[sysshield]系统安全盾

emca · 发表于 2006-9-27 21:09:15

Syscheck BUG 报告：
在文件管理器中，如果先按蟆排序，则删除文件后，排序方式会自动还原为默认的方式。反复排序才能操作，不方便。另外，文件日期时间的显示方式看上去不太习惯，建议改成按中文标准格式显示文件日期。

emca · 发表于 2006-9-28 00:04:01

不能清除的内容主要是驱动保护的流氓病毒文件。具体文件名记不得了，当时太多，也没有时间慢慢记。
优化大师的清除似乎也使用了驱动文件（SYS）。具体技术细节不明。可能得反汇编分析。

另外，内核检测功能最好设置为启动程序时即自动进行，如果发现有被HOOK的对象，则弹出对普通用户较友好的提示：“当前系统中发现分部系统功能调用被异常接管，是否恢复为系统默认状态？”，这样就更加高效？否则有时不记得先查看内核HOOK情况，而在前面几个页面中做了半天无用功：）对于不太了解用法的用户更加如此。

[ 本帖最后由 emca 于 2006-9-28 12:14 AM 编辑 ]

emca · 发表于 2006-9-28 18:09:09

安全盾的妙用：

今天给同事配置一台新安装的服务器。以前都要安装一款杀毒软件的，目的是防止别人上传木马进行入侵。
于是想试试不装杀软了，反正服务器并不需要经常安装各种程序的。因此在部署好应用服务后，只安装了安全盾。规则当然修改得严格一些，对于系统根目录、程序目录、系统目录等，凡是不需要新生成文件的地方一律禁止写入。模拟测试上传木马等，均无效。妙啊！不需考虑升级和新病毒木马的问题了！

其实安全盾要是以服务器防护为目标进行一些针对性的策划和开发，把它商业化是完全可能的。

emca · 发表于 2006-9-29 07:11:16

我没有发现楼上的现象。是不是楼上已经中招。病毒在与安全盾PK，从而占用了过多资源？

如图：

emca · 发表于 2006-10-1 17:59:05

关于互联星空：
前面楼上兄弟的情况值得同情和愤慨！
看来中国的网络环境真的没有多少净化的希望了！
电信流氓到随意修改DNS指向，强行把自己的内容推给用户，其他的我们暂且不讨论，这里只讨论技术问题：
1.既然无论本地采取什么手段都无法阻止它的弹出，应当是电信在DNS服务器等用户必需的出口位置采取了劫持措施；
2.既然启动后首次启动浏览器时会出现电信的垃圾广告窗口，而随后不会重复出现，则说明其必然有一个判断机制，而这个极可能是利用浏览器的 Cookie！由于Cookie可以设置多种生存期限等参数，因此出现这种首次启动后就会出现垃圾窗口的情况就容易解释了。
对策：
本人这里的电信暂时还没有开始耍流氓。因此我不好具体测试。
请中招的兄弟先把IE及其他窗口全部关闭，再在控制面板的Internet选项中把浏览器缓存和Cookie全部清空，然后立即重启、打开IE，再查看Cookie和浏览器缓存目录。把Cookie目录等内容打包贴上来，会有高手分析其工作原理并采取措施的！
如果它是使用Cookie记录访问信息的，则我们同样可以采用伪造Cookie进行欺骗（做一个假的Cookie，有效生存期限为1万年？！然后使用只读、NTFS权限防止修改？！）

如果是通过注册表保存访问信息的，则可使用 Advanced Registry Tracer来跟踪注册表的修改。

一句话，有中招条件的兄弟做做努力，全国广大可怜的网民就指望你们的测试分析结果了！

请一帮高手关注吧！

emca · 发表于 2006-10-1 19:11:28

在 Maxthon 的过滤列表中，分别将 *vnet.cn/* 添加到弹出窗口和内容过滤中。然后把 0.0.0.0 vnet.cn 加入到 HOSTS文件中，试试看！本人无法测试，不知道是否影响浏览。请测试反馈。

emca · 发表于 2006-10-1 21:48:24

为了方便大家使用 Wangsea 建议的方法屏蔽流氓网址，这里临时制作专门的互联星空屏蔽工具供大家试用。只需把你当地的互联星空的流氓IP解析出来并输入即可屏蔽它！

