[sysshield]系统安全盾

wang6071 · 发表于 2006-2-9 12:39:11

[UploadFile=Syscheck20060209_1139459818.rar][UploadFile=Syscheck20060209_1139459827.rar]
再次修正算法,应可更稳定一些.
另外:
本程序必须复制到本机上运行,远程目录运行时进程列表会失败.

wang6071 · 发表于 2006-2-9 22:53:07

本次按紫狐兄的意见不再释放驱动,所以多了一个文件
按ly001兄意见将进程页"汉化"了
wang6610兄弟反映的问题有点奇怪,不知是否是您的系统中有一些程序干扰了syscheck的工作，不如试试新版(有一点忘了告诉大家，也忘了修改，就是dmp出的hiv也在程序本身目录，若是只读环境当然生成不了hiv文件，下次修正)
目前恢复了本进程中的如下函数,由于恢复这么多api,所以不知其它系统下效果如何,请各位兄弟在测试:
ZwOpenProcess          NtQuerySystemInformation
NtVdmControl             NtQueryObject
NtQueryInformationThread  NtResumeThread
NtSuspendThread          NtOpenThread
NtEnumerateKey          NtEnumerateValueKey
NtQueryVolumeInformationFile LdrInitializeThunk
NtOpenSection          NtMapViewOfSection
NtUnmapViewOfSection    NtOpenDirectoryObject
NtAllocateVirtualMemory NtFreeVirtualMemory
NtDuplicateObject       NtReadVirtualMemory
NtWriteVirtualMemory    NtQueryVirtualMemory
NtFlushInstructionCache NtProtectVirtualMemory
NtQueryInformationProcess NtOpenKey
NtCreateFile             NtDeviceIoControlFile
NtOpenFile             NtNotifyChangeDirectoryFile
NtWaitForSingleObject    NtWaitForMultipleObjects
NtDelayExecution       NtQuerySystemTime
NtWriteFile
以上函数按照hxdef100来设定,所以此类后门所隐藏的文件目录将失效.
在进程页,服务管理页中,右键有一个定位文件功能,可以定位到隐藏进程所在的目录,
非隐藏进程则可定位到程序本身,各位兄弟在杀进程前可先用此功能定位文件,杀之后
再删除文件,这样方便一点,以查找之苦.

[UploadFile=syscheck_1139496741.rar][UploadFile=syscheck_1139496764.rar]

wang6071 · 发表于 2006-2-9 23:41:52

下面引用由emca在 2006/02/09 11:23pm 发表的内容：
上面版本仍然在 Windows XP SP2 真实环境中显示“初始化失败，本例程不能使用于您的系统，请退出”，同时进程列表不能显示，其他基本正常。

奇怪呀,偶测试过 winxp sp2 (5.1.2600.2180)  虚拟机中测试
            win2003 (5.2.3790.0)    实机检测
事实上程序中仅检测了是否是 2195(win2000) 2600(winxp)  3790(win2003)
偶怀疑是您的系统中有某个保护(或者登陆权限不够)造成偶的驱动加载不成功.

wang6071 · 发表于 2006-2-10 00:12:48

加载驱动时需要在注册表中创建如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KernelPort
创建加载后立即作了删除该键值的操作

wang6071 · 发表于 2006-2-10 12:24:35

还原成单个文件方式(考虑两个文件易丢失其一),释放目录都设在了临时目录中了.
同时,修正页面切换时有可能发生的一个错误.
[UploadFile=syscheck20060210_1139545447.rar][UploadFile=syscheck20060210_1139545461.rar]

wang6071 · 发表于 2006-2-10 21:28:59

下面引用由emca在 2006/02/10 06:11pm 发表的内容：
完全相同的系统环境，这次终于一切正常了，哈哈！

同喜，证明程序的兼容性还是不错的，偶原来想如果真的兼容性太差，就换用另一种不用驱动的较Bt的方法来修改，现在看来用不着了．可以慢慢研究一下在win32级暴力枚举的可行性啦(好处是不用驱动，兼容性更好)．

wang6071 · 发表于 2006-2-12 21:43:06

谢谢红叶兄,祝大家元宵愉快！

wang6071 · 发表于 2006-2-16 12:25:38

下面引用由luxp在 2006/02/16 11:03am 发表的内容：
我是WIN 2003 server.刚在Wangsea空间下载最新的syscheck20060210.exe。一运行就重启。

