[sysshield]系统安全盾

wang6071

原帖由 xuweihuai 于 2006-10-15 01:15 PM 发表
老王~~
净化的文件搜索能找到我系统上的c：NTDETECT.COM，显示是rhsa属性，红色的，以前我看时间是2003的就没动他，今天我手痒把他删掉了，然后就进不了系统了，还原了事。
以后这种可能不能删的东西能不能提示 ...

NTDETECT.COM你也敢删?看来你得补充得系统基础知识。
维护工具最大的好处是给用户更大的权限，最大的坏处是无法做到面面俱到。如果对不能删除的文件都提示话那提示就要做太多了。所以还是自我补充一点系统基本知识重要。

xuweihuai

原帖由 wang6071 于 2006-10-15 07:17 PM 发表


NTDETECT.COM你也敢删?看来你得补充得系统基础知识。
维护工具最大的好处是给用户更大的权限，最大的坏处是无法做到面面俱到。如果对不能删除的文件都提示话那提示就要做太多了。所以还是自我补充一点系统基 ...

收到~~~~

emca

就算把二炮这样的牛部队送给拉登，我想也不会有太大作用的：）

yht

原帖由 xuweihuai 于 2006-10-15 01:15 PM 发表
老王~~
净化的文件搜索能找到我系统上的c：NTDETECT.COM，显示是rhsa属性，红色的，以前我看时间是2003的就没动他，今天我手痒把他删掉了，然后就进不了系统了，还原了事。
以后这种可能不能删的东西能不能提示 ...

先生为何不用右键的Google搜索一下!似乎仅仅是抬手之劳呵?.........

[ 本帖最后由 yht 于 2006-10-15 11:31 PM 编辑 ]

yht

原帖由 emca 于 2006-10-15 09:02 PM 发表
就算把二炮这样的牛部队送给拉登，我想也不会有太大作用的：）

道不虚传,只在人!
动用战略导弹部队?!有点大炮打蚊子的味道!?.........世间的事,本是一物降一物,唯其定位准确,方得其功呵!......
有感:好好学习,天天向上!.......

[ 本帖最后由 yht 于 2006-10-15 11:28 PM 编辑 ]

zhuhou18

NTDETECT.COM是一个用于对硬件设备初始化的一个系统级别的文件，然后把这些硬件信息传递给下一个启动步骤，最终完成操作系统的启动。需要说明的是，这个文件仅存于NT架构的操作系统里面，而在Win9X下的启动流程又是另外的一种方式。

我帮着找一下！

xuweihuai

谢各位兄弟~~主要是看到红色的，认为都能删~~~嘿嘿~~~
不要紧~~多犯错才能进步嘛~~~上次我还用老王东西把service.exe给禁止了，结果也进不去了。不过用老王的软件帮助很大，现在我认为只要不是很厉害，很厉害，很厉害的木马，用老王的软件我能手工杀~~~以前就最简单的活动文件对应的注册表键值就瞎了，我估计我连活动文件都看不到，因为有的在启动项里看不到的嘛~~~哈哈

happyday2

EQSecure for System 2006 V2.0 出来了，增加完善了很多功能，感觉挺不错。

只有安全盾太单薄了，希望这两款软件可以完全替代那些类似的外国软件。

支持国产。

http://www.eqspywatch.com/



　

[ 本帖最后由 happyday2 于 2006-10-16 09:31 AM 编辑 ]

happyday2

原帖由 xuweihuai 于 2006-10-16 08:24 AM 发表
谢各位兄弟~~主要是看到红色的，认为都能删~~~嘿嘿~~~
不要紧~~多犯错才能进步嘛~~~上次我还用老王东西把service.exe给禁止了，结果也进不去了。不过用老王的软件帮助很大，现在我认为只要不是很厉害，很厉害，很 ...

