[sysshield]系统安全盾

happyday2

请教emca:
MCAFEE　也能自定义一些规则（网上已有人做了，比如霏凡），只是不知效果怎么样，你所做的规则，能否给它用？

happyday2

感谢emca的回答，我明白了。
同时感谢你的工具箱和防流氓规则。
也希望系统盾越做越好，不要让人在他和Winpooch之间取舍不定。

happyday2

可能是中了木马后，木马程序被删除后留下的后遗症。
试一下将“显示所有文件”打开，及“隐藏受保护的操作系统文件”去除，看磁盘根目录下是否有“autoexec.*”的文件存在，如有，删除即可（可能需重启或注销一下）。
不行再看。

happyday2

以下转自别的地方的，供参考：
电脑用的是Windows XP，在一次上网后出现双击硬盘盘符C；D；E；F都打不开文件，但可用右键点“打开”命令打开。 另右键可以看到"自动播放"
双击硬盘盘符时软驱灯亮，并工作。我修改鼠标属性、杀毒、进安全模式也改不过来。格式化重装系统后，C盘双击可打开，D；E；F盘双击后均显示：
Windows无法找到Desktop.exe。
打开“文件”类型的文件需要该程序。

键入要使用的可执行文件：C：
------------说明:这类病情症状并不是唯一的,无法找到的内容可能不一样.有时可能是"Windows无法找到setup.exe"或显示"控制面版"什么的
这是因为病毒在驱动器下面写入了一个AutoRun.inf文件.解决方法如下(以D盘为例)：



开始---运行---cmd（打开命令提示符） (也可以在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹")

D: dir /a （没有参数A是看不到的，A是显示所有的意思） 此时你会发现一个autorun.inf文件
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性，否则无法删除 autorun.inf ，
del autorun.inf
到这里还没完，因为你双击了D盘盘符没有打开却得到一个错误。要求定位DESKTOP.exe，
这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息：
开始
运行
regedit
编辑
查找
DESKTOP.exe 或是查找"autorun"
找到的第一个就是D盘的自动运行，删除整个shell子键(注意,删的时候一定要是shell这个子健,如果查找的是别的项或子键,一定不要乱删,否则系统起不来不要来找我哦)
完毕.
重复以上操作数次，解决其他驱动器的问题，注册表中的信息是在一起的，在删除D盘
ShellOpenAutorun的时候顺便都删除了吧。

happyday2

原帖由 emca 于 2006-9-9 10:02 PM 发表

2.执行保护
黑名单目录中的指定类型文件均无法执行，能够有效预防已经中毒的系统中的病毒程序的加载。
...
5.支持规则优先级
这样我们可以先允许特定程序执行，然后再禁止其他任何程序的执行。我对Windows相关目录就是这样处理的：系统本身的程序允许执行，其他的一律不许！这样，象灰鸽子之流基本没有执行机会，哪怕没有一条专门针对灰鸽子的规则。
...

能够有执行保护的话，那就更强大了，不知能否实现，还请王兄再想想办法，如此就真的可以抛弃一切杀软了。
程序已经很好了，但我还是希望更完美些！（是不是太不知足？）

happyday2

提个建议，希望能实现：（强烈期待）
　　是关于进程项目颜色的。
　　1、对于非系统自带进程的，可以让用户定义为“我的进程”，以不同颜色表示，比如绿色。表示为经过用户同意的进程。
　　2、对于系统自带进程，如果进程所用模块全部为系统自带，则颜色仍保持黑色，如有模块为非系统自带（红色），则此进程设为另一种颜色，比如黄色。
　　3、非系统自带，又未经用户同意的进程为红色。
　　这样的话，每次查看进程，一旦发现有红色进程出现，就能立刻引起警觉（红色太多，不容易引起注意）。黄色进程也为可疑进程，需要注意。

