[sysshield]系统安全盾

wang6071

下面引用由yanwc在 2005/07/16 11:42pm 发表的内容：
1.23加强版中启动后发现当前启动项中多两项内容：
KvMonXP
KVFW
我的系统中根本没有这两项的目录及文件

你可能以前装过江民杀毒软件!(或者你原来的看启动组的软件列的注册表启动项列的不全).
并不是偶的软件免费给你装江民的 ：）

wang6071

[这个贴子最后由wang6071在 2005/07/17 04:43pm 第 2 次编辑]

谢谢各位兄弟对本软件寄予的厚望,但某些东西可能是目前无法办到的.
关于红叶兄提出的空格文件名问题,偶考虑用...分隔,这样可能就不会误判了,而且显示起来也可能好看些.自动定时启动肯定是要用的,还有帮助,界面,图标的等等,可能比调试软件要花更多的时间.暂时不出新版了.
   nfeng兄弟提的多语言包等,目前看来还没这个必要,如果真正用的人多了,软件也真正完善了，那时再做也不迟．关于"在win98下运行增强版，每次重启后“文件监视”当前使用的总是白名单。"是因为软件的文件监视部份根本不支持win98(你注意看，在文件监视页的所有选项，按钮等都是灰色的并禁用了的).
   要支持win98而又占不了多少资源的方案目前还没有找到，前面的讨论中我已经说明了原因了，所以只能说报歉了．但win98下仍可使用注册表监视与杀进程功能（一般来说，对于有经验的用户这两个功能已足够避免了恶意软件的入侵）．
   
    关于toadchilde 兄弟所反映的问题是因为：我上传的版本中偶机器上的配置文件set.ini忘了删除，请选退出软件(一定要先退出!)，然后删除set.ini然后重新打开软件即可．(实际上是偶机器上的启动组文件与您机器上的启动组文件叠加了,真实的注册表中并无偶机器上的键值,所以不必担心,在界面上删除也好,按上面的操作步骤删除set.ini让它重新生成也好,都是可行的.)
   另外,原来上传的文件中wfilter.dat(白名单)也忘了删除,系统路径可能与你机器上的不相符,所以请删除这两个文件后再启动软件以让软件自动生成适应你机器上的配置文件．
   如果真的搞不定,就重新下载一次(刚才我删了偶机器的配置set.ini及wfilter.dat重新上传了)
   
　4t4zzz兄弟，软件用delphi6编写，前面有介绍的，请翻看一下前面的页面．
   

wang6071

偶决定给软件重新定个名,各位看:
  
  系统反击盾  
  
  防黑安全盾

  系统天使 哪个更好一点?
  
  主要是不想与现有的软件重名?当然也欢迎你给它取个更形象更通俗一点的名字.

wang6071

谢谢各位兄弟的支持,看来要完善系统监视的路还长．
红叶兄的建议不错，对监时目录确实要分别对待．
mzszwh 兄弟反映的也确实是个问题，白名单默认未开放program files是目的就是要求使用者根据自已的需要来定义．但仅仅因为一个临时文件而开放整个目录好象有点得不偿失．
xdg3669 反映的问题偶不知道是何原因造成的，估计也是临时文件造成的(据名字来看好象是一个桌面主题的程序)，偶用的win2003没这个问题(也可能是偶的系统没用主题的原因)．
总结大家的观点，要做到比较好用而又不引起正常程序故障一定要在监时文件上下功夫．可能不得不分析文件名，只处理.exe .dll .inf 等文件的创建．同时，最好做成黑白名单兼顾应用的形式才能更全面的防备．
关于如何将黑白名单统一起来，红叶兄提出了一个初步的设想，但估计还不够，如 mzszwh 和 mzszwh 兄弟反映的情况．所以，估计删除面不能做得太广，只能针对可执行文件来进行．希望各位兄弟提出您的设想，共同打造一个更全面的方案．

