[sysshield]系统安全盾

wang6071 · 发表于 2005-7-3 11:34:51

不多余，1图的启动后运行文件监视未选中则启动后文件监视未开启。但注册表监视的功能是开启了的。
2图中的启动时运行，是将注册表监视器写入注册表的启动项以便于在启动时就工作。
取消这个选项可以则自动清除它写入的键值（相当于卸载）。
锁定启动组则每次重启仍按上次保存的注册表启动组的内容检查是否改变。未选中则每次重启后自动生成新的set.ini(比如你想安装一个在启动组中启动的程序时要用到)

wang6071 · 发表于 2005-7-3 15:23:43

有说明的，估计是你的显示属性/外观/方案中选了白色底色的方案造成的。（说明的文字是白色，加上你选的白底的方案当然就看不到了。）

wang6071 · 发表于 2005-7-4 00:09:40

[这个贴子最后由wang6071在 2005/07/04 12:32pm 第 2 次编辑]

推土机兄弟发现了一个BUG,就是当本软件安装到系统盘下的话文件监视的自动功能会失效,
自定义功能也同时失效.
Bug原因可能是监视器不能位于被监视的目录或子目录下.(偶是全系统监视再过滤的),解决的方法是为各监视目录赋不同的线程(原来的仅有一个线程),考虑到多线程的资源占用及稳定性,故不准备修复这个BUG,所以请安装到非系统盘下使用.
下载软件是不需要威望值的,请到:http://free.ys168.com/index.aspx?wangsea下载

wang6071 · 发表于 2005-7-5 19:32:38

感谢红叶兄的过滤列表,最后一个文件后也要加符号";"作结束.

wang6071 · 发表于 2005-7-6 01:00:00

没丢字呀，你可以最大化窗口看，也可以拖动分格条以便它显示得完整。

wang6071 · 发表于 2005-7-6 21:22:41

zj-shen兄弟:
显示的问题已解决,请重新下载.
红叶兄:
开启一个“锁定系统分区所有目录”（包括根目录）的选项，即不允许对当前系统分区植入任何新的目录或文件（但可修改现有的文件）。这项看似没有什么用处的功能其实太有用了！如果我们把它用在一台已经配置好的Windows服务器上，则即使别人通过各种途径获取了Shell和某些权限，也仍然无法向系统分区的任何位置上传任何黑客工具，让他郁闷去吧！
请提供一下需要过滤掉的目录或系统日志文件,系统cache目录,监时目录等(偶没有服器,不知道有哪些是必须保留的),以免误删文件.

wang6071 · 发表于 2005-7-6 23:27:21

谢谢你的建议,程序允许改名是基于这样考虑:
如果某个木马针对程序名作判断的话,则改名可以防止木马的针对程序的禁用.
之所以起中文名是在任务管理器中一下就可看出哪些是程序启动后增加的进程.当然,你可按你的喜好改个英文名字.
至于"谁控制了机器，将程序改个名"这样的事恐怕不是哪个程序所能防得住的,要防得住则又是一个"3721"呢.
您的建议挺好的,只是基于上面的原因暂时不动它.我会记住这您的建议的,也许等我空闲一点后再做此修改吧(偶这段时间太忙,如果不是很实用的功能上的改动就想暂时放一放).

wang6071 · 发表于 2005-7-7 23:14:33

[这个贴子最后由wang6071在 2005/07/08 00:23am 第 6 次编辑]

谢谢红叶兄的资料，看来用白名单更好一些。当然，默认可以先将以上内容作为白名单提交。
关于filter.dat的设置问题加个编辑框容易实现，但格式如果改成一个一个文件名一行的话程序做过滤处理的时间将会大增。如果filter.dat有很多行，就有可能造成不能及时地删除。
因为：目前一行最多允许256字符(考虑回车换行符后只有254个字符可用),一个文件创建就要做filter.dat中的行查找与对比,所以行数多了查找的次数也就多了(最坏情况下N个文件就要查找对比 N*行数次)。所以不准备改成车符，而且要尽量减少行数。
关于在解决界面上直接编辑处理filter.dat的问题因不是很重要的功能，加入此功能会增大程序的体积
,加入后还要查询,如果已存在则不做新增等问题，所以暂时放一放。
178z的建议也不错，不过实现起来要花更多的时间，偶已将各位兄弟的建议搜集到了一起，等有空再做这些功能。
现在已完成了一个测试版，
新增功能：
双击托盘图标打开窗口,当程序目录下存在文件wfilter.dat时，程序使用白名单过滤（不存在时与原功能相同).
白名单wfilter.dat的结构与黑名单filter.dat相同，也是一行最多允许254字符(你可以选建一个标准的254字符的行，然后加入的行不超过那个标准行就可以了。加入新的过滤时可以先用查找试一试是不已经有了)
本次提供的白名单按红叶兄提供的白名单制作，目录名用的是简写,例如： \temp\*.*;只是检查是否是temp目录下的创建或创建temp目录,而此temp目录可在系统盘的任何目录下，所以若要严格定义请使用\windows\temp\*.*;或\winnt\temp\*.*;(因为windows可能名很多，有朋友用winnt为名,以你的机器上的为准).wfilter.dat也允许指定允许创建的文件名(但必须是有扩展名的文件)。
放行的目录请带上\*.*以免误判。
因时间关系，程序未经测试就放出了，使用前最好在虚拟机下测试一下。
下载：http://free.ys168.com/?wangsea 白名单测试版

