[sysshield]系统安全盾

老毛桃

来迟一步，感谢楼主的无私精神，顶一下先

老毛桃

不错不错，楼主果然是高手

老毛桃

呵呵，下载了，正在使用，多谢 Wang 兄分享，有什么情况，第一个跟你汇报！

老毛桃

发现一个问题，我敢保证绝对是因为安全盾的运行产生的。
就是运行安全盾时，进入一些邮箱或者论坛的登陆页面，输入密码弹出是否让 Windows 记住密码的对话框时，


不管是点“是”还是选择“否”，都会出现蓝屏，具体代码如下

A problem has been detected and Windows has been shut down to prevent damage to your computer.

If this is the first time you've seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to be sure you have adequate disk space. If a driver is identified in the Stop message, disable the driver or check with the manufacturer for driver updates. Try changing video adapters.

Check with your hardware vendor for for any BIOS updates. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup options, and then select Safe Mode.


Technical information:

*** STOP: 0x0000008E (0xC0000005,0x69767265,0xAA0CCCF0,0x00000000)

其中，从老毛桃多次出现的蓝屏状况来看，出错内容相同，只是 STOP 后面的信息略有区别。

我没有时间去翻译了，相信 Wang 兄也能看懂，另外我检查了一下事件查看器，出错内容如下：

事件类型:        错误
事件来源:        Service Control Manager
事件种类:        无
事件 ID:        7000
日期:                2006-5-24
事件:                23:04:02
用户:                N/A
计算机:        MAOTAO
描述:
由于下列错误，Parallel port driver 服务启动失败:
无法启动服务，原因可能是已被禁用或与其相关联的设备没有启动。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

我运行 services.msc 没有看到“Parallel port driver”这样的服务。另外我曾怀疑 Protected Storage 服务有问题，进去看一下，运行正常。

后来想想机器与以前有何变化，是安装了安全盾。我尝试将安全盾退出，就再没有出现这样的情况，再次打开安全盾，蓝屏又会在那个时候出现，不知道什么原因。跟硬件有关系吗？我的机器为 Dell Optiplex 210L 品牌机。想想不大可能吧。

[ 本帖最后由 老毛桃 于 2006-5-24 11:32 PM 编辑 ]

老毛桃

原帖由 wang6071 于 2006-5-25 00:17 发表
谢谢老毛桃的报告,这个错误可能是禁用了注册表的Services项下某些项所致,请毛桃兄用regmon等工具追踪一下，看到底在保存密码时保存在何键下，偶把这项放开应该可以解决此问题．

偶估计是保存密码时必须写注册表 ...

不好意思，没有发现注册表有什么变化，我想这应该是属于 Cookie 的范畴。我发现了 C:\Documents and Settings\用户名\Cookies 下的变化，似乎所有的这些信息都是保存在这里的，我清空这个文件夹，再打开浏览器，就会发现所有的 Cookie 都丢了，即使保存了密码的网站也需要重新登陆，

另外，你重新上传的 SysShield.EXE 文件我运行时还会出现蓝屏

我尝试将安全盾的文件夹监视关闭，还是不行，但是单独运行你上传的这个 SysShield.EXE，也就是在别的路径运行，却不会蓝屏，

[ 本帖最后由 老毛桃 于 2006-5-25 01:01 AM 编辑 ]

老毛桃

原帖由 wang6071 于 2006-5-25 00:42 发表
请用下面这个工具测试一下是否是禁用services的原因,如果不是,请将<无输出禁用部份>剪切到<提示自处理>,然后在<选项>中关闭保护,再打开保护即可应用新的设置.