happyday2

再提一个建议，希望能实现（仅供参考）：
　　增加一个选项（模式），为清除模式。在此模式下，可以对非系统，且未经用户同意的进程（红色进程）自动杀除且删除相应文件，删除时可给出提示：关闭进程、关闭进程且删除文件、转为我信任的进程。如果服务也能如此的话更好。可在安全盾每次运行时进行这项工作。
　　当然，如能实现执行控制的话（还没执行就把它干掉），比这个方案还要好。
　　如此，既能防，又能治，主要在防，但又能堵塞安装程序（需要关闭安全盾）可能带进病毒的漏洞，可就真正固若金汤了。
　　哇，如此，那些杀软不就真的要下课了吗？
　　想想就兴奋。
　　...
　　唉，不知能否实现，期待中。

happyday2

原帖由 xdg3669 于 2006-9-12 06:00 PM 发表


哈哈。。。。。除非在电脑出现之前？？？？！！！！

　　这句话不太理解。
　　想想也是，既使实现了，也不能代替杀软，毕竟知道哪个进程是有用的，哪个进程是该杀的，不是一般用户能掌握的。既要防止病毒，又不影响系统正常使用，一个字“难”。
　　但我还是希望实现此功能，可以作为一个选项，默认不开启。只要开启了，就可以实现：只有经我允许的程序才可进入我的机器，既使一不留神闯入了，也不能执行，真正做到：一切尽在掌控之中。
　　自从我们单位各科室上了网之后，我就整天奔波于木马、病毒的清除之中，这个不能上网了，那个系统启动不了，等等等等。今天才杀完，明天又感染了，真是野火烧不尽，春风吹又生！只要能控制严密点，哪怕不能装程序，我帮他装，总比天天杀木马好些。
　　再提一下进程及服务的颜色问题，希望老兄一定考虑。千万不要小看这个颜色。
　　今天我才用防黑工具修理了两台机器，全靠这个显眼的红色来分析可疑进程及服务，起到了事半功倍的效果。以前也用过各种类似工具，但都是一摸黑，那么多的进程和服务，看一眼就心烦意乱，更不用说去一一分析了。所以没一个真正用上手的。可就是咱们这个简单的小程序，有了这么一点颜色，嗨，用起来可就不一样，得劲多了。
　　所以，还得请wangsea老兄考虑一下我上边的颜色建议，既使不能实现自动清除，总能更方便地进行手动删除吧。
　　再次感谢wangsea提供如此好的程序，望再接再励。

happyday2

原帖由 wang6071 于 2006-9-12 08:51 PM 发表
...
to happyday2:  
  syscheck是一个维护工具,方便于对系统一定了解的人员使用,自定义颜色功能基本上用不上

。每个用户安装程序目录并不尽相同，程序也相差万别，你定义的色彩到另一个用户身上并不

一定就合适。
...

可能是我说的不太清楚，我的意思是这样的：

　　反黑工具中的进程显示目前分了两种颜色，系统自带的为黑色，非系统自带的为红色。那我在分析进程的时候就可以忽略那些黑色进程，而只看那些红色进程，这样可以省很多事。（这也是这个工具的一个好的特点）

　　但问题是，那些黑色进程也可能包括了一些红色模块，而这也正是好多木马寄存的方式之一，所以，每次我查看进程，依然不能忽略那些黑色进程，还得一一点击，拖动滑块（因为一个进程的模块很多，一屏显示不下），相当麻烦，没有将进程的颜色设置的优势发挥完全。所以，我想能够将这两种作个区分，不包含红色模块的系统进程依然保持黑色，而包含有红色模块的系统进程以另外一种颜色表示，这样，我就能够在每次查看进程的时候，完全忽略黑色进程，只注意其他进程。这样就会省下很多时间和精力，尤其是对喜欢常常查看一下进程的人。

