[sysshield]系统安全盾

wang6071

to 各位兄弟:
   查找资料,学习技术近一段时间了,确实没有进展.感觉win底层的东西太复杂了,ddk的驱动开发在每一个win系统都不一样(win2000有win2000的ddk,winxp有xp的ddk),都存在一定的兼容性问题,所以偶也没有信心去学ddk开发了.觉得如此搞下去,还不如直接用大牛们开发出来的驱动更省时一点．或者直接调用现在的检测工具做检测木马这项工作．
   也没什么东西送给大家的，这段时间写了一个CMD工具，搜集了一些检测木马的命令行工具,都放在偶的空间了，需要的兄弟去下载(http://wangsea.ys168.com)
   
   下面是偶写的mydos的介绍：
mydos.exe的作用:
   mydos.exe的执行方式与cmd.exe的执行方式一样,是一个win32的Dos控制台.其作用有两个方面:
   1:当某些后门或木马禁用了您的cmd.exe后可以用它来代替cmd.exe
   2:将mydos.exe放在您搜集的dos增强工具中,打开mydos就直接在这个目录中,而用cmd.exe您还需要切换一下路径.
   3:虽然cmd.exe有标记后复制的功能,但用起来总觉得不放便,用mydos.exe则复制输出很方便(用mouse拖一下选中要复制的地方,然后右键选复制)
mydos.exe的工作方式:
   在输入框中输入程序名后,然后回车即可.也可用[选择程序]来选择一个程序执行.关闭mydos.exe允许使用dos命令exit
mydos.exe的注意事项:
   1:支持所有dos内部(如dir,copy,echo,cls等)
   2:支持所有dos外部命令(如sc,taskkill,ntsd,ping,shutdown等),注意不要使用有交互输入的dos命令(如Edit.exe,这些命令会等待用户输入,mydos的输入无法做到让这些程序退出).
   3:支持所有win32 Gui应用程序(如dxdiag.exe,notepad,calc),同时也支持还扩展名的其它文件(如secpol.msc等).即使是xxx.jpg,也会用系统默认的打开程序打开[UploadFile=1_1132367778.jpg]

wang6071

谢谢推土机兄弟.上面提供的那个软件的作用偶是这么看的(个人看法,欢迎探讨):
  
    这个软件是通过检测.exe文件的PE头是否被改变作为文件是否被感染的判定的.其原理与检测文件捆绑的那类软件相同.
    由于windowsxp及其后系统具有系统文件保护功能,所以目前感染型的病毒已经不多了.取而代之的是各类木马与蠕虫软件.而今年的木马对系统危害是最多的.(一是木马技术本身发展,二是各类流氓软件的推波助澜),所以偶认为上面的那个软件的作用范围实在有限.
    所以,目前大家最需要的是一个具有良好防御与方便清理的木马的软件.下面偶细说一下:
1:良好防御
    众所周知,国内的杀毒软件对流氓软件是视而不见的.而这类软件往往对系统性能的影响最大.并且,不同的流氓软件之间还经常互相打架,从而造成系统莫明其妙的不稳定.
    另外,由于杀毒软件通常采用特征码的方式来判断病毒与木马,所以往往对加壳的木马病毒无能为力,不能实时地防御.
    sysshield通过自定义设置,可以将%windows%置于一种近乎只读的状态,其机理与NTFS的目录权限相当.所以在这方面有一定效果,不足之处是用户在安装更新系统时需要手动打开"写权限".所以对于菜鸟来说有一定使用难度.(也许多朋友还不知道有个技巧,在sysshield中可以将您的IE监时文件夹设成"不允许创建任何文件".这种设置并不影响上网浏览,同时也有自动清除IE监时文件的功能,可以"上网无痕"哦)
2:方便清理
    与Dos时代不同的是,这方面现在的杀毒软件就做得不那么好了.现今的各类木马进驻系统后,即使能被杀毒软件所检测到,但往往会清除失败.所以往往要求用户到安全模式甚至要求dos启动后清理.江民在这方面做了一些努力,如kv2006的BootScan,但作用好象也不是很明显.
    同时,在检测方面,特征码技术的局限性也更多地体现了出来.在各大杀毒论坛的坛子里,Hijackthis几乎成为了标准分析木马的工具.IceSword成为最后清理木马的杀手锏.真不知道国内的杀软开发商到底是怎么想的,也不开发一个自己的工具出来,让人觉得杀软的作用实在有限.
    当然,在这方面,对于已中的底层级木马,sysshield实在也提供不了什么帮助.偶也同大家一样在努力寻找着一些易用的方法.主要是因为偶的水平实在有限,有做到如IceSword那样的底层恐怕办不到,所以偶这些日子以来上网搜索学习各类方法,就是想找到一个适合自已,又能增进sysshield的方法.总之,革命尚未成功,同志仍需努力!
      