这位兄弟很谦虚，谦虚使人进步，你一定会成为高手的。

一款好的软件不仅可以帮我们做很多事情，而且也能够教给我们很多知识。

自从使用王兄的这两款软件以来，我感觉自己也进步了不少，在此向王兄表示感谢。

楼上的兄弟说的也在理，用反黑工具清理进程、服务多了，看到红色也确实有想删掉的冲动，红色代表危险嘛，只是有时搞不懂：到底是留着危险，还是删掉危险，呵呵。

　　

xdg3669

原帖由 happyday2 于 2006-10-16 09:19 AM 发表


这位兄弟很谦虚，谦虚使人进步，你一定会成为高手的。

一款好的软件不仅可以帮我们做很多事情，而且也能够教给我们很多知识。

自从使用王兄的这两款软件以来，我感觉自己也进步了不少，在此向王兄表示感 ...

要先学好系统的基本常识再维护管理，连系统最基本的常识都没有，必须的启动文件都删除，你说怎么教你用什么什么工具？

xdg3669

安全盾的注册表工具的恶意网页木马免疫部分：

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88D969C5-F192-11D4-A65F-0040963251E5}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88D969EA-F192-11D4-A65F-0040963251E5}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}]

应该是错的吧？应该在每行前面加上“-”。看#2219楼。

[ 本帖最后由 xdg3669 于 2006-10-16 03:46 PM 编辑 ]

gs971wd

原帖由 xdg3669 于 2006-10-16 02:20 PM 发表
安全盾的注册表工具的恶意网页木马免疫部分：








应该是错的吧？应该在每行前面加上“-”。

应是对的,在恶意网页木马没安装前,写入注册表一些值,再有恶意网页木马要安装时,检测到注册表中已有了,就不会再安装了.这其实是一种欺骗手法.

emca

Sysshield 在目前已经初步具备了恶意程序尤其是流氓程序的植入感染。但由于其无法做到象杀毒软件那样使用庞大的特征码匹配，因此在防护效果上仍然比较有限，这也把它的防护功能主要局限于防范流氓程序方面（而且也得经常性更新流氓特征规则，只不过流氓病毒数量比普通病毒数量在少得多而已）。

因此，个人觉得，在目前现有经验的基础上，不需要花费太大力气，还是应当有一个质的台阶可上的！
本人近期一直在玩Windows XP的软件限制策略，发现这是一种不错的做法。另外，Winpooch也有类似的功能。而Syscheck的的阻止进程创建已经是成熟的技术了，因此把这个技术于移植到Sysshield上就能够实现这种功能上的突破。

我的设想主要是增加根据文件名和路径规则来禁止某些程序运行的功能。Windows XP的软件限制策略已经是极其强大了，唯一的不足是无法定义白名单（即赦免规则），如果有相同路径下的通配符禁用规则被设置，此时就算添加了允许执行的特定项目，这个允许的项目也是无效的。而Winpooch则讲究规则的顺序和优先级，其对进程的创建可以通过规则变得非常强悍！只可惜其稳定性和兼容性太差了些！

由此我想，如果能够灵活定义软件的运行许可规则，那么就可能通过逻辑规则，结合通配符的使用，极大地限制有害程序的运行！
比如目前我们这里流行通过移动磁盘的自动运行功能进行感染的病毒，我只需在软件限制策略中禁止移动盘符从根目录到二或三级子目录的可执行文件的直接运行，即可极其有效地阻止病毒程序被激活；那些隐藏在回收站等特殊目录中的病毒也可以通过规则轻松阻止；对于Windows目录，就可以先把系统可以运行的程序设置为“允许”，然后再禁止一切其他，则什么灰鸽子，就算是黑鸽子、白鸽子也毫无用武之地！……

Winpooch的目录规则中，支持*和?的同时，还引入了本级路径匹配和全路径匹配的概念，这给规则的制定带来巨大的方便。可以学习。

希望大家就此讨论讨论：）

askai

原帖由 emca 于 2006-10-15 11:21 AM 发表
请大家试试把以下内容导入注册表，对于防范网页木马是极其有效的，对于正常使用基本没有任何感觉：

REGEDIT4

; 说明：
; 为防范恶意网页木马感染而删除以下组件：
; 恶意执行程序组件 WScript.Shell
; 木 ...