　　至于自定义颜色，也是基于这个考虑，就是能够将自己确认的非系统进程给予区别，将红色留给那些完全陌生的进程，这样只要打开进程项目，一眼就能看出可疑情况，岂不妙哉。

　　因为程序已经有了颜色区别的基础，这个功能的实现只是在这个基础上稍作变化，应该比较简单，而实用性应该是很大的。

　　当然，这只是我的一管之见，如果老兄认为还是没有必要，或者实现有困难，那也无所谓。毕竟这只是一个小小的功能，我还是非常支持这款软件的发展。

happyday2

　　上午处理了一台微机（清除木马、病毒），完毕后，发现网络的灯隔一会儿就亮几下，感觉好像有程序在访问网络，可查病毒、木马软件也查不出来，看进程也看不出来。

　　请大伙推荐一款能监测哪个进程在访问网络的软件。

　　另外，请WANGSEA兄也考虑一下，反黑工具能否也实现动态监测进程访问网络情况的功能，以便更好地找出木马。

happyday2

试用了，没问题。效率有点降低，但感觉还行。不过查看分析进程省事多了，相比较物有所值。

感谢wang6071兄的努力。

happyday2

原帖由 wang6071 于 2006-9-13 09:55 PM 发表

分色必须在对每个进程作模块检测,每次刷新重作判断,严重影响显示效果,下面的附件是分色了的,效率比原来的低了些．．．．

　　我说点我的想法，如果说的不对，千万别笑话。

　　原来每个进程模块就已经分色显示，应该每次刷新也会作判断，如果这样的话，设一变量，初始比如为0，有模块为红色时，将变量赋值为1，以此作为进程颜色标志。

　　我不知道wangsea兄是如何判断的，如果也是这样的话，只是在原有判断基础上为一变量赋一下值，应该不会影响效率呀。除非原有分色无需专门判断，但如没有判断，系统如何知道哪个为黑色？哪个为红色呢？

happyday2

原帖由 longwang 于 2006-9-14 01:10 PM 发表
进程加色的问题，也可以考虑默认不打开的方式较好，先解决进程问题，最后再检查模块。效率可能高些（其实实际处理过程几乎也是这样的）。
...

　　这也不失为一个好办法，毕竟用颜色来区分还是更显眼、明了些。

　　文字说明也不错。

　　到底哪个更方便，又不失效率，还得有劳wangsea兄多作试验了。

　　再次感谢wangsea兄的辛勤劳动。编程虽然是一件有乐趣的事情，但也是一件极费心费力的事，千万要劳逸结合，注意身体。

happyday2

试用了，效率明显提高，看来wangsea兄又花费了不少心思。

好，先赞一个，下边再提建议。

happyday2

原帖由 longwang 于 2006-9-14 04:51 PM 发表
另外，syscheck可不可以考虑鼠标停留或单击的时候，气泡显示文件属性。

气泡显示可能有点影响视觉，但这个功能还是有实用性的。可以考虑在列表中再增加几列显示文件属性（主要是版本信息，经观察，最大化后，屏幕还有显示空间），为防止影响效率，默认不显示，单击某个服务或模块才显示。

[ 本帖最后由 happyday2 于 2006-9-15 08:39 AM 编辑 ]

happyday2

原帖由 longwang 于 2006-9-14 01:10 PM 发表
syscheck添加制定自定义列表还是很有意义的，可以通过右键自动添加到自定义列表和从信任列表中清除，自动添加相关的效验信息，...

　　关于这点wangsea兄一直没回答，是不是正在考虑这个问题？我也比较赞同这个方案。

　　这个自定义列表以文本文件存放于本地磁盘（最好在安全盾安装目录），是否自定义完全由用户决定，完全不影响原有使用。如有自定义，则自定义项在显示中以不同颜色区分（又回到了颜色的问题，不好意思），表示是我所信任的。一来，用户查看进程、服务，可以不再注意已信任部分，提高工作效率，二来，也能为软件进行一些自动化清理工作提供依据，使软件更灵活，更富有人性化。

　　这个自定义列表应该包括模块和服务两个种类，至于进程，则由模块决定，进程的模块都是系统的和信任的，则进程也是信任的，有一个模块是不信任的，则进程就为不信任的（红色的），当然，在添加信任列表时也要能将进程加入，但进程加入时应该是加入其所有红色模块而不是进程本身。

　　这个自定义列表可以被安全盾和反黑工具共同使用，则安全盾的进程显示也能使用不同颜色表示。为防止眼花缭乱，系统的和信任的进程、服务可以用区别不大且不刺眼的颜色来区分，红色仅表示不信任的进程、服务。
　　
　　如能实现以上功能，则有一个更为智能化、人性化的功能可以实现：