wang6071 · 发表于 2005-7-8 07:53:18

下面引用由lj858155在 2005/07/08 03:14am 发表的内容：
1、在单项记录过长的情况下，无法察看单项记录尾部。
2、程序还应该有手动清空记录的手段。
3、记录存放位置不明。（担心一直这样添加下去硬盘会满,请告诉记录文件存放位置）
一些浅见。一直使用搂主软件，功能　...

早上起来上班前顺便看一下贴子，lj858155兄弟真是热心，已经开始测试软件了，谢谢!
关于1您说的是删除的记录显示出来的路径及文件名吗不好查看吗?
关于2及3,程序是不会在你的硬盘创建任何记录文件(记录是实时的，有一个新增才产生一条新条记录,且在内存中),所以不必担心硬盘满的问题。要清除已显示的记录可以停止一下监视，再重新开启就清空了，所以没有加手动清空记录的按钮。
关于"在系统资源占用方面还有点大"，偶有点不明确，偶认为比一般正常软件都小得多呀，
可能是在作真实删除时工作时开销有点大吧,能明确点么?

wang6071 · 发表于 2005-7-8 21:13:56

下面引用由推士机在 2005/07/08 07:03pm 发表的内容：
白名单测试版文件监视中的“监控选择”无法选定“自定义”？

这个测试版只放了测试文件,没带自定义的filter.dat文件,所以无法使用自定义功能.
请下载更新了的1.2测试版,带完整文件及更新说明.
本次更新了lj858155提到的显示问题,重新对filter.dat及wfilter.dat作了定义(主要根据红叶兄的意见调整了一下.)分隔符不再限定是";"，可以用空格。全部写在一行也可以(无256字符限定),一行写一个也可以，经测算执行时间上应该影响不大。具体请下载看后文件的排序方式.

wang6071 · 发表于 2005-7-9 12:39:41

[这个贴子最后由wang6071在 2005/07/09 12:44pm 第 1 次编辑]

不会正常的,已重写了算法.采用更严格的路径方式.本次修正版更改了一下方式,请下载最新的测试版．
注意，在新版中：
  白名单Wfilter.dat中文件夹必须是全路径.
  白名单中文件夹后不需要再带上*.*,文件夹结束的\符号不能省略.
  白名单只支持文件夹的pass,不再支持单个文件的pass.
  因为是全路径,你需要修改wfilter.dat中的文件夹路径才可以在你的机器上使用(测试版提供的是偶机器上的路径，所以你得更改它).事实上,你只需替换filter.dat中的盘符及windows(如果你用的win2000也许你得替换windows为winnt).

wang6071 · 发表于 2005-7-9 18:17:20

下面引用由emca在 2005/07/09 05:55pm 发表的内容：
无法下载。

永硕空间出问题了，请过段时间再试。偶估计不会超过一天的时间，如果明天还出问题偶分包放上来。
xubo1971兄弟：
  关于在界面中加入编辑器的问题，因为我公司的平台还未落实，解决方案还未定下来，所以暂时对"注册表监视器"只解决关键性的问题，编辑过滤文件用记事本就可以了，所以暂时不做编辑器。同时也不想推出一个四不像的显示页(虽然正如您说的，加个显示是不难的)。
  偶这段时间在写关于偶公司数据迁移的软件，所以真的挺忙。请大家暂时用记事本来编辑一下filter.dat及wfilter.dat吧。
  其实要改动的地方还有不少，偶会记下的，等空一点一并解决。