到底是有-还是没-啊

longwang

加“－”是删除，免疫的话应该是要加“－”。

[ 本帖最后由 longwang 于 2006-10-17 01:05 PM 编辑 ]

ah1283328

菜鸟，现有2000server系统启动蓝屏。安全模式也进不去。用红叶pe光盘进去，如何使用syscheck，好像只能对当前的pe系统处理，如何对硬盘做处理？
如果是系统服务或文件坏、丢失。是不是只能修复性安装或重装系统？
请各位大侠指点。
谢谢！

258

原帖由 wang6071 于 2006-10-15 12:47 PM 发表
syscheck(1.0.0.46)
修正<仅删除服务键值>在键值成功删除后不刷新列表的Bug。
修正原IE工具栏及ShellHook下修复时未删除clsid的操作。
修正不显示Apache2等这类服务的Bug。
增加对
HKEY_LOCAL_MACHINE ...

我已经找到启动的真正位置 在如下的键值
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved        
其中一个键值就是引用的我截图的那个键值{954F618B-0DEC-4D1A-9317-E0FC96F87865}
说明这个键下的所有启动是不经过系统审核的隐藏启动希望wang6071大侠予以修正

我试用了syscheck(1.0.0.46)，结果还是找不到我说的那个隐藏启动的，估计大侠是简单的对键值的判断，而那个隐藏的启动的项比较隐蔽，是在HKEY_CLASSES_ROOT\CLSID\{954F618B-0DEC-4D1A-9317-E0FC96F87865}\InprocServer32 中指定启动的路径和程序，而在HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved 中是调用{954F618B-0DEC-4D1A-9317-E0FC96F87865}这个键值的，也不知道我说清楚了没有，前面有我上传的那个小软件，大侠可以下载来研究下，我再截个图给大侠看下。

wang6071

原帖由 ah1283328 于 2006-10-17 09:21 AM 发表
菜鸟，现有2000server系统启动蓝屏。安全模式也进不去。用红叶pe光盘进去，如何使用syscheck，好像只能对当前的pe系统处理，如何对硬盘做处理？
如果是系统服务或文件坏、丢失。是不是只能修复性安装或重装系统？ ...

刚好处理过一台类似的机器,是注册表被加载了恶意启动键值,我在pe中用Erd2003检查发现了userinit被修改为xxx.com,run下也有好几个启动项,恢复正确值后重启仍然无法进入系统.由于在pe中修复检查其它修改地方不方便,所以我是直接从以前备份的ghost文件是提取出WINDOWS\system32\config下的注册表文件直接还原恢复的.恢复后检测发现了一大堆木马文件.

如果你曾有ghost备份或注册表备份,可尝试这样的恢复方式.

通过这个事件,我想如果红叶在Pe中为Erd2003增加一些注册表关键启动项的书签可能就更方便在Pe下修复注册表项了.

原帖由 258 于 2006-10-17 02:16 PM 发表
我试用了syscheck(1.0.0.46)，结果还是找不到我说的那个隐藏启动的，估计大侠是简单的对键值的判断，而那个隐藏的启动的项比较隐蔽，是在HKEY_CLASSES_ROOT\CLSID\{954F618B-0DEC-4D1A-9317-E0FC96F87865 ...