　　当你的机器万一被木马或不明软件侵入（尽管安全盾的防范功能已相当不错，但谁也不能保证万无一失），出现了红色进程，安全盾就可以弹出一个提示：你的机器出现可疑进程，请注意查看。这样，就能保证第一时间发现情况，是木马赶紧清除，不是可以加入信任列表。这样，就实现了系统监测的完全自动化，更省事，更放心，更人性化。

　　当然，这个提示也要做成可选的，不喜欢可以关闭。

　　我的主张是：能交给机器做的事情，要全部交给机器去做。

happyday2

原帖由 wang6071 于 2006-9-15 12:20 PM 发表
以上两点没回复是因为我根本没打算去实现它.有这时间还不如多学习,实践点有用的Project.

看来又想错了。

不过没关系，一个功能的实现得经大家认同才有意义，10个人有8个人认为有用，那才算有用。

再提一个：把安全盾也加上紫色吧。

（不好意思，又是颜色，同意的说一声，如果没人提那就算吧。）

happyday2

报告两个小BUG：
是处理一台中毒较深的机器时发现的：
1、反黑工具在卸载模块、卸载模块并删除文件时，几次失去响应。该文件被几个进程加载，查看任务管理器，CPU占用和内存占用无增高。最后一次是在清除mmsassist这个流氓时出现的，刚杀死其升级的进程，鼠标点至内核检测按钮时，失去响应，这次居然结束不了反黑工具的进程，无论点关闭还是任务管理器结束进程都不管用。CPU占用和内存占用依然正常，其他可顺利打开。杀软开的卡巴。
2、查看进程或服务，当选择模块或打开文件属性窗口后，原选中进程或服务失去选择状态（没了蓝条），以致不知道刚处理的是哪一进程或服务，有点不便，希望改进。

happyday2

　　反黑工具给我们提供了一把清除流氓病毒的利刃。

　　希望大家谈一下使用反黑工具的心得，以使我们能够更快、更好的清除流氓病毒，更好地发挥反黑工具的作用。

　　接到一台中毒机器，我一般是先用杀毒和木马清除工具在安全模式下扫描一遍，清除掉大部分木马病毒（一般病毒很多，最多一次用木马工具杀掉260多个，手动清除会忙不过来）。然后再启动到正常模式，使用反黑工具分析进程、服务，对漏网分子手动清除。

　　首先是进程，现在用反黑工具进行进程分析太方便了，黑色进程不用管，先点击紫色进程，找到红色模块，利用路径、文件属性分析其性质，一般都是杀毒软件、打印驱动、压缩工具之类的，比较好区分，再不行，网上搜索一下，除此之外的一律卸载并删除，对典型的流氓软件还要删除其所在目录，搜索注册表，将其信息彻底删掉。再检查红色进程，依然是利用路径、文件属性来判断其性质,根据本机安装的软件，一般不难看出谁是流氓。利用反黑工具，我一般都能做到对每一个进程都能心中有数，这是用其他的进程工具难以做到的。

　　下来是活动项目，根据本机安装的软件以及一些经验，去掉无用的。这个相对简单。

　　再就是服务了，服务有点令人头疼，尽管有黑、红颜色之分，能省却一半的事，但其列表太多，红色项目依然繁杂，且路径大多相同，全集中在系统和驱动目录，区分不易，查看文件版权信息需要右键打开，少了还行，多了就烦了，所以对服务这块儿，还是很难做到心中有数，只能马马虎虎。

