[sysshield]系统安全盾

421725772 · 发表于 2007-4-20 21:53:09

:( :( :( :( :( budong

戏耍 · 发表于 2007-4-20 22:13:06

原帖由 wang6071 于 2007-4-20 12:57 AM 发表
Wsyscheck (0420)
  基本完备了
  增强了列进程、杀进程功能等功能
  提供了对畸形目录(带点目录)的较全面的管理(众多的xxx文件夹加密隐藏对wsycheck完全无效了).

下完打开界面是英文的。。。。

wang6071 · 发表于 2007-4-20 23:55:24

做了部份改动,Wsyscheck是以英文界面以适应不同的系统的需要,目前功能尚未完备所以只有英文版。不过其英文单词都比较简单（因为本人的英文也菜得历害），所以大部份人都能理解其意思。

Wsyscheck主要目的是做一个维修人员较易操作维护工具，功能是在syscheck上增强精炼而成。
Wsyscheck目前还存在所使用的驱动在部份机器上可能存在蓝屏或重启的问题，所以它并不适合菜鸟使用。

[ 本帖最后由 wang6071 于 2007-4-20 11:56 PM 编辑 ]

nsfi · 发表于 2007-4-21 00:12:00

求最新规则的安全盾下载网址！
感激原创！梦寐以求！

zxplhzlt · 发表于 2007-4-22 09:33:34

Wsyscheck(0420-2)还会重启

zzzzzzzzzzz · 发表于 2007-4-22 23:44:55

很久没来了，呵呵。
Wsyscheck从图标看来有向IceSword靠拢的目标嘛～

稳定性测试：
Windows 2000 SP4 CHS + Rollup 1 - 运行正常！
Windows XP SP2 CHS - 第一次运行出现两个访问违例，程序正常工作了3秒后退出。未蓝屏。第二次运行正常，但速度缓慢。
Linux + Wine - 无法加载驱动（开个玩笑，嘿嘿～）

杀进程测试：
System Safety Monitor Free Editon (SSDT Hook) - 成功！
IceSword 1.20 CHS (Ntoskrnl Inline Hook) - 失败……
RkU (Ntoskrnl Inline Hook) - 失败……

检测隐藏进程测试：
挂NtQuerySystemInformation - 成功！
活动进程链摘除 - 成功！
FUTo (DKOM) - 失败……
我估计WSysCheck的检测方法是遍历csrss.exe的句柄表，猜测的不一定对。

删除文件测试：
删除自身 - 失败……但文件被重命名。
删除其它运行中的程序 - 同上。

删除特殊文件夹测试：
删除“123....”文件夹 - 成功！
删除“....123”文件夹 - 成功！
删除“...”文件夹 - 失败……
删除“con”文件夹 - 失败……
删除“com1”文件夹 - 失败……

意见：
已经有驱动了就不必再靠远线程取进程模块了吧？

其它的都很不错。wangsea辛苦了。

[ 本帖最后由 zzzzzzzzzzz 于 2007-4-24 02:00 PM 编辑 ]

wxrly · 发表于 2007-4-24 09:54:39

刚试了一下，找不到监控级别设置

wxrly · 发表于 2007-4-24 09:58:13

能不能在进程项目下加入常见进程的说明，适合我这类菜鸟

wxrly · 发表于 2007-4-24 10:08:22

楼主能不能把安全盾设计成不输入密码无法卸载，无法终止安全盾自身进程，方便公共机防止乱改、安装

天地任逍遥 · 发表于 2007-4-24 15:55:04

:lol 今天在朋友的推荐下也装上了，感觉还不错

紫狐 · 发表于 2007-4-24 19:51:54

原帖由 天地任逍遥 于 2007-4-24 03:55 PM 发表
:lol 今天在朋友的推荐下也装上了，感觉还不错

嘿嘿,这小子灌水来了？
有没有试一试syscheck？也是个好东东。

wang6071 · 发表于 2007-4-24 22:39:01

谢谢zzzzzzzzzzz 的测试及意见，wsyscheck杀不了使用Inline Hook的进程，且偶不想用PspTerminateProcess(因为要针对系统版本硬编码)，所以对Is无法杀．（不过也有在R3下结束Is的方法，不过我觉得也没多大必要，结束不了进程及驱动只要能查出来，就可以想办法删除，所以目的不是结束，最终目的是要删除）

进程检测确实是检测句柄表，对PspCidTable不熟所以也就无法做到如Is一样。

取进程模块没有使用远线程，估计你说的是卸载模块，一个原因是能在R3下做到的我想还是尽量用R3，原因是驱动加载有可能被阻止．

下面是驱动较稳定的wsyscheck．

zzzzzzzzzzz · 发表于 2007-4-24 23:43:43

原帖由 wang6071 于 2007-4-24 10:39 PM 发表
谢谢zzzzzzzzzzz 的测试及意见，wsyscheck杀不了使用Inline Hook的进程，且偶不想用PspTerminateProcess(因为要针对系统版本硬编码)，所以对Is无法杀．（不过也有在R3下结束Is的方法，不过我觉得也没多大必要， ...