wang6071

谢谢xubo1971兄弟提供信息,不过国内的技术文章就是理论太多,完整的实例太少了.:)
通过这段时间的搜索..搜索..学习,偶还是取得了一点进展,在老外的网站上找到一个不用驱动进Ring0级的程序,该程序已能检测最新版的hxdef100进程.偶学习之后包装了这个例程.大家可以用来检验一下自已所用的进程察看器.

[UploadFile=1_1132913444.jpg][UploadFile=SeeHide_1132913464.rar]

wang6071

下面引用由emca在 2005/11/28 11:59am 发表的内容：
对于SysShieled的发展，我想是否可以这样设计：
由于Windows2K/XP/2k3的基本系统目录中的程序都是基本固定的、已知的，而且XP以上系统默认均有系统文件保护能力（假设不担心系统文件被恶意修改），因此可以设计　...

其他目录下的可执行文件、其他名称的可执行文件一律不予执行（创建进程）:各个兄弟所用微软外的程序可是N多的呀,只能执行微软的程序恐怕没谁用计算机了.
我想红叶兄的意思是做一个认证,如程序是微软的就pass过,不是微软的就提示用户认证一下.这样做也有一定难点:
1:什么样的程序是微软的程序?现在很多木马都会伪装成微软的程序,就连3721的驱动也如此处理了．
2:如何判断监测进程？不用驱动级的HOOK就会漏掉不少进程的创建．
3：如何结束进程？由于现在驱动级的木马通常都是一启动就隐藏进程本身，隐藏注册表中它的注册键值，隐藏文件，想要结束掉它也不是一件易事．就说看得见的进程吧，能实时结束掉IceSword的进程吗?当然现在如IceSword这样不能被结束的第三方程序还不太多，但难保以后木马不会使用这样的技术．
　　如果微软从底层结出一个安全管理的方案或权限设置就没这么多问题了．如果微软的软件安全策略能定制得灵活一点就好了，可目前为止，偶认为还是没有较好的软件限制方案．

wang6071

今天检查了一下sysshield,发现参数设置中一直存在一个Bug,至使防木马效果不好.
这是由于判断中将模糊匹配与类型匹配搞反了所致，结果是两个设置不对应，导致了木马释放文件到system32下可能不删除．
修订后，用类型过滤windows目录应可防住绝大多数木马，下载:
http://wangsea.ys168.com
先更正这个Bug,等偶再研究一下驱动再做其它修订．看来不学驱动搞个底层级的进程检测是不利于中招后的恢复的．前面附件的那个测试因为win2003 sp1后已不支用户进ring0会失效，所以不打算用它了，还是得做个驱动来检测才有扩展性．

wang6071

to xdg3669:
  这个不是Bug,凡是因为文件改名或文件删除后重新生成,都被当作是新增文件,所以会如此操作.(最初的版本因为没有设置对文件改名的侦测,后来考虑到某些安装程序是先解压成临时文件,然后再更名为正式的文件,所以后来的版本都增加了对此类改名的操作)   

wang6071

一个检测并杀进程的辅助工具,基本可用,尚待完善,各兄弟可试用之
[UploadFile=KillProc_1135684826.rar]

wang6071

[UploadFile=1_1136391991.jpg][UploadFile=1_1136392092.rar][UploadFile=2_1136392102.rar]
正在做的辅助工具,希望大家喜欢,偶准备慢慢完善它
进程检测可检测到隐藏的进程,模块卸载可以关掉某些钩子,杀进程的威力较大，选红色显示的杀即可(头几个进程被杀后可能会关机，重启等)
服务管理是dump出hive注册表文件来的，所以可检测出隐藏的服务．

wang6071

[UploadFile=Image1_1136457854.jpg][UploadFile=1_1136457868.rar][UploadFile=2_1136457878.rar]
今天有空,又加了一页功能

wang6071

忘了说明,目前只支持win2000 sp4, winxp ,win2003 (win2003升级到sp1后不支持)

wang6071

[这个贴子最后由wang6071在 2006/01/07 06:00pm 第 3 次编辑]

[UploadFile=Image1_1136555207.jpg]