　　这是我对反黑工具的一些体会，在这里抛砖引玉，希望大家说一说，将反黑工具的作用发挥到最大。

　　对快速净化用得不多，体会不深。

　　另外，对安全盾的目录规则，不知大家是如何设置的，都用的是默认的吗？有没有自定义的？

happyday2

发一下自己在安全盾中关于文件监控的规则，请大家看一下，是否有什么漏洞和会影响系统正常运行的地方？

监控目录　　　　　　　　　　　　　　　　　　　　监视子目录　使用免检文件　使用黑名单　使用模糊匹配　使用类型过滤

c:\　　　　　　　　　　　　　　　　　　　　　 　　　　√　　　　　×　　　　　　×　　　　　　　×　　　　　　×

c:\documents and settings\　　　　　　　　　　　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×　
　　
c:\program files\common files\network associates\　　　　×　　　　　√　　　　　　×　　　　　　　×　　　　　　×

c:\program files\network associates\　　　　　　　　　　 ×　　　　　√　　　　　　×　　　　　　　×　　　　　　×

c:\recycler\　　　　　　　　　　　　　　　　　　　　  　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

c:\system volume information\　　　　　　　　　　　　　√　　　　　×　　　　　　√　　　　　　　√　　　　　　√

c:\windows\　　　　　　　　　　　　　　　　　 　　　　√　　　　　√　　　　　　√　　　　　　　√　　　　　　√

c:\windows\temp\　　　　　　　　　　　　　　 　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

d:\　　　　　　　　　　　　　　　　　　　 　 　　　　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×

e:\　　　　　　　　　　　　　　　　　　　　　　 　 　　√　　　　　×　　　　　　√　　　　　　　×　　　　　　×


我的机器共C、D、E三个分区，系统装在C盘，c:\program files\network associates\是杀毒软件所在目录。

[ 本帖最后由 happyday2 于 2006-9-16 11:05 PM 编辑 ]

happyday2

原帖由 emca 于 2006-9-16 11:02 PM 发表
共享一下我机器中的可信服务列表。

红叶大侠出手好快，先研究一下。

happyday2

如果能搜集一个比较全面的可信服务列表的话，那分析服务就简单多了，流氓制造者就要哭鼻子了。

happyday2

原帖由 wang6071 于 2006-9-16 11:08 PM 发表
c:\program files\  目录无设置,沿用父目录设置:监视子目录
常态下则安装程序无法在该目录安装.另外,如果使用maxthon且已安装在此目录下,则mathon的设置也不能保存.除非再单独定义maxthon免检.

要安装程序就必须切换到暂停监视项目中安装了.
...

谢谢wangsea兄指点。

c:\program files\ 如果不监视子目录，那么对流氓软件的安装目录就得一一进行定义，这有点像黑名单的性质，监视总是不够彻底。如果使用了maxthon之类的程序，可以单独定义该目录免检或使用黑名单，这是有限的，不像使用黑名单，那是无限的。
如果要安装程序，我想既使不监视c:\program files\ 目录，也应该在暂停监视项目中安装。因为所安装程序可能会写其他监视的目录，那样就会造成文件丢失。

happyday2

原帖由 wang6071 于 2006-9-16 11:25 PM 发表
在红叶兄的基础上加入了偶的机器(win2003)上的服务(加了数十个)
...

这个工作可得由一位像红叶那样的资深大侠进行把关了，不然要是混进流氓特务，那就惨了。

happyday2

wangsea兄，安全盾的文件检测还存在一个小问题：

　　将某分区设置为监视子目录，其他不设置，从分区内某一文件夹中将其一个子文件夹移动到另一文件夹下，或者删除至回收站时，监视规则不起作用。这就可能存在一个漏洞，假如分区中有一个免检目录，那么就能够先在免检目录下生成文件夹和文件，然后再移动到监视子目录，从而逃过安全盾的检测。虽然这种情况很少，但存在这么一个漏洞，总是有点儿不完美。

　　另外，反黑工具的可信任服务列表仅依靠文件名称来判断有点太简单，当这个列表做得很大时，重名的风险就会大大增加，如果能够再加入一点儿其他的检验信息（不需要太复杂），比如版本信息中的某一项，将会大大降低重名的风险。

happyday2

wangsea兄，是否可以再考虑一下：

　　在服务列表中再加两三列，当单击（选中）某一项服务时，显示其版本信息中的几项（比如名称、公司、版本等），这样就能避免老是需要右键操作的麻烦。不选中的项目不必显示，同一时间只需要显示一项服务的信息，应该不会影响效率。

　　如果比较简单的话，希望考虑一下，如果实现起来比较复杂，那就算了。

happyday2

原帖由 wang6071 于 2006-9-17 01:27 PM 发表

    安全盾没有重现你说的故障,可能你设置了没应用.