wang6071

这个软件与防火墙不同，防火墙可以对每个对外连接的程序提示并阻止(而这样的
连网主程序通常并不多)，而偶的这个软件如果对每个新创建的文件都提示的话，
那用户将忙于点对话框而不能做其它事的(因为上网，安装软件等产生的新文件太
多了)．
白名单与黑名单合一来做判断，将损失一部功能．
白名单最大限度发挥功能时能让整个系统盘处于＂只读＂状态，对于服务器来说
，可能相当适用．但一般的机器上使用，肯定不能如此限制，所以偶给出了一个
基本的白名单，但现在看来还是得用户参与才能定制出适合自已的白名单．如
mzszwh兄弟，可以在白名单中仅加入
速达软件监时文件产生的目录即可，将目录最小化是白名单的添加规则．（因为
监视目录是连同子目录的，所以不要做添加已包含的目录）
而黑名单适用面较强一点，但功能，反应速度不及白名单，黑名单可以通过定制
屏蔽的文件或目录名来不允许它创建．用户也可通过交换黑名单来加大自已怕防
御范围．但如果不采用模糊方式判断文件，则该名单势必越做越大，对于可能产
生的危险文件的过滤就无法办到．
所以现在有个两难的问题:
   要么放弃现有的对所有文件创建的监测,只监测主要的执行文件(这要系统中可
能会留下些垃圾,但处理起来也简单些,可只做文件过滤而不必做目录过滤.)这也
是通常杀软常用的做法.
   要么让用户参予定制规则(就如上面讲的白名单目录的问题一样),这样可能会
让一些朋友因为对系统不太了解而不知如何定制.
  从偶个人的喜好上看,偏爱白名单多一点,因为可以定制得很强.但从易用性上来
说,使用黑名单又容易普及一点.所以,是以白名单为主做一些调整,还是以黑名单
为主作调整确实不好选择.按现在的方式同时提供两种方式又容易引起误解,还是
大家共同来考虑软件下一步的方案吧.
关于软件的命名偶乱点评一下,不许生气哦
   系统黄金盾      //黄金两字似乎有点落俗了
   系统天使守护者  //天使有点让觉得弱的感觉
   无敌神盾        //不小心有可能叫做无敌神棍
   偶新想了一个: 系统安全盾 ,英文名SysSheild  各位也乱弹一下.
反正方案现在还没定下来,偶先改改界面,优化一下结构,请各位兄弟畅所欲言.

wang6071

re 红叶兄:
  1、上述问题比较复杂，是否可以设置几个简单的保护方案供用户方便地选择？
  要兼容不同层次的需要可能这是最好的方案.
  2、本人感觉主要是必须针对临时目录做特别考虑，这样既不失保护功能的强大，又可以做到对正常使用的影响的最小化。
  临时目录的范围也不小,因为某些软件是自设的监时目录,需要用户干予,所以还不如在某个标准方案中只针对执行文件的黑名单过滤.
  3、另，启动项显示窗口中，方便的话能否将它们按位置进行分类显示？或者在当前的窗口中添加一项位置列表字段（目前仅一个以路径方式表示的记录字段）？
  是指显示注册表中的位置吗?偶只是将它们列到一起,以避免显示的杂乱.目前提供的也非仅是路径,=号前的即是主键名.可以考虑分开显示,但具体注册表位置还是不显示地好,因为有些同一键值可能出现在machine,也可能出现在user下,重复显示几个可能有兄弟会搞昏.
   如果能够添加右键菜单，以支持“立即运行”、“临时禁用”、“添加新的运行项目”的功能，则传统的所有启动管理工具也都可以下岗了。
   可以实现,不过与绿色软件不太相符,可做为一个选项提供.
   4、进程监视的各项字段，能否设计为支持点击顶行的字段按钮进行排序？
   目前的顺序是其加载的顺序,目的是好看出哪些是最后添加的,排序后则不易发现哪些进程是其后加载的(目前通常杀最后的几个进程通常对系统影响不大),排序好象没多大用处.
   5、本人在黑名单切换到白名单后，向系统等不在白名单目录中的位置复制可执行文件时，程序不能实现可靠删除，是不是BUG？
   偶这边切换没问题,查看一下白名单的路径设置是否已包含并pass通过了所建文件的路径.
  