emca · 发表于 2006-10-2 08:55:47

XP2 的 CMD和Command环境测试，md ...\ 命令无法完成。

emca · 发表于 2006-10-2 08:56:56

关于互联星空：
如果自己强行设置其他附近地区（没有开始流氓行为）的 DNS 服务器如何？这样本地电信DNS不就失效了么？

emca · 发表于 2006-10-2 12:05:43

测试上述命令，果然只能在FAT32文件系统中有效，NTFS中无效。

emca · 发表于 2006-10-3 14:43:28

安全盾规则更新！
本次添加了篮球兄弟的一些黑名单。
注意，由于瑞星给我们添了太多的麻烦，它根本不能有效防毒，但给杀毒带来许多不便，因此本次把瑞星也列入黑名单！
不合格的杀毒软件，管它什么来头，一律就地正法！
瑞星的拥趸者不要用就是，别再叽叽歪歪的了！

emca · 发表于 2006-10-4 21:55:14

Winpooch 新版本兼容性似乎稍有改善。如果我们不折腾它，似乎能够比较稳定地运行。如果折腾得厉害，则可能蓝屏！

emca · 发表于 2006-10-4 23:53:58

关于Winpooch，通过大量测试，发现：
1、如果规则中有较多的 LOG 模式，则极易导致系统停止响应，严重时蓝屏；
2、尽量不能有重复规则，可有效降低假死。
3、把本人正在使用的规则共享一下。规则已经全面重新制作，效率应当有所提高。顺便共享最新版本的简体中文语文文件。原始程序请自己下载！只支持最新的0.6.1版本。

emca · 发表于 2006-10-6 07:57:31

对楼上兄弟所说的个人看法：
首选声明仅为探讨，不是争论：）我们使用了Wangsea的免费工具，当然有责任给出建设性的改进意见，而最好不要用简单的结论评价来替代建设性的探讨。
1、数字签名似乎有用，有一个当然不错。但仔细一用才发现并非法宝。实际中我们需要判断的主要是非微软的那些东西，但它们并非一定有数字签名的，但我们却不能根据数字签名与否来确定它是否有害。因此数字签名有一定辅助，但不能把宝押在它上面。

2、Syscheck 没优势之说不敢苟同。我研究过兄弟所述的几种工具，技术功能上各有千秋。由于检测方式的不同，没有哪一种是万能的，总有它们不能顾及的地方——因为Roothit的实现也并非只有一种途径。当然，Syscheck 在实践中不断改进、增强、与上述同类工具的强悍功能靠齐，这是完全有必要的。Sycheck 的最大优势在于人性化——真正的不是以程序员为中心、而是以用户为中心。而上述几种工具恰恰相反。Syscheck 中，各种项目右击鼠标会得到极其丰富的操作命令、不同颜色区分不同种类的对象、自动隐藏安全的项目、禁止其他线程创建……这些功能在实际使用中方便无比。就算一个老玩家，在Gmer中，也会对众多一股脑儿显示的项目无所适从——起码眼看花了，但在Syscheck中绝对不会。因此，可用性是Syscheck的最大强项。

3、至于2003中的问题，这个当然能够改进为好。但2003主要充当服务器平台，我实在想不出在一台服务器上经常安装共享软件会是什么后果。在服务器上检测Rootkit？更是笑话，服务器的安全应当以干净状态下的安全加固和防范为主，到了需要检测Rootkit的地步，这台服务器你还敢用吗？！经常在服务器上检测Rootkit那只是菜鸟的做法。