开始加IE插件的检测删除功能．．．．
[UploadFile=syscheck_1136628026.rar][UploadFile=syscheck_1136628038.rar]

wang6071

to pyqkgd:
   进程显示不完整的原因:
   1:可能是权限不够.
   2:可能是系统中有一个OpenProcess的钩子,将打开进程返回了空值,如果是这样可能系统已经被黑,用Icesword查一下.(主要看一下ssdt部分被更改的函数地址是何种软件所为)
   3:软件兼容性的问题,请告知您的系统版本.

wang6071

[UploadFile=kerneldos_1136653604.rar]
用这个试一试,看看有无异常进程

wang6071

[UploadFile=Image1_1136715091.jpg][UploadFile=Syscheck_1136715109.rar][UploadFile=Syscheck_1136715119.rar]
自已搞的ring0级总是不太成功,功力有限啊.现在干脆用个大牛写的检测工具,偶做了个接口让工作在syscheck下,这下兼容性可没问题了,现在隐藏进程显示得也易寻了.

wang6071

关于3721的system32\drivers\cnsminkp.sys驱动的删除方法:
注意:在资源管理器中删除会删不了system32\driver32\cnsminkp.sys的
1:直接执行删除服务cnsminkp后立即重启(成功率不高),重启后如该服务已停止可删除cnsminkp.sys
2:删除服务cnsminkp后用IcesWord的文件管理删除cnsminkp.sys.(此法100%成功),
3:删除服务cnsminkp后开cmd,键入: echo "">c:\windows\system32\drivers\cnsminkp.sys,完成后立即重启(试过有一定成功率),重启后如服务已停止可删除cnsminkp.sys

wang6071

关于模块不能正常显示的问题是因为偶使用了硬编码,而偶又未加偏移判断,所以只适用了win2003,现在更正过来,还是用api来取模块,应该没问题了.
[UploadFile=Syscheck_1136803783.rar][UploadFile=Syscheck_1136803801.rar]

wang6071

[UploadFile=Image1_1136810510.jpg]
奇怪,正常取得的conime应该是这样的,不知到是哪里出了问题,还有兄弟有此乱码吗?
一般来说,除了进程pid=4的进程外,其它的都应该取得它的模块的,除了conime外，其它的进程显示的模块都正常吗?
另外：把把syscheck的几个新加功能集成到sysshield里面我想还是再等等，主要觉得syscheck的功能还有待加强．欢迎大家多提一些建议．

wang6071

[这个贴子最后由wang6071在 2006/01/10 10:09pm 第 1 次编辑]


乱码问题暂时不清楚原因,先改其它的,本次添加了进程列表与服务列表右键的<定位文件>功能,以方便删除及查看文件属性.
先前放上来的文件定位有点小问题,现在修正重新上传[UploadFile=syscheck_1136902165.rar][UploadFile=syscheck_1136902175.rar]

wang6071

下面引用由ctsren在 2006/01/10 11:23pm 发表的内容：
屏幕属性设为1024*768,字体为大尺寸时,"kill进程"等按钮无法显示,是否能调整,系统WinXP sp2

现在应该可以了
[UploadFile=syscheck_1136973577.rar][UploadFile=syscheck_1136973586.rar]

wang6071

to emca:
   估计您的系统安全设置太强了,偶的程序的进程显示部份是运行后先释放一个Knlps.exe在监时目录下,然后调用knlps.exe并截获它的输出显示出来,而knlps.exe执行后将释放一个驱动文件(具体路径我不知道),然后加载并运行.运行完后自动删除所释放的驱动文件.
   所以,您的安全设置太好的话,则knlps.exe释放的驱动可能刚好释放到您所禁止写入的目录下,所以会加载失败.
   另外,您可以单独下载knlps.exe来试一试,如果不能使用,可能确实是该程序不兼容于您的系统.

wang6071

相信N多兄弟从未用过下面这个工具,这个工具的用途是恢复被Hook了的系统函数的.
原理:
  执行本程序后如果有被Hook的函数将显示并提示是否还原,如果还原的话则恢复系统默认的函数地址.
用途:
  例如3721的cnsminkp.sys驱动Hook了文件删除,注册表修改等函数(用IceSword看ssdt红色显示项可看到),所以通常删除cnsminkp.sys很难,但使用了下面提供的这个工具后将恢复系统函数本身的实际地址,所以恢复后则Hook钩子就失效了,当然也就能轻易删除了.
  注意:因为许多杀毒软件也靠Hook系统函数而工作,所以处理完后请重启系统以便让杀软正常工作.
另外:该程序不直持win2003(系统版本在5.2以上的都不支持),但稍作修改即可支持到win2003,偶这里提供的是原版程序给大家预览一下.稍特时日偶将修改它为pascal版本的并入syscheck中(当然也会支持win2003系统的了,win2003以上的系统不会支持,因为微软的系统核心改变了一点,但偶估计兄弟们用XP还是多些,所以会有用的)[UploadFile=SDTrestore_1137504341.rar]