   "系统无忧盾"我考虑过，但在google中"系统安全盾"好象更好一点．
      
  
   
  

wang6071

下面引用由lj858155在 2005/07/21 07:12am 发表的内容：
“1.23加强版”在2003下系统重新启动后，文件保护功能失效，然关闭“1.23加强版”一次然后重新启动“1.23加强版”则文件保护功能又能恢复正常。望测试修复为感，谢谢！

偶的系统也是2003,我这里测试过没问题呀!是否用成了上一个版本了?不确定的话重新下载试一下.

wang6071

谢谢大家支持,偶正改进算法,拟采用如下方式处理:
1:方式一：文件黑名单(黑名单是完全匹配)，适用一般用户,此为默认方式．
2:方式二：自定义监测目录方式.
   每个目录可单独设置规则：
   a:选择包不包含子目录
   b:设置排除于监测之外的文件．（此名单目录监测通用）
   c:设置使用模糊算法．（此名单目录监测通用）
   d:设置允许只监测的文件类型(用户指定，目录监测通用）
　 e：设置目录采用黑名单完全完全匹配方式(用于监时文件目录)．
   以上选项可以单选或组合多选等．(另外，将判断是否对包含了的子目录已单独设置了规则，如设置则采用设置的规则，否则换其父目录的处理规则)
　 其它将做的改变：不再采用白名单wfilter.dat,而是第一次运行后自动加入监时目录设置在filter.dat中(监时目录采用黑名单完全完全匹配),其它的监时目录自已定义．(如果你不设置就使用自定方式，将只有监时目录的黑名单监视效果).
　 不再做目录删除(删除了恶意文件仅留下它的垃圾目录对系统没有影响),这样可以简化一些算法．
   这个是基本设想，还未完成．欢迎各位兄弟讨论．
    完成的有代码的重新整理(去掉了某些冗余与不必要的算法),选项关联事件方式的保存．编辑器添加时的防重复输入处理,自动排序等．
　　本来拟打算用数据库方式做filter.dat，但试用各种方法后觉得效果不太理想(文件大小，内存占用等),所以在这上面浪费了不少时间．最后还是决定自定义．
   

wang6071

[UploadFile=1_1122249157.jpg]
贴个图,这个是设置界面,已经完成.左边双击可打开对应选项进行设置,而单击时则显示相关操作说明.
下一步就开始写业务啦(应用规则部份).

wang6071

[这个贴子最后由wang6071在 2005/07/27 00:52am 第 1 次编辑]

终于写完了业务部份的初稿,复杂的规则算法搞得我头昏脑帐.
还未测试算法是否合适,先给大家看看优先级流程:
----------------------- --------删除-------------------------------------------------------
         |                   |                 |              |             |
         |无                 |且无B,D,E设定    |              |             |
         |                   |                 |              |             |  
         |                   |非               |是            |是           |是
         |                   |                 |              |             |
File-->设定符--->免检(C)--->排除子目录(A)--->黑名单(E)--->类型过滤(B)--->模糊匹配(D)--->结束
                 |           |                 |              |                          |
                 |是         |是子目录         |无BD设定      |无D设定                   |流程
                 |           |                 |              |                          |
--------------------------------不删------------------------------------------------------
可见:
     设定的作用范围是本目录及其子目录(除非有A设定)
     当子目录下存在自已的设定时,则有设定的子目录(及其下子子目录)采用自已的设定.
以C:\windows为例:
1:
  C:\    仅有一个系统盘符的设定是最强设定,不允许创建任何文件
2:
  C:\
  C:\windows\temp\|E
  则仅有C:\windows\temp目录(及子目录)采用黑名单过滤,其它的新建都DEL了.
3:
  C:\|A
  C:\windows\temp\|E
  仅C:根目录不允许创建文件,C:\windows\temp\目录(及子目录)采用黑名单过滤.
4:C:\|A
  C:\windows\
  C:\windows\temp\|E
  在3的基础上加入删除c:\windows\下目录及其及子目录下文件的创建,但temp及其子目录使用自已的设置.
5:c:\windows\|ABCDE
  参见流程.
  首先,新建文件是否是免检,是则pass掉.否,则进入A判断.
  是子目录下的新建,pass掉,不符合pass条件查有否B,D,E设定.无B,D,E设定则删除.
  有B,D,E之一,则进入其下判断,依此类推.
流程图请大家复制下来到文本中即可看清,上面因为显示的自动换行关系重叠在了一起.
  