这个检测是确实加入了呢,至于检测不到可能有某些原因被忽视了,请导出
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
与HKEY_CLASSES_ROOT\CLSID\{954F618B-0DEC-4D1A-9317-E0FC96F87865}
该两处注册表键的reg文件

然后与dll一些打包发上来研究一下.(你以前发的那个安装我测试过无法安装)

[ 本帖最后由 wang6071 于 2006-10-17 07:00 PM 编辑 ]

askai

原帖由 longwang 于 2006-10-17 09:14 AM 发表
加“－”是删除，免疫的话应该是要加“－”。

我怎么理解不了这句话:lol

生命过客

王兄：有两款软件值得你借鉴一下1、卖咖啡，它的防护做的非常，可以说是滴水不漏，它的防护规则也很灵活，从防护这个意义上来说，它好像不是一款杀毒软件。2、超级进程管理器，它是“中国反流氓软件联盟”论坛（http://www.94xyz.com）出的一款反流氓软件，很直观，很好用。下载连接http://nPower.vicp.net/download.asp?id=37，你可以看一下的。
祝王兄的软件越做越强！

askai

StartupList可以监控所有自动启动程序.由大名鼎鼎的Hijackthis开发者meriin.org发行
看看这个工具
http://www.merijn.org/files/startuplist.zip

longwang

原帖由 askai 于 2006-10-17 09:36 PM 发表

我怎么理解不了这句话:lol

仅针对#2235楼指出的哈，其他例外。呵呵。

askai

那就是说安全盾里边哪个防范网页木马写错了?

emca

单纯玩技术的东东：
冰刃IceSword v1.20
http://www.crsky.com/soft/6947.html

新版本的易用性和方便性仍然得向 Syscheck 学习；而Syscheck的核心技术要向Icesword学习，嘿嘿～

chzhy

在后面一直看各位前辈的问答,学到一些,并且下了一个来实用了一下,是不是每一次打开都会记录前一次的监控日志要点全是或者点全否?

xdg3669

原帖由 wang6071 于 2006-10-17 06:55 PM 发表


通过这个事件,我想如果红叶在Pe中为Erd2003增加一些注册表关键启动项的书签可能就更方便在Pe下修复注册表项了. ...

红叶在Pe中已有一个高级注册表管理工具，已内置了常用的注册表关键项的书签！这个很好用！方便，有地址栏，但查找速度没有“注册表搜索 Registry Crawler”快。

[ 本帖最后由 xdg3669 于 2006-10-18 11:34 AM 编辑 ]

askai

IceSword——扫清系统中的隐藏后门




木马后门等黑客程序一直像幽灵一样，不知不觉中悄悄地进入我们的系统，破坏文件，偷窥我们的隐
私。如今的后门程序为了躲避杀毒软件的查杀，增加了很多防删除功能，例如注入进程，隐藏文件，隐藏
进程，利用系统Bug等等。增加这些功能后，后门程序就像牛皮癣一样难以清除，即使杀毒软件发现了病
毒，也无法彻底地将病毒清除。更何况一些后门程序将最新技术应用其中，如驱动隐藏保护，即使是杀毒
高手也无法及时发现已经驻扎在其系统中的后门程序。在这种情况下，IceSword诞生了!IceSword中文名
为冰刃，是一款功能强大的后门清除工具，由于同样使用了系统最底层的技术编写，因此那些用驱动隐藏
的后门程序在其面前暴露无疑。IceSword目前可以查出Windows系统下绝大部分的后门程序!

初识IceSword
  
  lceSword是一款绿色软件，可以直接运行使用。由于使用了Windows系统的内核编写，因此需要有系
统管理员权限才能够运行IceSword。打开IceSword后可以看到三个栏目，分别为“查看”、“注册表”和
“文件”。在“查看”栏目中包括了很多查看选项，例如查看当前系统中运行的进程、端口、服务、甚至
可以查看内核模块和消息钩子，这些功能在我们平时所使用的一些系统管理软件当中是很少见的。“注册
表”和“文件”栏目则分别可以对系统注册表和文件进行操作。可能有的朋友会说了“对注册表进行操作
可以用注册表编辑器，而文件可以用资源管理器!”的确，一般的操作用这些就足够了；但是对后门的删
除，还是要用到IceSword的“注册表”、“文件”管理功能。