wang6071 · 发表于 2005-7-10 09:16:20

谢谢红叶兄的提醒，之所以做成这个现在这个样子的色彩是偶觉得白底黑字有点射眼，不够醒目。正如红叶兄所说，这样会与Windows主题不适应，下一版我改成改成标准的试试。
另外，永硕空间又正常了，要下载的朋友下吧：http://free.ys168.com/?wangsea

wang6071 · 发表于 2005-7-10 22:02:11

紫狐兄弟：
开始菜单的启动组里面的内容在监视器里面没有出现，不知道是不是漏了
这是因为本软件是"注册表"监视器，所以没监视非注册表的启动项的创建。
lj858155 兄弟：
考虑到白名单主要用于服务器的防御，所以对目录的判断做得很精确，你提的问题确实存在，不太好处理（要么做成以前那种只判断目录名，不管它系统盘的任何一级子目录下?这样整体来看防御效果又不太好,要么只对temp目录放宽这种限制?），我考虑一下，也请大家提提建议。

wang6071 · 发表于 2005-7-11 00:27:03

[这个贴子最后由wang6071在 2005/07/11 07:59am 第 1 次编辑]

  lj858155 兄弟：
   已解决你提出的问题，只需在你要你允许创建的目录名单的结尾加上*即可，
如 c:\windows\temp\*  则此temp目录下允许创建子目录。而采用 c:\windows\temp\
这样的描述则不允许在其下再建子目录。
   因永硕空间又出问题了，无法上传，所以明天再上传。

  已经上传了，本次同时改界面色彩为标准windows程序色彩，大家看看效果如何。注意，白名单wfilter.dat中每个目录必须单独在一行才能正确判断有子目录的情况。

wang6071 · 发表于 2005-7-11 13:04:20

[这个贴子最后由wang6071在 2005/07/11 01:47pm 第 2 次编辑]

下面引用由lj858155在 2005/07/11 12:32pm 发表的内容：
winrar解压会在临时目录中建立子目录，但是注册表监视器的白名单功能不支持子目录。这样就造成安装和解压失败，请教一下有没有什么方法能解决这个问题（不能用把temp移动到非监视盘）
在1.21并没有得到解决

不好意思,原以为很简单未测试就发上来了,结果有误,现在解决了.请重新下载
目前wfilter.dat中路径如下:
E:\Recycled\*
E:\windows\AppPatch\
E:\temp\*
E:\windows\temp\*
E:\windows\$*\
E:\windows\LastGood\
E:\windows\IIS Temporary Compressed Files\
E:\windows\System32\Logfiles\
E:\Documents and Settings\Administrator\Local Settings\Temp\*.*
E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\*
修正wfilter.dat中的内容为你的机器上的相关路径即可.

wang6071 · 发表于 2005-7-12 12:40:09

偶同意lj858155兄弟的看法，凡系统已有的,方便使用的功能都没必要重复添加，要做就做实用的功能。

wang6071 · 发表于 2005-7-12 23:14:11

确实大快人心，希望这次是动真格的。
不过报道说的是：网络行业协会,从名称上看属民间组织，它有这个权利吗?

wang6071 · 发表于 2005-7-13 12:55:12

下面引用由yanwc在 2005/07/13 09:04am 发表的内容：
发现个问题,启用文件监控后,我在桌面上已存在的文件夹中的一个子文件夹里添加文件,监控程序把这个原来已存在的文件夹及子文件夹全部删除了,无法恢复,为了避免误删除文件,能否设置个选择,把监控程序删除的文件放　...

yanwc兄弟:
  你是否下载的是1.21修正版?有没有别的兄弟遇到过这样的问题?
  偶刚才又测试了一次也过没有这个问题呀!(这样测试的,先将功能选在自定义上,再在桌面上建一个文件夹,再在此文件夹下建好子文件夹.然后将功能选回自定义,在刚才新建的文件夹下新增文件夹及文件,你会发现删除的是你新增的,而不是你在auto前已存在的.)
  如果你指的是要屏蔽桌面上的创建的话你得在wfilter.dat中加上:
  盘符:\Documents and Settings\登陆帐户名\桌面\*
  这样的一句.

wang6071 · 发表于 2005-7-13 19:23:58

注册表监视器更新了,1.22版修正了两个问题:
1.当---取消锁定启动组---关闭监视------再重新选择锁定启动组 ,文件监视选项会回到自动选项上.
本次修订为保存上次的设定.
2:文件监视的左列表(新增)记录已不存时还在新增列表中
这个错误会导致删除文件时判断时间过长(cpu占有也会较多),本次修订了这个错误.