4、试用其他几个同类工具时，也有一些体会，觉得有些功能它们做得还不错。Syscheck值得借鉴和改进的地方如下：
  ①Gmer 的Rootkit检测项目相对比较全面，支持象杀毒软件那样对磁盘分区扫描（但肯定没有使用独立的特征库）；
  ②进程显示中，有一个 Safe 模式，试用后居然重启，引导到一个独立的 Gmer 界面，查看进程时，此时居然只有一个Csrss.exe的进程！这种干净程度是无与伦比的！原来Syscheck测试了那么长时间的“快速净化系统”功能在Gmer中是如此极端地表现的！不能不佩服Gmer的大胆、果决！当然，其进程显示差劲得一塌糊涂——根本看不出有哪些进程被注入等。得一个进程、一个模块地慢慢看，不是资深高手就干瞪眼吧！
  因此，Syscheck 的净化功能是不是也可以参照它一下？不过，目前的快速净化仍然保留为好，因为我们并不希望动不动就重启一次：）
  ③其 Autostart 扫描中，也有部分项目值得 Syscheck 借鉴。其中，Syscheck/Sysshield 可能没有监视和检测的项目大致有：
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows
HKLM\SYSTEM\CurrentControlSet\Control\WOW@cmdline
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\*\shellex\ContextMenuHandlers
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers
HKCU\Control Panel\Desktop
HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID
HKLM\Software\Classes\PROTOCOLS\Handler
  ④Gmer中各项功能分别以选项卡列出，模块比较清晰。对照之下，感觉 Syscheck 的功能分类仍然可适当改进，比如把检查并修复的功能是否可集中到一个“检测修复”选项卡中？如进程管理页中的“输出信息”其实并非仅仅只输出进程信息的，而是输出全局信息，因此这个输出信息放在进程管理页就不太合适；其他如“Winsock检查”、“磁盘关联”也差不多如此。如果集中到一个“检测修复”选项卡，则以后类似的专项修复功能均可集中作为选项放在里面，也便于日后的功能扩充。
  ⑤另外，Syscheck 的文件浏览器中的“重命名”、“延时删除”功能为什么不能同时移植到“进程管理”和“活动文件”项目中？有些进程结束后，重启仍然会回来，有些活动文件怎么也无法禁用，此时采取延时删除就是比较可靠的做法了（最近查杀几个新流氓病毒就深有体会）。同时，以前好象有的“永久禁止该程序运行”的功能似乎取消了？我想这还是非常有用的，昨天我在对付一个Yasrd.exe的顽固进程时，由于其采用了驱动保护，无论怎么处理均无法有效结束那个Yasrd.exe进程，最后还是用系统本身的软件限制策略（注：Home版的XP不支持本地安全策略！只能用程序映射方式禁用）限制其运行，重启后轻松搞定（此时先还原SSDT，再直接修改驱动文件的文件名，由于没有进程守护，果然可先对驱动改名，然后重启并删除了）。而当时延时删除居然也无效，可能是病毒监视了延时删除的注册表键值吧。
⑥Syscheck 日后的改进，一方面可以在驱动上再下功夫，功能的强悍第一；兼容性上，是否可做成双驱动，检测到不同系统分别加载不同驱动？再就是逐步添加少量但关键的网络检测功能，类似Currport等的端口检测，能够强力显示当前开放和侦听的端口与进程的对应关系并选择是否结束相应进程等。如此功能就真的更加专业了！
⑦Syscheck 微小BUG：在文件浏览右键菜单中，“传送到”的子菜单项“其他资文件夹”似乎多了个“资”字；“复制文件名到剪贴簿”的提法是台湾的，最好统一为“剪贴板”：）
⑧Syscheck 中所有的文件删除操作最好使用回收站。前天不小心误删除一个驱动文件，导致系统不能进入，当时没有记录删除的文件名，用PE引导进入后想恢复都不知道是哪一个文件，只好重装！苦也！
⑨内核“强化检测”功能在检测一个名为Yasrd.sys的流氓进程时，如果选中，反而不显示这个流氓进程的内核Hook状态，不选择倒能够显示。是不是逻辑上有错误？
⑩“进程管理”中建议添加一个进程对应文件的“提供厂商”的字段，那样更方便辅助判断。通常“三无”产品或假冒微软标志的都是首选值得怀疑的对象。

最后顺便说一句，真正终极可靠的检测是用PE离线检测和处理，那样任你什么Rootkit也只有死路一条，总不能采取直接写磁盘扇区的猥琐手段吧，哈哈！

[ 本帖最后由 emca 于 2006-10-6 08:00 AM 编辑 ]

emca · 发表于 2006-10-7 08:19:16

楼上所说的那个东东，根本原因在于规则不齐全，而且完全依赖规则，因而防护效果不好。如果把Sysshield的规则迁移过去，效果应当也是相当不错的。只不过它的规则设置极其麻烦，不能象Sysshield那样用一个记事本打开一个文件就可搞定。使用的人性化上与大多数国产软件一样，是以程序员为中心，可用性仍然是非常差劲——只有作者自己明白哪个按钮是干什么的——普通用户不得不一一点开查看。不喜欢。

