则定义相符，如一删除即会出现用户数据彻底丢失现象．
所以对于文件夹还是不做要求的好，定期清理一下吧．

to   pyqkgd:
　BUG:  点开端口查看,自动刷新3-8后程序无响应
   你说的是syscheck的在您机器上的兼容问题估计不太好解决．因为这部份我还没找到稳定的解决方案．

wang6071

关于服务函数不显是因为:
   不能支持x86-64操作系统,不支持:Win2003 SP1及其后版本.
   对于Windows XP SP2,则不支持使用PAE摸式的AMD64系统.
这是因为微软在这些版本中禁用了用户态进入Ring0的原因.

至于"打开服务主健失败,无法DUMP",是syscheck将注册表的服务键Dump成文件放到监时目录下再读入与实际读到的注册表中的服务键比较(使用该方法是为了防止应用程序中注册表隐藏了一定的服务键),无法Dump出可能的原因:
1:监时目录不可写;
2:调用dump出注册键的函数被禁用;
3:权限不足.

wang6071

安全盾6月28日更新,修复<暂停监视>然后重新<启动监视>会丢失几项注册表监视项目的错误.
可以用下面附件更新替换安全盾安装目录下的同名文件

也可以下载到偶的空间http://free5.ys168.com/index.aspx?wangsea下载完整版本.

to xubo1971
     要完全解决<反黑辅助>服务函数兼容问题,可能需要一段时间,主要与其采用的方法有关系.该方法可能存在兼容问题.需要查找,研究新的办法来解决它.

wang6071

反黑辅助syscheck更新了，顺手再附上使用说明,请以前服务函数页显示不正常的兄弟测试．

yscheck 反黑辅助说明:

   红色显示的是非系统的进程或文件，在各个管理页均可尝试选择后右键，有定位文件弹出菜单的，都可定位到该文件所在的位置。

   1：进程管理页

   syscheck允许你中止包括系统进程在内的所有进程，但不推荐你去中止第一个svchost.exe前的进程(包括第一个svchost.exe)。这样做的后果可能是导致系统重启或无法关机。

   syscheck的进程管理页可列出win32级的隐藏进程，但不会特别标注它。对于此类隐藏进程所隐藏的目录，通过右键<定位文件>可直接进入其隐藏的目录。

   现在很多程序通过注册全局钩子，注入系统进程Explorer.exe工作，你可以查看Explorer.exe的进程模块中红色显示的外部程序，以确定红色显示的模块是否都是你需要的。

   一般来说，如果某个dll无法删除，一是该dll被某个进程加载；二是注入到了explorer中；三是进程之间互相监视。所以，对某个删除不了的dll文件，可以采用批量结束进程的方式（不会判断就选择 explorer.exe+其它的红色进程）。

   由于进程的模块可能在进程使用中，所以卸载模块可能造成该进程的崩溃。这也是另一种杀进程的方式。

   2：服务管理页

   要注意的还是红色显示的内容，通过右键菜单选择查看该文件的属性，可以方便地找到第三方的服务程序。中止服务功能是仅在系统重启前中止服务，并不是永久性的中止服务。而删除服务则是删除服务键值(不提供删除前的保存。所以，要删除你得自已去确定是否真要这么做)。

   值得注意的是，某些服务是无法中止或删除的(比如划词搜索的驱动服务)。因为其自身可能采用了注册表键值的保护。对付这类服务，要使用服务函数页中的ssdt恢复功能，才能删除其键值。

  3:服务函数

  还是以划词搜索为例(因为它的驱动交叉保护，自身的卸载与其它的卸载工具都不能删除hcalway.sys及abhcop.sys.sys文件，且卸载后这两个驱动还在运行中)，它的驱动采用注册表HOOK及文件HOOK，所以，你无法直接删除。Icesword也不能直接删除这两个文件(不信你在IcesWord中删除这两个文件后再刷新看一下。不过Icesword中可以在它的注册表工具中手动找到其服务项删除，然后重启，再删除这两个文件就可以了)。
  