攻必先防，ICeSword的自我保护

  使用过木马程序的朋友肯定都知道，现在的木马都有一项功能，就是在运行木马服务端的时候可以指定
关闭某某杀毒软件、防火墙。那么这些木马是怎么做到的呢?其实原理很简单，就是在编写木马的时候加
入一个钩子函数，这个函数会监视软件的窗口标题，例如一款杀毒软件运行时，其窗口标题为“某某杀毒
软件”，木马检测到这些字符后就会结束程序的进程．杀毒软件也就被关闭了。一些盗QQ的木马程序使用
的也是这个原理，都是先获取程序窗口标题来进行下一步操作的。那么IceSword是如何防止被木马结束进
程的呢?运行IceSword后我们就会发现，IceSword的窗口标题不是"IceSword"，而是一串随机字符，每次
运行IceSword，这串字符都不一样。这样就可以有效地防止自身进程被结束，在攻之前有了坚固的防守。



进程检测，隐藏、插入进程显露无疑
  
  进程隐藏、插入是木马程序很喜欢使用的一种防删除措施。在“任务管理器”中，我们只能看到一些
正常的进程，而无法发现被插入的木马进程。但是使用Icdword的进程检测功能就可以轻松地发现“寄居
”在其中的木马进程。IceSword会用红色字体显示隐藏进程，以便查看。找到隐藏的进程后就好办了，在
隐藏进程上单击右键，选择“结束进程”即可。

  有的木马程序带有保护功能，当木马检测到系统中运行的木马进程被终止了，会马上再次启动。对于这种
防结束的木马，IeeSword也可以轻松搞定，单击IceSword的“文件”菜单→“设置”，将“禁止进线程创
建”和“禁止协件”两个选项勾选，点击“确定”即可。所谓见招拆招，木马的防终止功能就这样失效了
。如果木马同时运行两个进程，互相监视，一旦其一被终止，马上再次运行，这种情况下该怎么办呢?碰
到这种情况的木马，我们可以选中其中一个木马进程，然后按住"Ctrl”键，再选中另一个木马进程，选
择结束进程就可以了，即使有无数个进程的木马(例如常见的蠕虫病毒)也可以用这个方法结束其进程。

进、线程规则，防止木马自启动
  IceSwotd还有一项类似防火墙的规则功能，可以阻止某个程序的运行。单击“文件”菜单→“创建进
程规则”，在出现的窗口中点击“添加规则”，进入规则的详细设置窗口。我们在“总规则”中勾选“禁
止”，在“文件名”处输入记事本程序的文件名“notepad.exe”，点击“确定”即可。设置完成后我们
运行记事本程序，会发现记事本程序已经无法正常运行。这个功能主要可以防止那些死灰复燃的自启动木
马，使用到的技术类似钩子函数获取窗口标题，可谓以其人之道还治其人之身。

内核检测，破解驱加密隐藏
  一些木马程序使用驱动技术将其开放的端口和服务进行隐藏，用这种技术隐藏的端口和服务我们是无
法用一般的工具查看到的。例如Pcshare远程控制软件，在其配置服务端程序的时候有一项“驱动隐藏”
功能，选中该项后，Peshare运行后释放的文件和对系统的修改就会被隐藏。但是这些仍然逃脱不了IceS
word的眼睛。单击“查看”栏目中的"SSDT"，很多内核级后门都有可能修改这个服务表，以截获系统的服
务函数调用，以此实现注册表、文件的隐藏。通过"SSDT"检测，我们很轻松地发现了被修改的地方。和“
进程检测”一样，IceSword会以红色显示被修改的地方。
  除此之外，IceSword还具有很多底层的检测选项，例如"SPI”、“BHO”、“消息钩子”等。有了这些
功能的存在，即使隐藏得再好的木马也会露出马脚。在“查看”栏中还有一项比较实用的功能就是“监视
进线程创建”，运行Iceswold后，所有对系统进程的操作都会在这里被完整地记录下来。这有利于我们分
析木马的执行流程，从中找出真凶！