wang6071

http://free.ys168.com/?wangsea
下载第一个测试版吧，界面未完成，但主要功能是完成的了，请愿意尝鲜的朋友先测试一下功能。尝试更改一下自定义设置，以便发现未知问题。
本版还来不及说明，注册表监视部份与原来的相同，仅是文件监视功能上的增强。
同时，本版已不支持98系统。（因为98系统无法用文件监视功能，为避免程序中判断系统类型，就直接给屏蔽了)。

wang6071

添加按钮不能用是因为你没有双击对应要设置的选项.(前面贴子说过,单击是说明,双击才打开设置)
启动时在任务栏一闪而过就消失了,你的系统是win98?winme?,NT类系统(winnt,win2000,winxp,win2003)才能使用.

wang6071

下面引用由rightt在 2005/07/27 09:00pm 发表的内容：
我的系统是WinXP（龙卷风2.3）

偶试过的xp系统可以使用,其他不能使用的朋友报告一下,以便知道是否是一个Bug.
另外,更改保存设置后请手动关闭一下文件监视,再重新打开,否则新设置只能是下次启动后才生效.

wang6071

[UploadFile=SysSheild_1122469868.rar][UploadFile=SysSheild_1122469879.rar]
不能用的兄弟用这个没压缩的主程序替换试一下,看是否是压缩的原因.

wang6071

[UploadFile=SysSheild_1122470031.rar][UploadFile=SysSheild_1122470042.rar]
如果还是不能用,请用这个主程序再试一下(不检测是否是NT类系统),能用后请告知是否是这个检测NT函数的问题.

wang6071

[UploadFile=SysSheild_1122470593.rar][UploadFile=SysSheild_1122470604.rar]
去掉了NT检测与二次运行检测,请再测试行不行

wang6071

是二次运行检测的问题,偶知道了,谢谢大家帮忙测试!
如果你在测试中有某个设置不能达到预想的目的(参见前面流程),请帮忙贴一下你的设置与你想达到的目的.

wang6071

下面引用由mzszwh在 2005/07/28 09:57am 发表的内容：
为什么容量一下增加了这么多？
去掉二次检测后程序文件变了600多K了

文件变大是因为没使用压缩,这是这个软件真实的大小.对于系统来说,无论是压缩与没压缩的程序,其内存占用都是一样的.所以不必介意它的大小.
在发布版中偶都是经过压缩才放出的,上面提供的主程序是为便于发现问题提供的未压缩版.你可以用upx或aspack自已压缩一下.

wang6071

[这个贴子最后由wang6071在 2005/07/28 11:21pm 第 2 次编辑]