原因是:您的系统是win2003 sp1,偶的这个只适用用于未打sp1的win2003,对win2003 sp1还有几个系统内存偏移未知,所以暂不支持

wang6071 · 发表于 2006-2-17 18:08:07

有win2003 sp1的兄弟帮忙测试一下现在syscheck能否运行在win2003 sp1下
[UploadFile=Syscheck20060217_1140170872.rar][UploadFile=Syscheck20060217_1140170882.rar]

wang6071 · 发表于 2006-2-19 18:25:07

按emca的建议,修改了一下程序.
以下是处理过的注册表启动键,不是很全,因为考虑某些键值可能生手会误删系统键,所以未收入.
某些位置或不能正确定位的也未列入(主要是不知其是主键还是键值)
如果有哪些重要键漏了,请帮忙指出其路径(请注意是主键还是键值)
下面的键位置是简写,不过相信大家都清楚其位置
Machine_RunServices
Machine_ShellExecuteHooks
Machine_RunOnce
Machine_RunServicesOnce
Machine_RunOnceEx
Machine_ExplorerRun  //实际为Explorer\Run
Machine_WindowsLoad  //实际为windows\ 键值Load
Machine_WindowsRun //实际为windows\ 键值run
Machine_Userinit    //实际为windows\ 键值Userinit
Machine_Notify    //实际为Winlogon\  键值Notify
Machine_Shell       //实际为Winlogon\  子键Shell
Machine_Scripts
USER_Run
USER_RunServices
USER_RunOnce
USER_RunServicesOnce
USER_ExplorerRun //实际为Explorer\Run
USER_WindowsLoad //实际为windows\ 键值Load
USER_WindowsRun //实际为windows\ 键值run
USER_Shell       //实际为Policies\System\Shell子键
USER_Scripts
USER_FoldersStartup
[UploadFile=NewRing0_1140344641.rar][UploadFile=NewRing0_1140344650.rar]

wang6071 · 发表于 2006-2-19 23:50:57

[UploadFile=syscheck20060219_1140363957.rar][UploadFile=syscheck20060219_1140363966.rar]
又修改了一下
谢谢emca的建议,考虑到http://virusscan.jotti.org/服务器往往太忙,且又是E文,再加上仅凭文件名来判断的方式不是太好.另外,又不知直接发送检测的地址如何带上文件名以避免进入后还得输入文件名.所以本次仍未加入此功能.

wang6071 · 发表于 2006-2-20 22:10:06

谢谢红叶兄的建议,偶的程序其实也就是网上代码的整理,偶只是这些代码的整理者,并没有发现什么值得大家研究的东西。所以也就没胆量放到http://sourceforge.net/index.php这些组织去献丑。
另外，因为软件的特殊性，有些东西一旦公布了则软件就失去了效果。比如syscheck的反hook代码，其实就是绕了一个很简单的弯子，一旦知道了这个做法则syscheck会死得很难看。再比如sysshield的文件监控，知道其作法的编程爱好者都能轻易绕过其检测。所以偶想还是让这些反黑程序的生命力长一点，暂不公布源码。
至于做出一个像样的软件了来大力推广，思路确实不错。只是偶的时间不是太多，且人又懒散，觉得sysshield还有很多不足，条件似乎还不太成熟。目前唯有尽力在各位兄弟的帮助下完善它，待觉得比较满意时再说吧。
ly001反映的问题和6618兄弟反映的问题一样,原因是端口检测中使用的api函数在win2000下不存在造成的,解决的办法一是去掉端口检测部份,二是寻找在win2000下的端口检测方法.偶先从第二个方面努力一下,实在不行再出一个去掉端口检测的syschek.

wang6071 · 发表于 2006-2-21 21:31:35

[UploadFile=syscheck20060221_1140528644.rar][UploadFile=syscheck20060221_1140528656.rar]
请测试一下win2000 sp4下的兼容性(判断了一下是否是win2000 sp4,若是则不加载不兼容的api.win2000下显示端口与进程关联的程序虽可办到,但程序加入后有某些不稳定因素存在,所以端口监测不对win2000支持.请单独使用下面的程序来看端口与进程的关联)
[UploadFile=PortAnalyzer_1140528688.rar]

