[sysshield]系统安全盾

gdlgh

期待wang兄完善此功能！！！

lj858155

实用功能阿 可以慢慢加 前面这么久的黑暗都过去了 害怕现在一点点
再次支持和感谢

wang6071

syssheild 9月10日主程序更新,请各位兄弟更新测试:
1:主窗口标题条拖动允许,可以移动位置了.
2:随机退出码减为1-2位.
3:进程更新:
  a:非系统进程及服务以红色显示,系统本身服务与进程为黑色.更表中显示系统中加载的所有进程.若此进程是服务的话,则看b说明.
  b:过滤掉系统的重要服务(不过滤的话,可能某些兄弟不知道该杀哪些进程与服务,哪些进程与服务不能杀),现在列表中显示的每一个进程都可安全杀除.使有其来也清析了些.
  可能有兄弟要问,过滤掉的服务如果被恶意替换了怎么办.不必担心,程序采用了一种判别方法(当然得保密,说出来本方法就失效了:) ),即使是与系统同名的进程与服务,也可鉴别出来.当发现不是系统服务时会显示它.
  c:只保留一个杀进程与服务的按钮.
[UploadFile=1_1126336730.rar][UploadFile=2_1126336741.rar]
效果见下图
[UploadFile=1_1126336766.jpg]

6618

这个软件越来越完善了，感谢分享，下载下来用一用。

xdg3669

下载下来试用一用。

ctsren

太好了，支持和感谢wang兄！

xdg3669

[这个贴子最后由xdg3669在 2005/09/10 08:43pm 第 1 次编辑]

退出确认框就没必要搞最大化了！服务项能否单列？锁定？

wang6071

下面引用由xdg3669在 2005/09/10 08:36pm 发表的内容：
退出确认框就没必要搞最大化了！服务项能否单列？锁定？

退出框最大化按钮已取消
不准备单独给出页面来显示或设置服务项,因为考虑很多菜鸟一看到那么一堆列表头就昏,所以就不提供这个页面的设置或改变服务了.且偶认为没多大必要,我们要做的是简化并安全地操作.现在楼上给出的进程(含服务)显示页已经可以方便地杀死外部进程与服务,杀毒与防黑已经比较方便了(比如说通过杀死大部份进程,只保留杀毒软件进程,则不会再有清除不了的程序出现了,也不用再进什么安全模式杀毒了)
服务项的新增(锁定)将弹出一个对话框以确认是否是用户允许的新增(正在编写中,已外理完监测部份,等完成了一并提供)

推士机

下面引用由xdg3669在 2005/09/10 08:36pm 发表的内容：
退出确认框就没必要搞最大化了！服务项能否单列？锁定？

的确如此！退出随机码也建议固定3位为宜，1、2位有点不象“码”，多了又麻烦

xdg3669

下面引用由wang6071在 2005/09/10 09:22pm 发表的内容：
退出框最大化按钮已取消
不准备单独给出页面来显示或设置服务项,因为考虑很多菜鸟一看到那么一堆列表头就昏,所以就不提供这个页面的设置或改变服务了.且偶认为没多大必要,我们要做的是简化并安全地操作.现在楼上 ...

wang兄：
   祝贺，真的很快成完美版了........

lj858155

[UploadFile=7B435013E44B3F47_1126373232.jpg]
怎么还有不能显示路径的 请全部加上谢谢
软件已经很不错了 谢谢

wang6071

下面引用由lj858155在 2005/09/11 01:28am 发表的内容：
怎么还有不能显示路径的 请全部加上谢谢
软件已经很不错了 谢谢

事实上要显示进程中服务的路径有点困难,因为服务启动了哪些程序是无法得知的,所以许多软件对此都是单独给出服务页来解决问题.
根据各兄弟的要求,用查表法查出进程中服务的路径,作为一个参考吧.(因为查表法查出的路径是服务中获取的,所以有一点不足,某些系统进程依然无法获取路径.原因见上面所说),但绝大多数的外部服务应该可以显示出路径来(比如lj858155贴图中的几个服务),请大家测试.