  对付这样的系统底层驱动，可在服务函数中找到其驱动文件（注意红色显示的内容，结合右键定位判断），勾选它们，然后恢复即可(大部份的杀软也注册有底层HOOK,如果你选择了它们，还原后至重启前这些杀软的实时监视将失效)。

  恢复系统底层原始函数地址后，就可以在服务管理页删除划词搜索的注册表服务项了（恢复前由于受其驱动abhcop.sys的保护，是无法删除其注册的服务项）。然后重启机器，就可以直接删除这两个文件了。之所以要重启，是因为该驱动未提供中止功能，无法中止。系统无法删除一个运行中的文件。

   要注意的是,在服务函数中恢复了被HOOK的函数,并删除了其服务键，重启机器前，可以再切换到<进程管理页>及<IE检测页>，查看是否多出了一些被隐藏的内容，或者是先前不能删除的启动项现在可以再做删除处理。（划词搜索在Program Files目录下的文件现在就可以删除了,因为其驱动保护已经失效。如果此时某些文件删不掉，则可能是你还未在进程页结束划词的Win32进程,可参见1处理）

另外，如果您安装有本人的另一作品<系统安全盾>，请在使用syscheck前暂停一下监视，否则syscheck的服务函数功能将不能使用。

wang6071

原帖由 emca 于 2006-7-4 02:40 AM 发表
1、作为反转辅助工具，可以设计为默认启动后即自动还原服务函数，这样启动后查看进程和服务等项目时，就可以直接对特殊进程和驱动服务等进行直接操作，方便使用的同时，也极大地方便了菜鸟用户的使用（不少人看不 ...

syscheck2的构建基本上已如红叶兄所说,目前难以解决的是老是有兄弟报告说在某些机器上无法列出ssdt,20030703版已采用了驱动技术,可还是有反映在某些机器上无法列出ssdt,原因有待查明,所以syschek2的开发也陷于停滞当中.

不过,从目前的反映看来,仅仅是加载驱动不成功所致,没有出现兰屏与重启,基本上证明驱动是比较稳定的.之所以不能正常工作,分析可能是因为:
1:使用的兄弟的环境没有管理员权限(可能性不大)
2:某些机器上的%temp%取不出来.或是有中文字符.(待验证)

wang6071

谢谢  Phexon 兄的建议,最近老是丢三落四地忘改一些版本之类的东西.

安装文件夹用中文是偶知道有很多菜鸟往往不知道自已在Program Files下都安装了什么东西.但有时系统出问题或请人清理时,问这个要不要,那个要不要,很可能会答错问题,所以默认给了个中文目录.目前还没有发现问题,以后有兼容问题时再说吧.

syscheck今日再次更新,采用新的算法来取参照表(估计ssdt兼容性不好问题出在这里),请各位测试

wang6071

前段时间儿子发烧住院，每天都得在医院守护，所以没能及时回大家贴子,请见谅．

关于chujiafu问：系统安全盾保护注册表的原理是什么？偶想知道。因为上网助手也有类似的保护IE的标题栏功能，偶想把IE的标题栏改偶想要的，加了一个“window title”，但不能编辑这个Window title。再打开注册表，发现这个Window title又没有了。不知何故。
   　　安全盾注册表保护采取的是类似于固化保护的方法，不同之处是当您暂停或退出安全盾时，修改IE等设置是有效的，再次开启安全盾，则会保护您修改过的内容．所以，在开启安全盾的情况下，IE的修改都将是无效的．也就是说，你可以勇敢地闯好些修改主页的网站，即是它要强设，也可以同意它．（只要没有暂停安全盾，就是你点了同意修改，也改动不了你的IE设置）

pyqkgd兄弟所说的安全盾和反黑工具打开，依然没有拦截住.　病毒破坏了EXE关联
　　不知道你的安全盾更新到20060628版本没有,先前的版本对exe关联未做保护(因为考虑修复起来较容易，且如果设置成自定义监视方式中招的机会几乎为０)
       sysshield20060628版本加入了对exe关联的保护．