另外，从国庆后，这个东东的论坛居然不允许新注册用户下载规则！还没有开始就采取如此封闭、如此自恋的做法，又一次证明了中国劣等程序员（不是所有程序员）的悲哀！恶心啊！

[ 本帖最后由 emca 于 2006-10-7 08:41 AM 编辑 ]

emca · 发表于 2006-10-7 19:22:35

本次的修改确实分类更加明确，同时也给日后功能发展预留了更好的空间。
不过，从实际使用来看，SSDT检测功能隐藏得相对较深，因为稍复杂的环境下的检测都可能要先还原SSDT，因此熟练用户一般都是先查看SSDT然后再检测其他项目，因为这样才比较可靠。反正到了需要检测的地步，即使系统中安装有杀毒软件也仍然不能大意。
建议：
在首页进程管理下面，添加一个“防止隐藏进程”的选项，默认可以为不选中，其功能就是恢复 SSDT。之所以要写成防止隐藏，是便于一般用户使用，因为不写程序的家伙一般是不知道什么是SSDT的（其实我也不太知道，嘿嘿）。当然了，如果选中了防止隐藏进程这个选项，那么就得给出一个提示：“选中本选项，关闭本程序后强烈建议重启计算机。”这样就可以防止杀毒软件也被SSDT恢复干掉其实时监视功能了（不过，如果杀毒软件对病毒睁一只眼闭一只眼，那么就算杀掉杀毒软件又如何？反正现在的杀软基本上都是个摆设）。

emca · 发表于 2006-10-8 22:37:45

2000 环境的Winsock修复确实有问题。我想最好是区分XP／2000的不同系统分别修复。

emca · 发表于 2006-10-15 11:21:52

请大家试试把以下内容导入注册表，对于防范网页木马是极其有效的，对于正常使用基本没有任何感觉：

REGEDIT4

; 说明：
; 为防范恶意网页木马感染而删除以下组件：
; 恶意执行程序组件 WScript.Shell
; 木马生成组件 FileSystemObject
; 木马下载组件 XMLHTTP
; 木马上传组件 ADOB.Stream
; 木马执行组件 Shell.Application
; 要恢复时，请删除下面每行前面的 - 号再重新导入注册表即可！
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88D969C5-F192-11D4-A65F-0040963251E5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88D969EA-F192-11D4-A65F-0040963251E5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}]

我如此处理后，不使用任何安全防护工具，直接用 IE 上大家说的有毒的网站，怎么都不中毒，强的很！
有没有更好的办法，大家也发表意见！

emca · 发表于 2006-10-15 21:02:09

就算把二炮这样的牛部队送给拉登，我想也不会有太大作用的：）

emca · 发表于 2006-10-16 21:01:17

Sysshield 在目前已经初步具备了恶意程序尤其是流氓程序的植入感染。但由于其无法做到象杀毒软件那样使用庞大的特征码匹配，因此在防护效果上仍然比较有限，这也把它的防护功能主要局限于防范流氓程序方面（而且也得经常性更新流氓特征规则，只不过流氓病毒数量比普通病毒数量在少得多而已）。

因此，个人觉得，在目前现有经验的基础上，不需要花费太大力气，还是应当有一个质的台阶可上的！
本人近期一直在玩Windows XP的软件限制策略，发现这是一种不错的做法。另外，Winpooch也有类似的功能。而Syscheck的的阻止进程创建已经是成熟的技术了，因此把这个技术于移植到Sysshield上就能够实现这种功能上的突破。

我的设想主要是增加根据文件名和路径规则来禁止某些程序运行的功能。Windows XP的软件限制策略已经是极其强大了，唯一的不足是无法定义白名单（即赦免规则），如果有相同路径下的通配符禁用规则被设置，此时就算添加了允许执行的特定项目，这个允许的项目也是无效的。而Winpooch则讲究规则的顺序和优先级，其对进程的创建可以通过规则变得非常强悍！只可惜其稳定性和兼容性太差了些！