wang6071 · 发表于 2006-3-10 17:55:18

最近实在太忙,所以没多少时间学习并引入新的东西到安全盾.暂且更新如下:
  1:杀进程采用了双杀机制,以增强杀进程的速度。
  2:启动项目中分类了注册表及[程序-启动组]的内容。
  3:本程在进程检测前还原了NtOpenProcess函数，以防止win32级的程序对此函数的Hook，从而导致检测不到进程。(注意：从兼容性上考虑,仅仅还原了这一个函数)
  4:模块卸载采用了新的方式(模块卸载采用的是注入进程方式工作，所以某些模块不一定能卸载，这种情况下还是采用杀进程方式吧)
  5:进程项目的模块列表右键菜单加入了"定位到文件"功能，以方便手动分析文件。
另外啰嗦一句,要取得好的预防效果,最好采用自定义方式。
同时，最好将IE的->Integer选项->高级->启用第三方浏览器扩展选项前的勾取消掉。
偶的空间
http://wangsea.ys168.com
上偶做了一张偶使用的自定义方式图，供大家参考。
[UploadFile=s1_1141984494.rar][UploadFile=S2_1141984510.rar]

wang6071 · 发表于 2006-3-10 17:56:26

接上面:
[UploadFile=S3_1141984546.rar][UploadFile=S4_1141984561.rar]
合并不来的朋友也可到偶的空间下载.

wang6071 · 发表于 2006-3-19 15:57:20

1，请问，自定义时，类型过滤及模糊定义是这样设置么？
0-9.exe;0-9.dll;yes.exe;yes.dll;（yes.exe;yes.dll;是什么意思啊？)
这行是模糊定义的内容,0-9.exe;0-9.dll表示凡新增含有数字的文件,如果类型是.exe或.dll则删除.yes.exe,yes.dll表新增的dll及exe中是含有yes字符的文件名的,也同样作删除处理.
*.exe;*.inf;*.vbs;*.sys;*.bat;*cmd;*.dll;*.cab;
这行是类型过滤,表示在自定义需要监视的目录中,如果含有上述文件名后缀的文件新增的话,则马上删除,用于监视关键目录,如%system32%等
其实这两个选项的功能基本相似,一般来说某个目录选用了类型定义的话,就不用同时选择模糊过滤了.当然,同时选择也没有冲突.
2，我的自定义设置如下，有无问题？
可以的,即是在原来初始的自定义的基础上
%Windows%上选上使用类型过滤即可(可以不选黑名单了,因为类型过滤肯定已经包含了黑名单中文件的类型)
将IE的临目录中选上类型过滤.
3，我看你的设置图，上面是E盘。我现在用2K4，系统在C盘；我E盘装的是XP，我若进入XP系统，在E盘系统下自定义时，用不用选上C盘？
双系统可以选上非活动系统(即未进入的另一个系统)的关键文件夹作类型过滤(因为怕某些恶软不作判断就将写入开始-程序-[启动]中,这样启动另一个系统时会生效的.或者是放入.sys在Driver目录下,系统启动时会自动加载),不过一个写得"好"的恶软肯定不会有如此糟糕的作法,偶的也是双系统,目前还未碰到这样的软件,所认偶没有加入非活动系统的监视.所以加不加你看作办吧.

wang6071 · 发表于 2006-3-23 21:11:46

导入注册表的选顶没有还原设定,因为导入的内容均是经过校验的,对系统来说是无害的.要了解各项的原值,可在导入前根据所示的路径到注册表中去查看.
如果觉得某些项不想修改,也可以在显示栏中修改后,删除不需要内容再点执行.

wang6071 · 发表于 2006-4-10 22:00:58

1:
关于xubo1971 所提的:
  发现有的进程在安全顿下看不见，但是在反黑辅助下可以看见。
另外，安全顿对放在C盘运行的支持还不是很好，特别是对锁定“程序－启动”栏目功能。
  这是因为安全盾屏蔽了一些系统进程(即强行杀除会重启的进程),在安全盾的进程显示页的进程都是可以安全杀除的.
  关于锁定"程序-启动",安全盾未锁定这一易见的启动地方,要锁定可自行在文件监控中加入主个目录来锁定它.
2:关于ss005提的: 关闭的话直接用密码是不是更好
  密码这个问题各人看法不一样,前不久还有兄弟提议是否取消密码,目前只是增加退出的难度,也许以后的版本会考虑采用用户自定义密码.
3:okling :请提供新的下载线索
  下载请到:http://wangsea.ys168.com 或 http://free5.ys168.com/?wangsea
4:最近实在是太忙,一是公司内部的事务比较繁重,二是因为小儿初来世上,且出生后回家仅一周又染肺炎，又住院近半月,所以没有时间上网回复大家,同时对安全盾的更新也陷于停滞中．
  我会时常来看大家的提议，等有空就再作更新．

wang6071 · 发表于 2006-4-12 00:40:04

谢谢各位兄弟的关心!
关于xubo1971 兄弟所说的某些隐藏进程在安全盾下不显示,而使用反黑工具可以显示,是因为主类进程采用了一些隐藏手段,而反黑工具对付这类进程的检测可以是可以,但兼容性不太好,所以考虑兼容性安全盾并没有采用反黑工具的检测手段.
关于黑名单其实大家都可自行加入,偶内心并不太喜欢这个功能,因为程序的名字是可以变的,很容易过时.偶还是喜欢自定义功能多一些.如果您采用的是自定义的目录监视,且将windows目录选择了类型过滤的话,这类程序刚进入windows目录就被自动Kill掉了,也就没了这么多烦恼.