[UploadFile=1_1126411986.rar][UploadFile=2_1126411997.rar]

凌御

我晕倒了。...还要威望 以后别搞这样的飞机好不好...

wang6071

[这个贴子最后由wang6071在 2005/09/11 05:28pm 第 4 次编辑]

syssheild现在添加了系统服务新增监视.当syssheild发现系统中有新增服务时,弹出如
下对话框:
[UploadFile=1_1126430838.jpg]
如果30秒内不操作或点击确定,表示用户认可这个新增的服务.
如果点击取消,则会尝试关闭并删除新增的服务.
用下面提供的主程序替换掉原来的主程序,注意:
如果你原来的syssheild选项<锁定启动组>是勾选了的,请在运行新的syssheild前取消
这个选择.或者关闭syssheild,然后删除程序目录下的yousrset.ini.
一定要做这个操作,因为这样程序才能初始化时记录你的机器上已有的服务,否则就会跳
出上图的对话框让您一个一个地确认您机器上已有的服务.
为了避免误选造成删除本机的服务项,请在测试前备份好注册表.
下面是新版的主程序:
[UploadFile=3_1126430887.rar][UploadFile=4_1126430899.rar]

pyqkgd

添加的服务管理很实用。。功能又加强了。

推士机

很实用，类似WinPatrol的功能。支持Wang兄！

lj858155

支持 现在就是要添加启动选项很麻烦 经常要加一个启动要重新启动一次程度 还要删除一次yourset.ini才能加入
建议：能不能在启动被拦劫窗口中加入同意不同意

wang6071

[这个贴子最后由wang6071在 2005/09/11 10:49pm 第 1 次编辑]

下面引用由lj858155在 2005/09/11 09:02pm 发表的内容：
支持 现在就是要添加启动选项很麻烦 经常要加一个启动要重新启动一次程度 还要删除一次yourset.ini才能加入
建议：能不能在启动被拦劫窗口中加入同意不同意

to lj868155:
  　您不会成天添加驱动吧？这样的话不如先关闭syssheild添加完再开(当然，得把锁定启动组选择的勾取消)．即便是没有选择清除锁定启动组前的勾，添加少量的服务时也不必删除yourset.ini文件，直接在对话框点确定就行了．（当然，也可不管它，默认就是确定的)，到了时间会自动添加进入yourset.ini中的．
    偶上面的说明是指直接在原syssheild上升级的操作，新安装syssheild不必如此麻烦，因为本来就没有yourset.ini(这个文件在第一次启动时自动生成)
   
    syssheild在启动时如果发现yourset.ini则自动生成这个文件,这个文件中包含了你的系统当前的启动信息及服务信息,并以此为依据来鉴别系统的启动或服务中是否新增了程序.
(如果在界面中选择了[锁定启动组]则当yourset.ini存在时,程序重启也沿用上次的yourset.ini文件.如果没有选择[锁定启动组],则程序重启后生成新的yourset.ini来取代旧的yourset.ini).
    所以,根据这个原理,没必要每次手动去删除yourset.ini.未锁定时,重启就加入了最新的配置情况(当然,也就不会问你关闭期间系统发生了何种变化).
   而锁定时,当发现现有配置与原来的配置不同时,则只需在拦截窗口点击"确定"还是"取消"(也就是你建议的同意与不同意)
    注意:
    [确定]按钮与不作操作等待30秒自动完成是相同的操作.(添加服务)
    [取消]按钮与点击窗口关闭的[X]的作用相同.(删除服务)
           
     

lj858155

谢谢 用老兄的办法能添加启动项了  谢谢

xubo1971

我试用了一下新版主程序，在询问是否添加服务时选择取消，结果不停的弹出对话框，也就是说如果不点击确定就不停的添加，直到你确定添加为止。
看来如果没有锁定服务项，那么询问是否添加服务的功能也就形同虚设了，希望改进一下。

wanli

兄弟是最好的原创者之一，佩服！佩服！佩服技术也佩服人品！今天过节，顺便祝兄弟节日快乐，老婆成群：）

wang6071

下面引用由xubo1971在 2005/09/12 10:26am 发表的内容：
我试用了一下新版主程序，在询问是否添加服务时选择取消，结果不停的弹出对话框，也就是说如果不点击确定就不停的添加，直到你确定添加为止。
看来如果没有锁定服务项，那么询问是否添加服务的功能也就形同虚设　...

如果是这样就是一个Bug,稍侯我再测试一下,如果是这样就修正它.
先更新一下,进程显示页已可完全显示路径了,如果路径为空,则可能中了恶意程序,见下图及更新的主程序
[UploadFile=1_1126500101.jpg]
[UploadFile=1_1126500121.rar][UploadFile=2_1126500133.rar]

wang6071

下面引用由xubo1971在 2005/09/12 10:26am 发表的内容：
我试用了一下新版主程序，在询问是否添加服务时选择取消，结果不停的弹出对话框，也就是说如果不点击确定就不停的添加，直到你确定添加为止。
看来如果没有锁定服务项，那么询问是否添加服务的功能也就形同虚设　...