wang6071

[UploadFile=1_1137560298.jpg][UploadFile=1_1137560317.rar][UploadFile=2_1137560328.rar]
集成了ssdt恢复,功能见楼上.
另外,关于emca兄所说的在系统中不能显示进程偶查明有一个原因:
   如果您是在虚拟机中试的,请不要将文件放在与实机的共享区中,这样会导致上面的错误.偶试过在局域网的共享区远程执行,就报告了上面的错误.   

wang6071

to xdg3669 兄弟:
试试用这个版本:
[UploadFile=syscheck_1137578520.rar][UploadFile=syscheck_1137578529.rar]

   

wang6071

谢谢红叶兄的建议,更感谢红叶兄提供的参考键值
最近研究了一下hxdef1000的工作方式,发现95%以上的后门、木马及恶意软件的工作方式还是工作在win32上的ApiHook上的，其驱动主要作隐藏进程本身用。但是由于研究Hook的文章多而反Hook的文章少，所以相对来说Hook要容易。
好在多天研究终于有了一点心得，下面提供的程序是最早推出的驱动检测进程的升级版(只适用于win2003sp1以下版本，win2000,winxp是支持的),这个程序中针对HOOK作了反HOOK处理，所以一般性的HOOK是无法插入本进程的（可以用 金山快译 来Hook一下本进程后再查看模块信息，您会发现本进程加载的模块中绝对没有金山的模块)
同时，本程序对ZwOpenProcess进行了还原处理，所以可以直接检测到Hackdef100的隐藏进程并允许您杀死这个进程（目前只还原了这个Api,不过有此方法后还原其它Api也是容易的了)

[UploadFile=Image1_1139311853.jpg][UploadFile=1_1139311870.rar][UploadFile=2_1139311884.rar]

wang6071

谢谢ly001兄弟的反馈,之所以用反Hook方案主要就是想尽量使程序的兼容性强些,不过这次又忘了去掉列模块时以前采用的硬编码方案了.
下面是修正过来的用纯API的,应该没有兼容问题
[UploadFile=syscheck20060207_1139322786.rar][UploadFile=syscheck20060207_1139322804.rar]

wang6071

今天在winxp sp2下试了一把,果然如此.
原来是winxp sp2不太支持ring3下进入ring0的方式所致,换成驱动果然ok(原想不用驱动的,以前发布的都是伪驱动版,主要是担心用了驱动不稳定,但实测结果用驱动反而稳定性更高一点).进程在换成驱动工作的方式下可以正常显示
同时,发现winxp sp2下本程序的反Hook方式中的两项有些冲突(这就是退出时要出错的原因),解决方案暂未找到,待解决这个问题后一并上传新版syssheck

wang6071

新版,请各位试试还有没有问题
[UploadFile=Syscheck20060208_1139396725.rar][UploadFile=Syscheck20060208_1139396735.rar]

wang6071

谢谢红叶兄,偶下载来学习一下.
不管杀毒软件还是后门级软件,都是采用Hook方式工作的,只是有的工作在win32级有的工作在驱动级.工作在win32级的Hook后门大都要对所有进程进行修改(写得不好就会有非法操作等错误),而工作在驱动级的Hook则没有这么麻烦(其不足就是大多存在系统兼容问题,必须随系统版本的升级而升级).

wang6071

[UploadFile=syscheck20060208_1139410060.rar][UploadFile=syscheck20060208_1139410073.rar]
这是for xp的,先前在win2003下编译程序(偶的虚拟机运行缓慢),没注意到与xp有不同,所以有误,现在更正.
另外:谢谢emca的建议,偶本打算释放到临时目录的,但怕有兄弟将安全盾的自定义设置在监时目录下过滤敏感文件,下次修正它.

wang6071

[UploadFile=Syscheck20060208_1139410298.rar][UploadFile=Syscheck20060208_1139410308.rar]
关于6618兄弟反映的win2000下的问题,估计是端口监视中使用的api在win2000下有所不同,所以这一版去掉了它,请有win2000环境的朋友测试一下是否正常(另外,不知道是否恢复代码是所取与xp是否相同,我是按xp设置的,所以可能进程不正常,不管如何请通知一下结果.)