注册表操作，找出系统注册表的阴暗角落
  windows系统中的注册表是整个系统的核心，也是木马后门程序喜欢驻扎的地方，因此注册表中往往
存在着很多阴暗的角落。但是为什么我们用regedit.exe打开注册表发现一切正常，即使用其他工具也没
有发现异常之处呢?这是因为系统的注册表编辑器regedit和regdt32.exe有很多的不足，存在长度限制Bug
，如果注册表中存在一个长度超过300字节的项，那么该项和其下的所有子键都将被隐藏，用regedit.exe
是无法显示的。不仅如此，regedit.exe还有很多可以被木马后门利用的地方，用特殊手法就可以创建隐
藏的项或键值，这就是为什么有时我们杀毒不干净的原因。而这些隐藏的手法在IceSwold面前形同虚设。
IceSwold可以打开所有隐藏的键值进行修改，是手工清除木马在注册表中键值的首选工具。


清除顽固文件
  
  Windows系统存在文件命名Bug。例如c盘根目录存在一个文本文件test.txt，在“命令提示符”中输
入"copy c：\test.txt \\.\c:\com1.txt”，回车后就会在c盘根目录生成一个com1.txt文件。这个文件
如果没有工具是无法删除的，只能到”命令提示符“下进行删除，而IceSword中，则可以通过“文件操作
”功能选中这个文件，右键选择“删除”即可。因此一些利用此Bug进行加密隐藏操作的软件，例如高强
度文件夹加密大师、文件夹加锁王等等加密保护的文件，都可以用IceSword直接删除。
  
  这项功能主要是用来删除当前系统中不允许删除的文件，例如在删除某个病毒的文件时可能会出现“
当前文件正在被使用，无法删除”的提示，尤其是和Winlogon.exe进程关联，进入系统就运行的病毒，例
如"Win2K密码大盗”，即使在安全模式下拿它没有办法，但用IceSword就可以轻松删除病毒文件。
  
  IceSword还可以复制Windows系统不允许复制的文件，例如C:\WINNT\system32\config目录下的syste
m文件等。IceSword"文件操作”中的复制还有一个功能就是替换正在运行的病毒文件。例如一些病毒会监
视当前系统中是否有其病毒文件，如果我们把病毒文件删除了，病毒就会再次感染，而用IceSword的复制
功能替换病毒文件就可以骗过病毒的监视，即使病毒文件还在，而内容已经被我们替换得面目全非了。

askai

攻必先防，ICeSword的自我保护这一条
值得学习

258

原帖由 wang6071 于 2006-10-17 06:55 PM 发表
这个检测是确实加入了呢,至于检测不到可能有某些原因被忽视了,请导出
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
与HKEY_CLASSES_ROOT\CLSID\{954F618B-0DEC-4D1A-9317-E0FC96F87865}
该两处注册表键的reg文件

然后与dll一些打包发上来研究一下.(你以前发的那个安装我测试过无法安装)

我觉得大侠还是直接下载安装研究下最好。用百度直接搜索“小Me地图搜索器”就能找到，那个软件的名字就是“小Me地图搜索器”
也可以直接点击这个链接直接看搜索结果。
http://www.baidu.com/s?wd=%D0%A1 ... B%F7%C6%F7&cl=3

有{954F618B-0DEC-4D1A-9317-E0FC96F87865}这个键值的的方共有四处，我都导出来了，和xMTool.dll打包在附件里面

wang6071

原帖由 258 于 2006-10-18 01:40 PM 发表
我觉得大侠还是直接下载安装研究下最好。用百度直接搜索“小Me地图搜索器”就能找到，那个软件的名字就是“小Me地图搜索器”
也可以直接点击这个链接直接看搜索结果。
http://www.baidu.com/s?wd=%D0%A1Me% ...

syscheck(1.0.0.47)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
检测方法更新。