由此我想，如果能够灵活定义软件的运行许可规则，那么就可能通过逻辑规则，结合通配符的使用，极大地限制有害程序的运行！
比如目前我们这里流行通过移动磁盘的自动运行功能进行感染的病毒，我只需在软件限制策略中禁止移动盘符从根目录到二或三级子目录的可执行文件的直接运行，即可极其有效地阻止病毒程序被激活；那些隐藏在回收站等特殊目录中的病毒也可以通过规则轻松阻止；对于Windows目录，就可以先把系统可以运行的程序设置为“允许”，然后再禁止一切其他，则什么灰鸽子，就算是黑鸽子、白鸽子也毫无用武之地！……

Winpooch的目录规则中，支持*和?的同时，还引入了本级路径匹配和全路径匹配的概念，这给规则的制定带来巨大的方便。可以学习。

希望大家就此讨论讨论：）

emca · 发表于 2006-10-18 07:10:56

单纯玩技术的东东：
冰刃IceSword v1.20
http://www.crsky.com/soft/6947.html

新版本的易用性和方便性仍然得向 Syscheck 学习；而Syscheck的核心技术要向Icesword学习，嘿嘿～

emca · 发表于 2006-10-20 19:28:55

在大量使用实践中感觉到，活动文件项目中最好分类显示为好。

emca · 发表于 2006-10-26 17:49:04

因安全盾被人误设置了D:全盘监视，导致编辑的Word文档存盘时丢失！而且由于是拦截了写文件操作，因此用数据恢复工具也无法找回！
因此，强烈希望Wangsea能够允许给安全盾设置一个简单的口令，以防别人不小心修改了设置。以前总认为不会有什么问题，真的遇到一次，损失巨大！这个设置口令可以是明文的放在配置文件中，以防主人自己忘记设置口令。而别人真的要打开配置文件查看口令再修改，则肯定是有修改的必要。口令只需防范不明白的人无意中弄错配置。

emca · 发表于 2006-11-5 20:52:09

哈哈，给 WangSea 兄弟顶帖，顺便把我以前做的免疫流氓病毒的、经 Phonex新近花费大量精力修正过的 RogueDead.exe 贴上来共享！
一个压缩包，里面的特征已经更新，同时修正了空格目录免疫失效的问题！

免疫原理是目录占位加权限限制，因此出现一些0字节空目录并不能打开的属于正常现象。因此不喜欢的不要用也不要就出现的目录问题多嘴。

经我几个月给大量菜鸟的使用实践，证明目录免疫仍然是目前对付流氓病毒最有效的方法，无论是在线安装还是捆绑都极其有效！不用内存驻留程序，不存在关闭监视后失效，不会与正常应用冲突。因此看上去最笨的办法却成为最有效的办法，哈哈！

[ 本帖最后由 emca 于 2006-11-5 09:53 PM 编辑 ]

emca · 发表于 2006-11-6 07:53:37

你那个名字金山词霸查不出来，不小心顺手就又错了，Sorry！！！！！！1

emca · 发表于 2006-11-7 06:36:22

Syscheck 新版本使用感受：

1、进程模块的简洁显示非常方便查看模块信息，再一次证明 Syscheck 以用户为本的理念，这是其他工具远远不能企及的！
2、签名验证在我的笔记本上只比平时稍慢，数秒后即可显示所有进程，但准确率大幅度提高，值得使用；
3、服务管理页面，如果也改成默认只显示非微软服务，则操作时就少一个步骤，更加方便，请考虑；
4、上一版本中发现无法检测灰鸽子进程，明明在Windows的任务管理器中有一个iexplorer.exe的进程（无IE窗口），但Syscheck就是不能显示。不知道为什么任务管理器能够显示而Syscheck反而不能显示。条件限制没有采样。

emca · 发表于 2006-11-15 07:29:15

昨天用Syscheck处理一起病毒事件，先是珊瑚虫工具栏，其驱动Ytkeeper.sys无法中止、删除，反复各种尝试失败后用PE清除之；
接着是最新的 My123 病毒，其驱动 ltggqp.sys 无法清除，包括延迟删除失效；同时此驱动修改了一处 SSDT（好象是 Fileopen），也不能成功还原这个 SSDT。最终用PE清除。另外，虽然没有监测到其对注册表操作的Hook，但病毒活动时对IE首页的修改确实无效，修改后马上被病毒改回 www.my123.com（即 www.7255.com）。使用网友提供的几种专杀工具，发现能够检测但根本无法有效杀除（重启后立即恢复。原因是病毒驱动无法有效清除）。而另外一网友却报告用 http://www.arswp.com 提供的Arswp工具能够有效清除，这说明中毒后清除病毒驱动仍然有更好的编程办法，请Wangsea兄弟参考并请知情的兄弟进一步讨论。、