也许只是读取注册表而已吧，我并没有发现注册表有何变化，使用这个注册表监视工具，在那个对话框出现后，选择“是”或“否”，没有出现任何提示，也会出现蓝屏现象，难道真的对注册表有写操作？

我再查查看！

[ 本帖最后由 老毛桃 于 2006-5-25 01:31 AM 编辑 ]

老毛桃

原帖由 wang6071 于 2006-5-25 08:02 发表
应该是有写操作的,因为您使用<注册表监视工具>与安全盾使用的是同样的驱动操作,都引起兰屏.而<注册表监视工具>与<安全盾>唯一不同的将写Services键下的操作输出到了Win32询问,此时回退是对 ...

重新测试以下，发现将“无输出禁用”和“提示自处理”两项内容全部清空，还是不行，只要选项中设置为“开启保护”就会出现蓝屏，

还有一次蓝屏比较奇怪，就是重启后运行注册表监视工具，什么都没有操作，点击选项，关闭保护，就出现了蓝屏，出错信息为 SafeReg.SYS 错误，但是只出现了一次，不知原因。

又重新用 Regmon 监视了一遍，终于找到了

6.84192991        IEXPLORE.EXE:1436        OpenKey        HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer32        NOT FOUND               
6.84224796        IEXPLORE.EXE:1436        OpenKey        HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer32        NOT FOUND               
6.84230375        IEXPLORE.EXE:1436        OpenKey        HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer        NOT FOUND               
8.87434483        IEXPLORE.EXE:1436        OpenKey        HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer32        NOT FOUND               
8.87467003        IEXPLORE.EXE:1436        OpenKey        HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer32        NOT FOUND               
8.87472534        IEXPLORE.EXE:1436        OpenKey        HKCR\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\LocalServer        NOT FOUND

我倒注册表里面查看了一下，确实是 Not found。这是我找到的注册表相应位置的内容

[HKEY_CLASSES_ROOT\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\InprocServer32]
@="C:\\WINDOWS\\system32\\urlmon.dll"
"ThreadingModel"="Both"

这个 {7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4} 的内容也许会不会因机而异？老毛桃没有检查过，但在这个项下只发现那个 InprocServer32 分支

老毛桃

原帖由 wang6071 于 2006-5-27 20:04 发表


调整Internet选项,选中内容页,点击自动完成,点击清空表单,清空密码,然后确定.
然后登陆论坛,在遇到需要输入密码后,IE会提示是否保存密码,此时如果使用未打楼上补丁的安全盾,不管是确定还是取消,在Winxp下是蓝 ...

前两天有点事，不好意思 Wang 兄，没能帮你测试下。

呵呵，今天上来发现问题已经解决，恭喜 Wang 兄。


但老毛桃想问下 Wang 兄，安全盾是否为了解决这个蓝屏问题而放弃了对注册表某位置的写操作的监视工作呢？

老毛桃

原帖由 wang6071 于 2006-5-28 10:38 发表
对其它安全键值测试的方法与此相同，如果诸位觉得还有某些键值应设置保护，请贴出该键，注明危害．

想问一下，对于注册表的监视，能不能给一个用户自定义的界面，同时对于安全盾默认的注册表保护项目，也可以作为一个清单显示于界面中，这样可以更方便的让用户了解安全盾对于注册表的保护都作了哪些，更方便的自定义规则。

另外发现一个小问题，从前面的版本到现在的都存在

就是点击这个“设置帮助”按钮不起作用，调不出 Readme.CHM。不知道调用方法，是直接运行 Readme.CHM 还是使用 %SystemRoot%\HH.EXE Readme.CHM 的方式，如果是后者就应该不会出错。

[ 本帖最后由 老毛桃 于 2006-5-28 11:02 AM 编辑 ]

老毛桃

原帖由 wang6071 于 2006-5-28 11:24 发表
关于按扭调不出Readme.chm的问题有点奇怪,偶的机器上能正常调出.我想可能是在xp系统下是否要写出绝对路径.下次更正(顺便问一句,您直接双击Readme.chm能打开吗?)