首先你得先卸掉天下搜索，然后在：
方案一：
请在黑名单中添加 iebar22.0.dll (偶没中过，搜索了一下搜到的相关文件，不知道对不对．你可以自已先确定一下天下搜索的主要文件名，以此来添加)
方案二：
在目录过滤中添加 E:\WINDOWS\Downloaded Program Files\|D
(依你的系统盘windows目录而定),规则选上模糊匹配
然后修改"定义模糊匹配"中的0-9.exe为0-9.*(因为这个iebar22.0.dll含有数字)．
再增强一点还可以在 "定义模糊匹配"中加入一条:  bar.*,应该够用了．

wang6071

新版默认的自定义设置得比较弱，主要是想兼容更多的系统(每个人所用的软件监时目录可能会不同)。
自定义设置可以如下：
c:\|A               //根目录用不含子目录的设置
c:\windows\|BD      //windows目录用类型过滤及模糊匹配
c:\windows\temp\|E  //监时目录用黑名单过滤
c:\program files\|E
c:\Documents and Settings\Administrator\Local Settings\|B
c:\Documents and Settings\Administrator\Local Settings\Temp|E
则大部份恶意程序可以屏蔽
以上仅是示例，具体还要看你的系统。请各位兄弟研究一下，如何用最少的设置达到最大的防护效果。
新版感觉用起来没以前那么简单明了,主要是放大的权力在用户自身设置上。而不会用自定设置的用户可以采用黑名单过滤方式(通过不断添加黑名单来达到防护效果)。这样做的目的是让软件的适应面更宽一些。

wang6071

想简单而更好的保护还可以这么使用：
平时使用黑名单过滤，上网时将黑名单过滤切换成自定义过滤，其自定义过滤的目录设置如下(只有两行）：
c:\          //不允许整个系统盘创建任何文件
c:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\|E    //允IE监时目录采用黑名单过滤
这个设置将保证你在上网的同时不会在系统盘的其它目录(除了IE监时目录)下创建任何文件。(用此设置时请不要把你的下载文件目录指定到系盘！）
并且，要记住在安装程序(如果是在线安装请监时关闭一下监视）或下网后切换回来。否则，过滤太强，在安装文件重启机器后因监时文件的原因会发生一些错误。
所以，为了方便使用，最好是用户根据自已的系统情况定制自已规则。
注意：c:\指你的系统盘路径，Administrator是登陆的用户名。

wang6071

[UploadFile=SysSheild_1122714510.rar][UploadFile=SysSheild_1122714520.rar]
求助:
  用繁体中文系统的朋友帮忙测试一下这个主程序,看能否在繁体中文下正确显示.

wang6071

下面引用由lj858155在 2005/07/30 11:05pm 发表的内容：
wang6071   兄弟 还是老情况汇报 手动启动 所有功能正常 调整为随系统启动 然后重新启动计算机 系统文件保护功能失效 关闭软件 手动重新启动软件 系统盘文件保护又恢复正常 是自动启动小加载了什么文件 还是其他 ...

不知道在你的系统中为何如此,偶试过的机器都没有这个问题.
有几点不知你这是如何处理的
1:"文件监视页"的"随重启后开启文件监视"你是否把勾给取消了?
2:syssheild必须安装于非系统分区(若安装到系统所在的分区则文件监视会失效)
3:若你使用了多个syssheild,请注意一下在随系统启动时的路径是否是你手动启动的那个syssheild的路径(软件启动项目中就可以看到).或者你用上面的繁体版监时替换看一下(若功能正常,它的图标是绿色的,有关闭功能是黄色的.用简体系统会看到乱码,但打开IE就是简体中文了.)
4:若还是不能解决,试试将syssheild加一个快捷方式到开始菜单的启动中来启动.

wang6071

[这个贴子最后由wang6071在 2005/07/31 01:04pm 第 1 次编辑]

toadchilde兄:
  建议很好,新版对某些东西作了一些改进.比如已删除的文件是只记录最后200个被删除文件的情况,未删除当然不会有记录.
  另外,关于文件监视不起作用可能是你的测试方法有误,你试试如下测试:
1:在系统盘根目录新建一个文件.(使用自定义选项)
2:在非系统盘建一个3721.exe,然后拷贝它到您的系统盘.(使用黑名单)
3:在桌面上建一个3721.exe,然后拷贝它到系统盘的其它目录下.(使用黑名单)
另外,若你是想不在windows目录下创建任何文件,请在自定义规则的目录设置中添加:
C:\windows          //你的windows路径,不要加任何规则在其后面.
其它目录仿此处理。
如果你把默认的c:\|A改为C:\即你的系统下写保护，试试在系统盘任意目录下新建文件。(重启机器前最好改回来)