wang6071 · 发表于 2005-7-14 19:16:07

停了一天电,收到红叶兄的反馈了,软件的注册表监视与文件监视相关关联,黑白名名单易混在一起.偶有时也弄得有点糊涂.
红叶兄的几项建议不错,就按此方向作一些调整.待修改后再放上升级的1.23版.

wang6071 · 发表于 2005-7-15 01:51:45

[这个贴子最后由wang6071在 2005/07/15 07:23am 第 3 次编辑]

[UploadFile=1_1121363145.jpg]
xubo1971 兄弟,我的机器上最新版1.23版也仅是4M左右呀,而且稳定以后在2M以下(看上图)
xubo1971 兄弟,安装程序时可以关闭文件监视(安完再重新打开)或将监视切换到黑名单上.你的这个问题是你直接使用wfilter.dat(白名单)而没有修改此文件中的路径为你的机器上的路径.
1.23版上传了,请各位兄弟下载最新版测试.1.23版加入了一个简单的编辑器,重调了程序结构,所以请大家将各个功能都重新检测一下.

wang6071 · 发表于 2005-7-15 01:54:39

[这个贴子最后由wang6071在 2005/07/15 07:22am 第 2 次编辑]

关于红叶兄提的:
  3、如果手工禁用了文件监视或注册表监视，可否设置为默认半小时后自动启用（类似Norton杀毒那样）？
  4、如果存在向系统目录写入EXE或DLL文件，系统托盘图标能否闪动或出现某个不太档事的提示？以便让用户在忘记了关闭保护时有一个提醒，以免误码以为系统产生了某种故障。
  今天就不改它了,等测试完1.23版功能无问题后再作修改吧.

wang6071 · 发表于 2005-7-15 12:37:40

[这个贴子最后由wang6071在 2005/07/15 12:53pm 第 1 次编辑]

下面引用由mzszwh在 2005/07/15 08:15am 发表的内容：
黑白名单是否对大小写有要求？
大家能否交流一下名单中的内容呀？毕竟各人能遇到的情况可能有所不同

黑白名单对大小没有要求.仅是白名单对系统路径有要求,1.23版中选中白名单/黑名单
然后点过滤器设置可打开相关文件,在过滤器中添加白名单路径目录路径不易出错.
也感谢yanwc兄弟提供的黑名单文件,全部添加应该没多大问题.
另外,发现了一个小bug,重启机器后打不开黑白名单文件(已修正未上传,等待发现其它的问题一并解决后上传),退出后手动启动可以通过过滤器设置打开黑白名单.
若至明天没有新的bug发现，明天就上传这个修正版．

wang6071 · 发表于 2005-7-15 14:30:49

203楼说的就是mzszwh兄弟贴的图，已修正！明日下载就没此问题了．希望兄弟再试试其它功能有无其它的Bug!

wang6071 · 发表于 2005-7-15 19:50:00

下面引用由mzszwh在 2005/07/15 05:49pm 发表的内容：
发一个不知算不算的问题
这是我打开白名单时发现的，我的系统是装在C盘
可白名单里的全是E盘目录？本人无修改过白名单文件

明日发布的版本将不再提供白名单wfilter.dat,该名单会由程序自动根据你的机器中系统位置来自动生成此文件.当然,如果目录下已存在了wfilter.dat文件就不会自动建立此文件了.
十分感谢各位兄弟提供的讯息,有Bug请提出来,让我们一同来修正它.

wang6071 · 发表于 2005-7-16 12:00:19

[这个贴子最后由wang6071在 2005/07/16 12:19pm 第 1 次编辑]

1.23再次修改版已上传,本次修改如下:
1:修正重启时打不开过滤编辑器的Bug.
2:修正调整结构后丢失userset.ini自定义注册表监视功的Bug.
3:软件第一次运行时会自动生成白名单过滤器.避免了手动修改白名单的尴尬.
4:按红叶兄最新做好的黑名单添中更新了filter.dat(在此对热心提供黑名单的兄弟们表示感谢!)
5:最新黑名单写法：(支持了通配符)
文件名不区分大小写,用空格分隔.可以写在一行或分行书写.
文件夹判断是含有指定字符的文件不允许创建.如
NN5678NN 则凡含有NN5678NN中任意一字符(或几个字符)的文件夹你都不可以创建,也就是说,你不能再创建
NN文件夹,也不能创建N5文件夹,也不能创建5678文件夹,其它依此类推.
当指定的是一文件时,如5678.exe,则配对是完全匹配,也就是说不能创建5678.exe.而当指定为
5678*.* (或者是*5678*.*,两者作用一样),则使用模糊匹配,也就是说你不能创建 NNN5678NNN.dll,N5678.exe,5678.txt等等文件(即凡含有5678字符的文件都不可创建).如果你定义了
0*.*, ..... 9*.* 则凡含数字的文件都不可创建.(本示例黑名单中未加入,需要的兄弟请自行添加测试)
请各位兄弟测试指正.另外，本软件的功能与其早期的命名已不相符,哪位兄弟帮软件改个好名字？偶想了半天也想不出一个满意来：）

wang6071 · 发表于 2005-7-16 17:38:22

[这个贴子最后由wang6071在 2005/07/16 05:52pm 第 2 次编辑]