wang6071 · 发表于 2006-4-23 16:04:41

上周外出一周,回贴晚了请见谅.同时再次感谢诸位对小儿的关心与爱护．
to lxhyhl :
关于设置免检目录,方法是在监控目录中新增需要免检的目录，并对该目录仅选择<监视子目录>和<使用免检文件>(即使该目录下的文件在免检文件中没有相应记录也可以的),其余项打X.
to yht：
安全盾工作时确实要脉动占用cpu 5%左右，但系统服务services.exe占用的cpu与安全盾无关．另外，安全盾的这个5%cpu占用是timer占用，并且在系统繁忙时会排队等侯，对系统无大的影响．(顺带说一句，能否检查一下您机器上的services.exe位置及属性是否正常，一般来说该服务并不会长时间占用15%的cpu的．)

wang6071 · 发表于 2006-5-10 12:53:05

谢谢各位兄弟关心,小孩情况基本正常，只是觉得现在时间太少，没多少时间写程序了.
最近抽空基上上完成了注册表驱动监视的基础驱动，其间死机，重启Ｎ次，搞得偶差不多想放弃了，不过最困难的时侯终于挺过来了，现在该内核驱动基本稳定．
目前正在做界面与驱动交附的测试，以及规则设置方面的考虑中，下面是这个驱动应用的截图．
[UploadFile=Image1_1147236781.jpg]

wang6071 · 发表于 2006-5-11 00:22:01

下面引用由xubo1971在 2006/05/10 06:41pm 发表的内容：
期待新作！
反黑辅助在有些机子上一用就蓝屏，改在安全模式下使用，启动程序时提示初始化错误，进入程序后进程栏不能用，其他几栏没问题。还是兼容性问题？

反黑辅助由于采用了一些非常规手段,所以在某些机器上会出问题.考虑现在的这类检测工具已有不少,且未找到更好兼容的方法,所以目前不会再更新它了.开发该工具主要是想事后挽救,但事后挽救总没有提前防御的好，所以目前做的是象GhostSecuritySuite一样的内核注册表监视．内核注册表监视的好处是：
１：可以在写入前即中止．
２：占用资源较小．
偶先自已测试一下Demo的稳定性,过几天放出给大家测试．

[UploadFile=2_1147278073.jpg][UploadFile=3_1147278083.jpg]

wang6071 · 发表于 2006-5-12 18:41:11

http://bbs.wuyou.net/cgi-bin/topic.cgi?forum=33&topic=4422&show=0
这个贴子给出一个恶软,下载回来在虚拟机中做了一个注册表保护器配合安全盾的测试
[UploadFile=A1_1147430424.jpg][UploadFile=A2_1147430444.jpg][UploadFile=A3_1147430463.jpg]

wang6071 · 发表于 2006-5-12 18:42:36

[UploadFile=A4_1147430529.jpg]
与soft1587_crack.exe的对战汇报如下:
注册表保护器回退的操作(注意,更多的保护是在无输出禁用中,这个部份是未作输出的.未输出部份保证了不创建
服务键,不创建IE扩展键,不创建及更改文件的打开方式等等,远比输出的部份重要得多)
可以看到,有回退失败存在,这是因为安全盾的注册表监控部份已经在回退前自动删除了某些键值.
同时,可以看到有些键值在反复创建,原因是该进程未结束,不断地恢复自身的启动键值.
因为是测试,所以让该程序完全执行了.其实在看到Rundll32.exe写运行键,及888.exe这样的文件名的进程在写注
册表时,就应该先到进程管理中去执行杀进程的工作.
1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退成功!

1412    进程:888.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: rundll32
键值: "C:\WINDOWS\system32\rundll64.exe"
用户操作:回退失败!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退失败!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退失败!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退成功!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退成功!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退成功!

1864    进程:2.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: spoolsv
键值: "C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer"
用户操作:回退成功!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退成功!

1260    进程:ctfmon.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: spoolsv
键值: "C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer"
用户操作:回退失败!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退失败!

216    进程:vfp104.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: MSService_v1.0
键值: "C:\WINDOWS\system\vfp104.exe"
用户操作:回退失败!