刚才测试了一下,没有出现您报告的问题.如下测试:
1:用EruNT等工具备份当前注册表.
2:将syssheild的[锁定启动组]打上勾,然后退出syssheild.
3:将yourset.ini中的
  Dhcp=E:\WINDOWS\system32\svchost.exe -k NetworkService  删除
  (您的路径可能与偶的机器不同,我们用这个不太重要的服务测试一下)
4:重新启动syssheild,看到了弹出框,发现新增了Dhcp=E:\WINDOWS\system32\svchost.exe -k NetworkService
  点击取消,此时服务Dhcp已被删除
5:打开windows自带的服务管理器,已经没有了Dhcp服务
6:退出syssheild,用EruNT备份的注册表还原,重启机器
7:重启后syssheild再次发现dhcp服务的新增,这次点确定保存它.
如果您有哪个服务程序如上测试未成功,请报告您测试的方法,最好附上测试的程序,让我们来看看为什么会不成功.(另外,请下测新版替换一下主程序,因为昨天第一次上传时偶的浏览器死掉了,然后偶重新上传了一次,不知道上传的文件对不对)

lj858155

报告 红叶提供的防黑注册表键值 已经测试没有问题了
退出码改成四位了 （喜欢二位）
程序 太好用了 谢谢

xdg3669

wang6071：
   你好，我采用自定义目录过滤，我又进行了验证，能模糊过滤、类型过滤，设置见下图，但还是被酷宝强奸了：
[UploadFile=x10_1126519433.jpg]
[UploadFile=x9_1126519449.jpg]
下面是酷宝安装程序，试一下：
[UploadFile=KubaoSetup_1016_1126519626.rar]

wang6071

[这个贴子最后由wang6071在 2005/09/12 08:53pm 第 1 次编辑]

to xdg3669 :
  其实酷宝也不应算是恶意程序,其卸载还是很彻底的．不过，它的安装程序正好做为了syssheild增强功能的试验工具．
  老版的syssheild不能删除酷宝是因为它的安装程序有一个先解压为监时文件，再重命名为正式文件的过程，偶修正了程序，检测安装程序的改名行为．
  所以，现在你可以在黑名单中定义一个kubao.exe来测试syssheild（用黑名单方式),也可以定义一个目录，如C:\Program Files\kubao\ (酷宝的安装目录)然后不设任何规则，并使用自定义来测试syssheild.
下面是新的syssheild的主程序：
[UploadFile=1_1126529515.rar][UploadFile=2_1126529527.rar]

推士机

谢谢wang兄，同步更新！
PS：退出码还是4位数较顺眼！

xdg3669

[这个贴子最后由xdg3669在 2005/09/12 09:35pm 第 2 次编辑]

阿！wang兄，正好增强了它的功能！-----辛苦了！

用黑名单时只删了kubao.exe,用自定义时空设置当然地删了！如果不设C:\Program Files\kubao\ (酷宝的安装目录)规则，我的模糊过滤、类型过滤应会删去*.dll等，但为何没办法删呢？
[UploadFile=x8_1126531775.jpg]

lj858155

能不能添加一个功能隐藏任何应用程序窗口

wang6071

[这个贴子最后由wang6071在 2005/09/12 11:27pm 第 1 次编辑]

下面引用由xdg3669在 2005/09/12 09:06pm 发表的内容：
阿！wang兄，正好增强了它的功能！-----辛苦了！
用黑名单时只删了kubao.exe,用自定义时空设置当然地删了！如果不设C:\Program Files\kubao\ (酷宝的安装目录)规则，我的模糊过滤、类型过滤应会删去*.dll等，但　...

[UploadFile=1_1126537680.jpg][UploadFile=2_1126537693.jpg]
虽然能够删除,现在发现某些情况下可能存在漏删除情况,原因有待查明
1:自定义时空设置可能在一次性创建文件太多情况下有漏删除文件情况(不能删除所有的文件)
2:而仅用 类型过滤 却没有漏删,但使用类型过滤与模糊过滤连用却存在漏删情况.
3:用黑名单也不存在漏删.
大家再观察观察,希望能尽快找到原因.
to lj858155:能不能添加一个功能隐藏任何应用程序窗口
  能不能添加一个功能隐藏任何应用程序窗口 ,是何意思?显示桌面吗?windows系统自带啦.