1、磁盘根目录下使用通配符定义的黑名单无法过滤。比如定义C:\Autorun.inf或者*:\Autorun.inf，然后向C盘或其他盘根目录复制Autorun.inf，都无法过滤。
因为黑名单不是全系统盘监测，目前仅监测了windows和program files两个大目录。没全盘监视是因为上网临时文件中含有这样特征字串的文件名比较多。
2、已经定义了 Baidu *BaiDu*.* ，但向程序目录复制 abaidussa 目录（带有Baidu字符串）时不能过滤。
目录判断与上面不同，当定义的目录名"小于"所建的目录时无法适用模糊法(大于时才采用模糊法,当然等于就直接查到了)，例如baidu目录改定义是1111abaidussax1111,就可以屏蔽abaidussa及baidu目录。
再如，定义一个 3721AdcacheAdsBaiduCNNICDuduIMUnetpigNetBarSandaiSDAgent
则3721,3,1adc,baidu,cnnic等等连续相同的目录均无法创建,当然这样做可能将正常的目录包含在其中了。
总之：以新建目录名是否包含于列表目录名中来判断。目录相对来说应严格判断一些，一失误损失的文件比较多。即使目录名不在判断列表中，只要其下新建文件名在列表中则此文件也一样会被删除，所以目录名相对严格点偶认为还是有好处的。
最后谢谢红叶兄的图标，偶正愁没好图标可用呢，先看看。

wang6071 · 发表于 2005-7-16 21:34:25

[这个贴子最后由wang6071在 2005/07/16 09:41pm 第 1 次编辑]

同意红叶兄的看法,再次修改了一下,黑名单增加了系统根目录的监视.
现在黑名单可以作用的目录是:
windows
program files
及系统盘根目录下的文件.
btw:上一版有一个bug,不能删除自定义名单中的文件(指完全匹配时,是调整代码时造成的),本版已修复.请重新下载1.23加强版.

wang6071 · 发表于 2005-7-16 22:05:41

[这个贴子最后由wang6071在 2005/07/16 10:07pm 第 1 次编辑]

*_*.* //凡含_的文件都不能创建了
*0*.* *1*.* *2*.* *3*.* *4*.* *5*.* *6*.* *7*.* *8*.* *9*.* //创含数字的都不能创建了，所以可以不使用 *3721*.*了。
*~*.* //凡含~的都禁止创建了
*HOOK*.* //凡含hook的都禁止创建了
3721 //这个是目录，要保留
Baidu *BaiDu*.* // *Bar*.* 这个不太好，比如某软件有个 mybartool.exe就不能创建了
C:\*.exe C:\*.dll C:\*.htm C:\windows\*.exe
C:\windows\*.dll C:\windows\*.htm C:\Windows\System32\*.exe C:\Windows\System32\drivers\*.sys *:\Autorun.inf
上面的说明：
1:不必使用盘符及路径，黑名单也不会检测盘符及路径的。
2:*.dll *.exe等都属无效定义,除非有某个文件名是*.dll *.exe
3:Autorun.inf 有效，因为删除的是新增的，所以不损以前安装有的同名文件。实际上可以定义为 *run*.* 即可(则什么Rund1l32.exe Rundl132.exe Rundll32.exe RUN32.DLL都禁止新的创建了)。
其实对于信任的软件可以关闭文件监视后安装。待安装完后再开启监视就不会碰上黑名单同名或模糊匹配造成删除文件的现象，这样做后黑名单可以定义得更模糊一点。
对于不太确信的程序，可以在开启黑名单后试安装一下，然后通过观看删除列表中已删除的文件是否可疑来判断。
若是正常的误删，则关闭一下文件监视，再次安装，安装完软件后重新打开监视即可。（安装程序必竟是你亲手操作，对可疑软件多操作一次不会有太麻烦吧?）

		自动登录	找回密码
密码			注册