wang6071

感谢诸位兄弟对syssheild的关注,偶已做好了一个chm帮助,使用前请大家看看一些注意事项.
系统安全盾正式版下载:http://free.ys168.com/index.aspx?wangsea
(简体中文系统请使用SysSheild_GB.exe,繁本中文系统请使用SysSheild_gb5.exe),

wang6071

[这个贴子最后由wang6071在 2005/07/31 03:53pm 第 1 次编辑]

re 红叶兄：
[SysSheild_KillFile]下面似乎全部是精确匹配
   确实如此，此段下即黑名单文件，它是全盘精确匹配的．因为自定义的Blurring中可以写入适用面更广的规则，所以对黑名单现在的做法用的是精确匹配．当然改一下也可以做成模糊的，考虑到不同层次的需要，对这个选项目前做成了精确匹配．
Blurring项目即模糊匹配，内置了一个0-9.*(已经屏蔽了所有含数字的文件),只需把相关需要模糊匹配的目录加入到其中就可以了，比如 E:\WINDOWS\|DE,当然，监控方式得选择自定义．

程序的规则定义界面仅仅只能添加，而不能查看和编辑，每次都得打开配置文件，然后对照说明中的ABCD……进行设置，有些不太方便：）
　　可以编辑的，手动编辑与用界面按钮添加是一样的，但记得加入后要保存一下．不能查看全文是因为担心某些兄弟不了解写错了关键字，所以对于每项都单独打开来给显示．
    手动添加也不必对照说明，每个过滤选框后的文字中偶都在括号中写入了对应的标志字符，按括号中的标志字符来加规则就可以了．

  

wang6071

下面引用由紫狐在 2005/07/31 04:01pm 发表的内容：
建议将资源文件独立，这样就不用分两个版本，只要根据设置读取资源文件就可以实现多语言。

没做在资源文件中是觉得没必要增大程序的体积.原来的打算是做成ini中换语言的,因为手上有个转繁简工程的好工具,所以偷懒了.:)

wang6071

re  紫狐兄：
    确实如此！不过目前好象还没这个需求。即使有，版本定型后，直接改资源也行呀！偶想没必要真的做成多语言的，所以该偷懒时就偷懒。：）
re wang6610:
   readme.chm是在800X600分辨率下写的，所以可能在1024X768等高分辨率下字体显得有些小。偶在此方面是菜鸟级，请各位兄弟包涵一下，对付着看吧。

wang6071

[这个贴子最后由wang6071在 2005/07/31 07:49pm 第 1 次编辑]

下面引用由紫狐在 2005/07/31 07:17pm 发表的内容：
wang6071，安全盾无法把自己加载到启动。
我停止原来的版本，并且从注册表删除，然后在D盘运行新版的安全盾，点击界面的启动时运行，安全盾能够添加相应的项目到注册表，可马上就被它自己删除了，退出后再进入界 ...

非bug ,是您先选择了锁定启动组,再选择启动时运行的结果.请先关闭锁定启动组,加入后再锁定启动组.(锁定启动组功能对自已也要求严格,绝不例外:)

wang6071

[这个贴子最后由wang6071在 2005/07/31 09:33pm 第 2 次编辑]

wang6610 兄弟提及的内存占用问题已解决.(一个奇怪的现象,不过找到解决方法)
紫狐     兄弟提的关于自身加载到启动组的问题已解决.
请重新下载,这个修正版在偶的机器上最小化时仅占2M(当前是1,544K)以下内存,开启界面后在4M(当前是2,776K)以下.同时,也对加入自身做了一下调整,加自已确实没必要那么严格,给了自已一点特权:).