对于注册表监视不做界面的原因是一个文件监视设置已经搞得很复杂了,如果再让用户去定义注册表项目,估计很多菜鸟都不知如何办了.同时,如果调整错了,又起不到监视作用.如果对重要键值做了禁止写入,可能造成Adsl无法拔号上网,其它安全工具无法启动的故障(比如完全禁用Services下的所有创建,IcesWord都无法启动).

考虑到容易造成系统的安全隐患的注册表键值本身也不太多,本着易用的原则,所以没有提供设置清单.大家可按自已的安全习惯直接用Regedit测试一下各安全键值的写入问题，如果哪些您认为是安全隐患的键值安全盾保下仍可以写入，请提供该键值，我直接做到程序中保护起来就行了．

双击 Readme.chm 是能够打开的，.chm 被系统自动关联到了 Windows 文件夹下的 hh.exe，会自动让 hh.exe 打开之。

关于注册表监视，其实开启用户自定义规则功能也未尝不可啊，可以添加一个“高级”选项让用户进入修改界面，而普通状况下之可以查看哪些受到了保护，哪些是有提示保护，哪些是无提示禁用，而用户在“高级”选项中要修改时，也会弹出警告对话框，告知用户可能会发生的后果等等，不知只 Wang 兄怎么看。

老毛桃

呵呵，新版本没有调不出 Readme.CHM 的问题了。蓝屏也没有了，等会看看 NetBT 错误的情况。哈，前两天在事件查看器中发现一大堆 NetBT 驱动错误的报告，还以为是自己系统有了问题，原来也是 安全盾 的错啊！

另外，在安装安全盾时遇到这种情况，

我知道这是因为当前系统中正运行着安全盾的缘故，但是遇到一些新手可能并不知道是什么原因，Wang 兄可否考虑一下在安装界面中给予卸载旧版本的提示，或者自动检测当前系统中有没有安装旧版本的安全盾，我知道这个在 SetupFactory 打包的安装文件中是很容易办到的，不知道 Inno Setup 有没有这样的功能，应该可以的，检测一下注册表即可。如果能够像一些杀软的升级程序那样自动关闭旧的程序，安装过后自动打开就更完美了。

老毛桃

原帖由 老毛桃 于 2006-5-25 16:15 发表
还有一次蓝屏比较奇怪，就是重启后运行注册表监视工具，什么都没有操作，点击选项，关闭保护，就出现了蓝屏，出错信息为 SafeReg.SYS 错误，但是只出现了一次，不知原因。

今天又发生了这样的现象，本来以为上次是个偶然，现在想想可能不是偶然了。因为今天发生了两次。

主要表现为启动机器刚刚进入到桌面时，如果我选择退出安全盾，就很容易发生这种蓝屏现象。说是 SafeReg.SYS 报错，我想会不会是我的机器太快了，安全盾的 SafeReg 驱动没有完全加载，或者说安全盾的保护工作还没有得以正确执行，难道安全盾在加载 sysshield.exe 后有延时？

老毛桃

原帖由 wang6071 于 2006-5-30 21:11 发表
to 毛桃兄:
   您反映的问题我这里没发生过,不知道还有兄弟使用在有此问题吗?
   请您再观察一下,是否是启动过后过段时间退出就不发生此问题,以确定是否需要加一段启动延时在安全盾里面.
   如果这个现象确实过早退出造成的,估计原因可能与Win的内存分配有关,驱动工作也要分配一定的内存,是否是因为这个原因还有待观察. ...