最后要说的是：syscheck已更新到syscheck20060711,加入了一个杀鸽子示例，到偶的空间下载：http://wangsea.ys168.com
这里不提供下载是因为有更好的东西送给大家，看看新的syscheck2易用性如何．

wang6071

下面是各界面，有几个界面是支持点击标题条排序的，大家乱点点试试

列出是<活动文件>,<敏感键值>仅是易被修改或已经被黑了的条目，所以不同环境项目的多少是不同，因为我们只关心要还原哪些项目．

wang6071

内置了一个资源管理器，方便删除文件．（某些情况下显示的文件与普通资源管理器有所不同）

wang6071

谢谢诸位对syscheck2的肯定及意见,这仅是一个预览版,还有一些Bug未修正.

关于服务管理中，不少进程明明确实正在运行，上面显示也是正在运行，但后面的文件修改时间中却显示“文件丢失”。判断文件存在的方法是否有些问题？

如果是该服务未采用特手段隐藏应该没有问题,运行的服务显示“文件丢失”可能是该服务是动态加载的,加载运行后就删除了服务文件,所以可能显示是"文件丢失",如有其它情况,请核实一下该服务的路径下是否真有文件存在.对svchost以参数加载的系统服务,有些是定位不到文件的,所以也只能显示是"文件丢失"

顺便说一下,可以点击标题栏按时间排序,按状态排序加快查找速度,这样红色的非系统服务等立即到了最上边,所以就没细分哪些是系统的哪些是第三方的服务了(有可能今后冒充系统的服务会增多,感觉点一下标题栏排序更方便一些)

syscheck2的界面是增加了一些体积,不过提供给大家是未用upx压缩过的版本,压缩一下就仅有400多K,想来大家也可接受吧,今后新增功能,估计也不会超过500K,因为大多数的东西都引用过了.

ssdt功能未加,是因为一直想等ssdt兼容性调整好了再加入.不过可能syschek2的ssdt功能不采用驱动方式,因为毕竞用win2003 sp1之后版本的兄弟还不是很多,用原来的方式就够用了.前段时间测试的驱动留作备用.(已开始着手在重写ssdt检测部份,决定放弃以前的那种读PE的方式,想来定比原来的兼容性更好)

对自身的防护来说,目前syschek2还在不断探索改动中,所以估计不会太引起其它软件的注意，所以这部份还是暂时不作处理．（想得到好的防护，可能得采取驱动HOOK方式，如KV的进程保护，但保护与突破总是相对的，所以暂不涉入这个部份）

wang6071

syscheck 1.0.0.3 版，修正了一些小Bug,增加了ssdt检测功能(ssdt检测只对内核已被HOOK的函数给出列表，如果您的系统没有任何被HOOK的内核函数，该表就是空的了)

注意，ssdt功能可以恢复安全盾注册表工作的内核HOOK,如果你恢复的话则安全盾的注册表监控会失效．（必须关闭安全盾，再重新打开才有效，所以可以恢复一下安全盾的内核HOOK函数来测试ssdt恢复功能）．

wang6071

下面的更新是关于点击资源管理器时出现错误的Bug修复的更新

（关于点击“内核HOOK检测”在某些机器上出错，不知是否是以Adminstrator权限登陆的？Winxp sp2偶实机虚拟机都测试过，还未发现类似故障．请在虚拟机中试一试以查找原因）

wang6071

点击<点击资源管理器时出现错误>是因为与防HOOK部份有点冲突所致，可能规则太严与某些机器有冲突．（不防HOOK又可能不能检测注入式隐藏进程的程序，所以只能在两者之间取一个折衷方案）,1.0.0.3版我仅在我的机器上测试过没问题，所以可能系统不同要作一点调整．(或者取消内置资管理器，或者将内置资源管理器单独做成一个程序来调用？考虑中)

使用系统安全盾后会使词霸无法荧屏取词，在暂停后可以，不知道能否解决这个问题？
-----------------
是使用的绿色版词霸吧?只需作一次暂停，使用过后以后无需暂停即可正常使用词霸取词

[ 本帖最后由 wang6071 于 2006-7-14 12:59 PM 编辑 ]

wang6071

重新修订了一下，前面楼上有问题的兄弟试试看现在是否正常了．

wang6071

原帖由 zxplhzlt 于 2006-7-15 08:18 AM 发表

1051楼的问题还在,为你加油,希望你成功.