　　我的确实如此呀，我复制文件夹或者仅移动文件时，都可以被检测到并正常删除，就是仅当移动文件夹（下有文件）时，该文件夹下的内容不被删除，从另一分区移动文件夹至监视分区时，也能正常删除。

happyday2

原帖由 wang6071 于 2006-9-17 01:27 PM 发表
   反黑工具的可信任服务列表仅依靠文件名称?你看一下生成的文件就知道是不是仅依靠名称了．另外,服务项允许重名吗?

看来我的表达能力确实有问题，我的意思是：

假如列表中有这么一项：

tunmp=%windir%\system32\drivers\tunmp.sys

假如这个服务是某一正当软件所用服务，但我机器没装它，因此这项服务不存在我的机器上，但正好有一木马也用了这个名称，那当我中了这个木马后，我就会把它当成信任的了。

这种情况短期内应该很少出现，但当我们这个信任列表越做越大，使用这个软件的人越来越多时，这种情况就会很多了。还不敢考虑有人故意为之。

happyday2

原帖由 wang6071 于 2006-9-17 03:15 PM 发表
这两个问题有点是先病毒考虑了.第一个问题该病毒先知道了你有一个安全盾在保护,并且知道了你的安全区设在何处,然后才能这样操作,并且它还得过如何启动这一关.

第二个问题是病毒采取与某硬件同名的服务名,也就是 ...

关于第一个问题，确实是个小问题，一般不会影响使用，只是不明白为何会这样？

第二个问题吗，可能是我考虑的太远了，提供这个功能已相当有用了，以后的事以后再说吧。

再稍带问wangsea兄一个问题：在监视文件时，只是删除新建的文件，为何没考虑将新建文件夹也删除掉呢？

是在实现上有什么问题？还是仅仅觉得没必要呢？

不好意思，又麻烦wangsea兄了。

happyday2

原帖由 wang6071 于 2005-7-23 09:38 PM 发表
谢谢大家支持,偶正改进算法,拟采用如下方式处理:
1:方式一：文件黑名单(黑名单是完全匹配)，适用一般用户,此为默认方式．
...
不再做目录删除(删除了恶意文件仅留下它的垃圾目录对系统没有影响),这样可以简化一些算法
...

　　终于找到是为什么了。

　　我之所以关心这个问题，是因为我考虑到它会影响到文件监视规则的设置。

　　比如：对一个文件夹（假如就是Program Files），其下面已存在很多子文件夹，这时，我想达到如下目的，对已有文件夹，我不想做监视，以防影响其运行，但我不允许再有任何新增文件，以防止木马安装。那么我的规则就得这样设置：设置监视子文件夹（如果不设置，只需建一子目录，就可以任意增加文件，而一般安装程序肯定是要建子目录的），其它不做设置，然后其下属文件夹一一设置免检，如果以后增加了新的子文件夹，还要再为其设置免检。

　　但如果能删除新增目录的话，以上规则就可以简化为一条：此文件夹各项全部为×。因为新增文件夹也会被删除，所以既使不设置监视子目录，也不会新增任何文件，又因为没有设置监视子目录，所以已有目录自然免检，并且日后如果需要增加新的目录，也不必再修改规则。

　　这样在设置规则时，就会更加灵活。其他方面，还有待大伙都发表发表意见，以防我的考虑不周。

　　还有一个好处：我想能够补上前边我提的一个小漏洞，即分区内移动文件夹或删除文件夹会失去监视的漏洞。（虽然不大影响使用，但留下一个小尾巴，总是缺憾）

　　当然，还能少许多垃圾目录。（虽然无关痛痒，但干净些总是好的）

　　另外，在说明中什么也不设置的定义为：不允许在文件夹下新增任何文件，但通过新增文件夹却可以新增任何文件，似乎和定义也不太相符，给人以漏洞之嫌。

[ 本帖最后由 happyday2 于 2006-9-17 08:20 PM 编辑 ]