另外，处理上述My123病毒时，发现其驱动签名是仿冒微软的，但在 Syscheck 中报告为验证未通过！据此我才从大量的驱动中快速找到这个病毒驱动（据说会随机改名，因此肉眼查找难度更大）这说明Syscheck的签名验证功能是非常必要的！！虽然稍慢，但能够解决问题，这就对了！

因此，在应用程序这个层面上，安全工具与病毒其实是在比拼编程技术，同时由于往往是病毒已经进入后再使用安全工具，因此其优先级就成了一个大问题！由此可见，防范仍然是第一。从本次病毒感染的分析来看，极可能是用户从百度搜索MP3，找到某个链接，然后打开了这个带毒的链接而中毒的（分析其中毒前后的浏览器历史）。但笔者用自己的笔记本反复浏览中毒前后相同的网页却并不中毒，而区别仅仅在于关闭了IE的几个Activex组件，阻止了浏览器中的代码直接自动在系统中生成文件而已，对应的注册表内容如下：

-----------------------------------------------------
REGEDIT4

; 恶意网页木马免疫——删除以下组件：
; 恶意执行程序组件 WScript.Shell
; 木马生成组件 FileSystemObject
; 木马下载组件 XMLHTTP
; 木马上传组件 ADOB.Stream
; 木马执行组件 Shell.Application
; 要恢复时，请删除下面每行前面的 - 号再重新导入注册表即可！
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88D969C5-F192-11D4-A65F-0040963251E5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88D969EA-F192-11D4-A65F-0040963251E5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}]

--------------------------------

由此可见，Syscheck 的修复工具中是否可添加一项“增强IE浏览器安全性”这个功能？具体可包括上述修改和其他一些典型的对平时应用没有明显影响的安全处理。

[ 本帖最后由 emca 于 2006-11-15 07:31 AM 编辑 ]

emca · 发表于 2006-11-16 14:50:48

对于已经中毒的系统，采取通过BootExcute加载清除程序的做法是没用的，因为病毒早就会想到这招，它同样会监视这些键值，让你的修改失效。这就是为什么许多病毒使用延迟删除也不能清除掉的原因。

至于用Grub加载一个特殊的IMG当然是个思路，但问题是NtfsDOS之类的工具对系统分区可能会导致逻辑错误！
因此最好的办法是在系统分区安装一套PE作为备用系统，不但是病毒问题，其他问题导致的标准Windows模式下不能解决的，都能够轻易处理。我一直这么做，仅仅是占用系统盘100MB空间来存放PE而已。包括日后的Vista都可以如此维护，因为DVD驱动器并不是目前所有PC上都配置的，不少机器仍然用的是CD—ROM，因此用DVD维护系统其广泛的适应性就成了问题。

如果要营造一个实模式，则Gemer已经有所尝试，但这仅仅只适合高端用户，普通用户反而无所适从。因此适用的广泛性仍然是问题！

emca · 发表于 2006-11-19 08:12:37

最新版本在我的Windows XP环境中，服务检测页的微软认证全部是空白，无任何内容。是否是忘记了什么？

另，文件浏览窗口中，建议两点改进：
1. 按字母键能够象资源管理器那样快速定位到对应的首字母文件名；目前是必须拖动滚动条定位，不太方便。
2. 是否也能够象服务管理那样，在文件浏览中添加一项“优先/只显示特殊属性的文件”选项？那样快速定位可疑文件时更加快捷方便，尤其是System32文件夹，文件数量巨大，优先将具有隐藏、系统、只读属性的文件加红突出显示，能够快速定位可疑文件。99%的情况下非法程序文件都喜欢修改属性隐藏自己的。

[ 本帖最后由 emca 于 2006-11-19 08:17 AM 编辑 ]

emca · 发表于 2006-11-21 07:20:39

Grldr 最好改名，这样不会与已经安装的其他引导模块冲突。

		自动登录	找回密码
密码			注册

[sysshield]系统安全盾

SS

:)