请明确一下,是右键出错,还是左击出错.如果是右击出错,描述一下你在正常的Explorer中的右键菜单内容(抓个图也行)．

另外，是一直都出错还是最近的版本才出错?报告一下所用操作系统版本．

[ 本帖最后由 wang6071 于 2006-7-15 09:36 AM 编辑 ]

wang6071

原帖由 小木头 于 2006-7-15 09:52 AM 发表
问一个弱弱的问题:  装了系统安全盾后,还用装注册表保护器吗?

SysShield的前身是叫做<注册表保护器>,已经经过了N个版本的修订了．目前叫做系统安全盾．没必要安装老版本，新版本的功能更强，保护更全面．

wang6071

是为了防HOOK引发的故障(有些机器正常有些不正常)，但要处理起来可能要花一些时间去寻找一个兼容性好一点的方案．

wang6071

syscheck(0717)版貌似解决了上面前面的问题.请前面有问题的朋友测试．

上传断线，用楼下的下载

[ 本帖最后由 wang6071 于 2006-7-17 12:45 PM 编辑 ]

wang6071

好象可以了，请大家测试新版

wang6071

原帖由 ly001 于 2006-7-17 01:19 PM 发表
在我XPSP2机上内核检测如图

有没有以前的某个版本的syscheck在你的机器上上ssdt检测成功过?

wang6071

syscheck2反黑辅助(1.0.0.5)修正了一个内存泄漏,
ssdt检查采用双模式以解决兼容性问题,
内置资源管理器菜单针对删除问题加入了两个右键选项
请大家测试.

wang6071

原帖由 ly001 于 2006-7-18 02:07 AM 发表
内核HOOK检测空白是正常的吗？如图

如果安装有安全盾（未暂停时），可列出两个HOOK的内核函数．
如果安装有KV,可列出1-4个HOOK的函数(根据开监视的多少而定)．

没有被HOOK，也就不列出来了．这是与旧版不同的地方（旧版用红色显示 ）

wang6071

1:syscheck 1.0.0.6 版,修正了列服务中运行中的服务显示文件丢失的问题

2:加入一个使用说明

3:还是有反映说ssdt列内核Hook失败,所以将老的列内核引擎设为优先,失败的话转新引擎,全部失败就提示.(关于  ly001  的问题,请确认一下以后能否用某个版本的syscheck显示ssdt,如果都不行暂时无法找到兼容你系统的方法.)

wang6071

谢谢Phexon 兄弟，syscheck2是要检测这两项的．

本次上传的修订如下：
１：单独做了一个70K的ssdrRestor,方便大家携带，同时也看一下是否是因为syscheck还原太多的API后造成在某些机器上内置ssdt检测失败．

2:再次修订列服务的路径问题，有些机器上列出的服务带有" ",造成syscheck判断失误，认为文件丢失，这次修正这个问题．

wang6071

原帖由 freesoft00 于 2006-7-20 08:17 PM 发表
syscheck 1.0.0.6 版

出现内寸无法读取

报告Bug请报告操作系统版本,出错时的所使用的功能页(最好贴图说明)

wang6071

非常报歉没有调试过Win2000,这是错误是与反HOOK代码冲突所致,需要在Win2000下找到相关冲突的Api函数.因为没有环境,再加上考虑今后Win2000系统可能不多了,所以就懒得找机器调试了.

你可以使用单独的那个ssdrRestor配合其它安全工具工作.