232    进程:7.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: MoveSearch
键值: "C:\Program Files\HuaCi\huaci\zsearch.exe"
用户操作:回退失败!

316    进程:vfp104.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: MSService_v1.0
键值: "C:\WINDOWS\system\vfp104.exe"
用户操作:回退失败!

1260    进程:ctfmon.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: spoolsv
键值: "C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer"
用户操作:回退失败!

352    进程:Rundll32.exe
操作名:  创建新键
根键: HKEY_LOCAL_MACHINE
主键: system\currentcontrolset\services\hcalway
用户操作:回退成功!

352    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
值名: GrpConv
键值: "grpconv -o"
用户操作:回退失败!

232    进程:7.exe
操作名:  创建新键
根键: HKEY_LOCAL_MACHINE
主键: System\CurrentControlSet\Services\abhcop
用户操作:回退成功!

1404    进程:Rundll32.exe
操作名:  设置值
根键: HKEY_LOCAL_MACHINE
主键: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值名: RichMedia
键值: "C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows"
用户操作:回退失败!
安全盾的输出(未定义更严格的规则,所以Program Files下的文件或文件夹需要手动删除)
C:\WINDOWS\System32\Drivers\IsPubDrv.sys
C:\WINDOWS\System32\HelperService.dll
C:\WINDOWS\System32\SystemToolbar.dll
C:\WINDOWS\System32\FileUpdate.exe
C:\WINDOWS\System32\PopService.exe
C:\WINDOWS\System32\msicn\plugins\bse.dll
C:\Program Files\Yahoo!\Assistant\ylive.exe
C:\Program Files\Yahoo!\Assistant\yhelper.dll
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\Program Files\Yahoo!\Assistant\YAlive.dll
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\Drivers\hcalway.sys
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\Drivers\abhcop.sys
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\stdup.dll
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\WINDOWS\System32\spoolsv\spoolsv.exe
spoolsv.exe反复被删除,因为有相关守护进程在反复创建它.

wang6071 · 发表于 2006-5-12 18:44:00

下面是<注册表保护器>Demo测试版
[UploadFile=safereg_1147430634.rar]

wang6071 · 发表于 2006-5-14 10:45:02

谢谢emca,下载并安装了Winpooch学习,粗略看了一下，发现其监视功能与金山毒霸类似，是采用的win32级的线程插入技术的Hook，它在每个用户进程中都插入了它的Dll,与黑客之门的手段类似(但对系统进程并未插入，这是与黑客之门的区别)． yht 兄说其兼容性较差，可能也许此相关．其规则设置方面做得不错，值得学习．

wang6071 · 发表于 2006-5-15 21:37:09

下面引用由6618在 2006/05/15 09:34am 发表的内容：
在选项中选“开启保护”提示“驱动未启动,请从选项中启动驱动”

程序启动时即加载了驱动,无提示就是正常工作了.图中的提示是因为停止驱动后再次打开驱动不成功的提示,需反复打开,关闭数次后即可加载成功.
这是原测试程序的一个小bug,已修复

[UploadFile=safereg_1147700091.rar]
提供此测试程序主要想看看它在各系统下兼容性如何，所以未提供保存设置等更多的功能．

wang6071 · 发表于 2006-5-19 23:45:08

看到论坛置顶通告近期要关闭,而永硕空间最近也要密码才能登陆,本来还想再多做一些测试的,现在不得不提前发布新的安全盾,请大家试用
本次更新注册表部份采用了新的内核,更低的cpu占用(基本为0)
在不关闭监视的情况下(为安装而暂停选项时停止了监视):
1:文件关联的改写已经屏蔽,IE插件注册屏蔽
2:IE保护,不允许改写IE的任何设置
3:关键性注册表键值保护,不允许Nodesk,NoRun等
4:仅对写运行键的注册表操作提示用户处理,主要是让您第一时间发现有写这个操作的程序在工作.
5:Explorer重建时托盘图标不会丢失.
6:美化了一下界面

[UploadFile=setup_1148053363.rar][UploadFile=setup_1148053385.rar][UploadFile=setup_1148053408.rar]

wang6071 · 发表于 2006-5-19 23:46:17

[UploadFile=setup_1148053537.rar][UploadFile=setup_1148053556.rar][UploadFile=setup_1148053573.rar]

wang6071 · 发表于 2006-5-21 17:52:18

重新上传,小作修改,与Kv兼容一下(对重复写已有键值的动作不作提示)
托盘右键菜单小作修改.

		自动登录	找回密码
密码			注册