根据这两天的观察，在我的机器上的蓝屏现象还是存在，表现为刚刚开机，什么都不操作，选择退出安全盾，有时候就会出现蓝屏的现象。具体信息如下

A Problem ...
...
Technical information:

*** STOP: 0x000000CE (0xAA55E301,0x00000000,0xAA55E301,0x00000000)

Safereg.sys

另外，我翻阅了一下事件查看器，在“系统”分支下有这样的纪录

事件类型:        错误
事件来源:        Service Control Manager
事件种类:        无
事件 ID:        7000
日期:                2006-6-2
事件:                17:49:43
用户:                N/A
计算机:        TJH
描述:
由于下列错误，Parallel port driver 服务启动失败:
无法启动服务，原因可能是已被禁用或与其相关联的设备没有启动。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

好像并不是每次都出现，似乎每天的第一次开机会有，重启后不会再出现。

老毛桃

原帖由 wang6071 于 2006-6-2 23:21 发表
毛桃兄能否这样测试:
      开机后等系统没有等待图标后再退出看是否出现故障.
     如果不出现在故障,是在何种情况下才不现?是开机后系统托盘程序全部加载?还是在某种可以确定的情况下就不再出现故障了,这段时间从进入桌面后要多长?或者是加载某杀软后的多长时间退出才不出故障?

    关于每天第一次开机出现的Parallel port driver 服务启动失败,请再确定一下是否是安全盾造成的(测试两天关机前删除安全盾的启动项,再测两天加载了安全盾的情况,对比一下是否确实是安全盾引起的 ...

嗯，这样子测试会比较准确一点，不过要花点时间，可能要下周才能有不完整的结果

BTW：系统托盘全部加载？我没有其它图标，只有一个网络连接图标和安全盾，如果不运行安全盾，就相当于没有图标了。杀软也没有用。
因为是公司的电脑，所以测试不是很方便，家里电脑没有上网，Sorry。

老毛桃

原帖由 wang6071 于 2006-6-3 12:27 发表


有劳毛桃兄费心了,这个不急,毕竞这个现象不是普遍现象，我们可以慢慢来排查。

今天开机连续两次一进入系统选择退出安全盾就蓝屏。第二次是将时间查看器中的内容清空后重启仍然出现的。再次重启没有发生，继续观察哈。。。

老毛桃

今天没有出现蓝屏现象，我开机后去倒了杯水，又等了几分钟，才选择退出安全盾，结果正常。

怀疑应该是时间差的问题。

老毛桃

原帖由 wang6071 于 2006-6-12 21:49 发表
发现了一个小bug,所以又更新了一下.
http://wangsea.ys168.com  下载 6月12版即可

啊？新的出来了吗？我要下来看看。

奇怪，前几天没有了那种怪怪的蓝屏。

老毛桃

原帖由 wang6071 于 2006-6-13 00:18 发表


会不会是内存不稳或cpu接触不良造成的?前几日我的系统也不稳定,每天都要不定时重启1-2次,我还怀疑是sysshield驱动的问题，但其它机器又无问题．最后我将所有硬件大卸八块，全部清洁了一遍，近一周拷机再没出现 ...

也许吧，但我最近并没有对电脑硬件做什么动作，公司的电脑嘛！

倒挺奇怪，再看看说罢

老毛桃

原帖由 pyqkgd 于 2006-7-7 02:01 发表
今天中招了．．之前已把安全盾和反黑工具打开，依然没有拦截住.　病毒破坏了EXE关联，安全盾自带的关联修复对EXE没有起作用．红叶以前做的目录固化处理可以很好地拦截住，不仅仅要对付流氓软件，对木马值入也要加 ...

我比较奇怪的是，居然我没有中招，我是裸奔的，没有防火墙，安全盾也没有运行。不知道是不是设置有什么不同。

老毛桃

Wang 兄确实是一位世外高人，技术够严谨，不得不佩服！

老毛桃

原帖由 tkone 于 2006-7-13 23:23 发表
系统安全盾=注册表监视器？

建议使用过了再发表看法！

老毛桃

原帖由 非常人 于 2006-10-12 16:57 发表
好象服务显示仍然有问题？！

APACHE的服务死活不显示！

现在是不是驱动和服务都放在一起的了？！突然，感觉还是服务是服务，驱动是驱动！：）

个人建议！

服务说到底也是一种驱动