检测句柄表没什么不好呀，很稳定，且对付鸽子之流绰绰有余了（今天中午我用SysCheck仅按了5下鼠标就斩了一只鸽子）。
您说的没错，确实是要在删除文件上下功夫，只要文件挂了，基本上都搞定了。
R0下文件删除就有很多可以发挥的空间了。哈哈～也可以参考最近才出的360FileKiller

紫狐 · 发表于 2007-4-25 09:27:39

原帖由 wang6071 于 2007-4-24 10:39 PM 发表
谢谢zzzzzzzzzzz 的测试及意见，wsyscheck杀不了使用Inline Hook的进程，且偶不想用PspTerminateProcess(因为要针对系统版本硬编码)，所以对Is无法杀．（不过也有在R3下结束Is的方法，不过我觉得也没多大必要， ...

wang6071，在重启删除文件方面不知道你是否使用XP本是的重启删除，如果是的话，是否考虑一下使用HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute的方法来删除文件？

darksky · 发表于 2007-4-25 10:57:40

多谢楼主，我用了，很不错！

wang6071 · 发表于 2007-4-27 00:38:46

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute下运行的程序与一般程序不同,我不知道该如何写这样的程序.

wsyscheck(0426),修正了服务页的刷新显示方式,加入了较Syscheck增强了的no process create的HOOK

legendwe · 发表于 2007-4-27 08:47:40

感谢分享。
支持一下

zts59 · 发表于 2007-4-27 08:57:49

建议WSYSCHECK对文件的GOTO File是跳转到工具本身的EXPLORER中去找到，
这样某些情况下不对EXPLORER.exe的依赖。

在网上看了一款GMER，功能也有很多，不过我对CMD这个功能还是觉得蛮好用的。
（不用另开命今行窗口了）

建议楼主考滤一下:)

[ 本帖最后由 zts59 于 2007-4-27 09:01 AM 编辑 ]

小木头 · 发表于 2007-4-27 14:27:32

不检测SSDT，为什么?

joycolin · 发表于 2007-4-27 18:43:22

这个经典！可以不装杀软了:)

wang6071 · 发表于 2007-4-27 19:54:44

原帖由 小木头 于 2007-4-27 02:27 PM 发表
不检测SSDT，为什么?

运行wsyscheck时不是有个提示驱动未加载成功的提示你没注意到吧?
要显示ssdt需要安全盾处于信任模块让驱动加载.

GOTO File是跳转到工具EXPLORER中定位作用有：
1:如果Explorer开启了显示隐藏文件仍不可见此文件，说明系统有木马．
2:想备份一个可疑文件或搜集样本时需要作定位．
3:可以在Explorer中对文件作重命名等简单处理让程序无法运行．

内置cmd作用不是很大，不见得比syscheck内置的资源管理器有什么优势．

[ 本帖最后由 wang6071 于 2007-4-27 08:28 PM 编辑 ]

小木头 · 发表于 2007-4-27 21:32:15

忽视了它的提示.明白了!谢谢王兄.

ah1283328 · 发表于 2007-4-28 12:45:13

最近系统用wsyscheck检测时，在explorer进程中总有c:\windows\system32\uptool.dll，好像卸掉之后还有，请问是木马或病毒吗？如何解决？
谢谢。

mssss123 · 发表于 2007-4-30 16:52:23

的确是不错，谢谢楼主。

wang6071 · 发表于 2007-4-30 23:57:57

Wsyscheck(0430):内置了RegEdit

wang6071 · 发表于 2007-5-1 14:55:51

wsyscheck(0501):对畸形文件名增加支持(可以处理... aux con等目录了)

xin6jin · 发表于 2007-5-1 15:46:17

谢谢楼主。新东西。我看看

4401 · 发表于 2007-5-1 18:04:50

楼主更新得太频繁了,,呵呵，不知道安全盾还有改进的地方吗?:)

emca · 发表于 2007-5-2 09:18:11

新版本不错。但人性化上严重倒退。与前期比较成熟的Syscheck相比，这个更只适合高手使用了。

zts59 · 发表于 2007-5-2 09:56:20

原帖由 wang6071 于 2007-4-27 07:54 PM 发表

运行wsyscheck时不是有个提示驱动未加载成功的提示你没注意到吧?
要显示ssdt需要安全盾处于信任模块让驱动加载.

GOTO File是跳转到工具EXPLORER中定位作用有：
1:如果Explorer开启了显示隐藏文件仍不可 ...

用此类工具（清理木马或病毒），本身就知道系统有问题，
某些情况下，EXPLORER.EXE还有可能成为一些东东攻击对象

所以：WINDOWS系统中的EXPLORER用不到！

然后工具本身的EXPLORER，用得很少，因为：
操作太慢了,效率太低。难道发现一文件,还要一级级的展开,然后操作?
为加强此EXPLORER功能,GOTO FILE对应此EXPLORER会好很多.

再说CMD,个人认为其理由为:
为了提高率..得知系统同一文件夹内的多个可疑隐藏文件,像什么ATTRIB REN MD效率高很多.

说到这里，又带出一个，免疫文件 :  用同文件夹名代替（并在文件夹中建立一个SY...\的文件夹）

可能楼主不想为了产生过多的空文件夹而不想，可是这个功能在未能完全清除对象时有着很大作用！
等，使用者完用全清除对象后，可以设一下清除功能（因为里面有个SY...\)

楼主能不能考滤?

发现一些什么鬼东东,在注册表中写入类似的: (举例对CMD.EXE进行限制)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe]
"debugger"="debug_prog"

对300个文件进行限制,什么工具都用不了,真够BT的,

虽然改名就可以执行,但是如果限制太多的文件的话,改名肯定是不行的.(后删除此项所有,才可以)

对这项,可以考滤在REGEDIT中,有个收藏功能,把一些常用设置地址,收藏一下.

还有增强工具的常用操作快捷键:

终止进程  ----  用上下键移动,用左右键选择和取消选择, 选择后,按DEL键
删除操作  ----  用DEL键,(应用在删除启动项目、删除服务驱动，此操作不会删除物理文件）
终止或Uload并删除 ----  Alt  + DEL
强制删除  ----    CTRL + DEL

[ 本帖最后由 zts59 于 2007-5-2 10:14 AM 编辑 ]

		自动登录	找回密码
密码			注册