[sysshield]系统安全盾

wang6071

原帖由 xdg3669 于 2006-10-18 11:31 AM 发表


红叶在Pe中已有一个高级注册表管理工具，已内置了常用的注册表关键项的书签！这个很好用！方便，有地址栏，但查找速度没有“注册表搜索 Registry Crawler”快。

没用过那个,看图片好象说的是只针对当前系统.不如Erd2003(偶用的是老九64M中的那个),这个注册表编辑器处理的是注册表转储的hiv文件,可以编辑非当前windows的注册表,因为是Pe中直接修改注册表转储文件,所以不怕HOOK,实用性很大.

[ 本帖最后由 wang6071 于 2006-10-19 12:28 AM 编辑 ]

wang6071

syscheck(1.0.0.47b)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
检测方法更新。
b版过滤掉上面判断项中xp中要显示出来的微软文件部份。如过滤未干净请使用右键定位到注册表,复制出那个clsid(就是{xxxx-xxxx-xxxx-xxxx}这样形式的键值),贴在下面贴子中.

[ 本帖最后由 wang6071 于 2006-10-19 12:30 PM 编辑 ]

xdg3669

微软文件部份clsid:
{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}
{D6277990-4C6A-11CF-8D87-00AA0060F5BF}
{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}
{E4B29F9D-D390-480b-92FD-7DDB47101D71}
{87D62D94-71B3-4b9a-9489-5FE6850DC73E}
{A6FD9E45-6E44-43f9-8644-08598F5A74D9}
{c5a40261-cd64-4ccf-84cb-c394da41d590}
{BD472F60-27FA-11cf-B8B4-444553540000}
{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31}
{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
{640167b4-59b0-47a6-b335-a6b3c0695aea}
{cc86590a-b60a-48e6-996b-41d25ed39a1e}
{21569614-B795-46b1-85F4-E737A8DC09AD}
{42042206-2D85-11D3-8CFF-005004838597}
{BDEADF00-C265-11D0-BCED-00A0C90AB50F}

258

原帖由 wang6071 于 2006-10-19 12:02 AM 发表


syscheck(1.0.0.47)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
检测方法更新。

感谢大侠，这个版本能很好的检测出来了

“b版过滤掉上面判断项中xp中要显示出来的微软文件部份”，我觉得屏蔽微软的不是很好，有些恶意的软件可以利用这个来“强奸”机机的～

^_^   个人意见，希望在以后的版本中不要屏蔽微软文件部分，或者应该相对应出个不屏蔽的版本。

wang6071

syscheck(1.0.0.48)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
有太多的微软clsid项,且各系统下并不相同,难以搜集齐全,故再次更改检测方式检测第三方加载。
修正文件关联中.chm项在win2000下被误检出的问题。
ShellServiceObjectDelayLoad下Ms在win2000中有一个微软文件netshell.dll载入，本次加入判断不检出此项。
微软文件cscript.exe及wscript.exe都有可能被关联到vbsfile及jsfile文件上,所以加入一个判断使其两者不被检出。

为何要保证微软的不被检出,是因为快速净化要以检出结果为修复对象,而对微软项的删除可能会带来未知故障。

进程模块显示加入厂商显示。

[ 本帖最后由 wang6071 于 2006-10-19 06:22 PM 编辑 ]

ok-gao

我机器老，平时把卡巴５。０是关着的，可能中毒了，要用时再开
可我把这个服务禁用了，为何还运行呢

wang6071

原帖由 ok-gao 于 2006-10-19 09:07 PM 发表
我机器老，平时把卡巴５。０是关着的，可能中毒了，要用时再开
可我把这个服务禁用了，为何还运行呢

已知卡巴还有一个在注册表中的run中的启动项。其实你不想常开卡巴，何不用两个贴子中的绿色版呢?
http://bbs.wuyou.net/forum.php?m ... &extra=page%3D3
http://bbs.wuyou.net/forum.php?m ... &extra=page%3D1

ok-gao

哦。这样的啊。谢谢指点！
现在这个系统已做好ghost了，已有的系统反复安装不同版本卡巴，我怕装卸会发生异常。只有一个服务了，也不怎么拖打开速度了，也不是太要紧的。呵呵。

xiaopingma1

原作,好用

emca

在大量使用实践中感觉到，活动文件项目中最好分类显示为好。

longwang

原帖由 emca 于 2006-10-20 07:28 PM 发表
在大量使用实践中感觉到，活动文件项目中最好分类显示为好。

最好借鉴autorun，清晰明了。

xdg3669

syscheckr的服务管理，如果是中毒很深的电脑，它的非微软的项目会非常多，一般都会有几十项，这时仅从文件名就很难判断哪是可留的，哪个是必杀的！

mmzz2688

用了，和sreng比较，性能还可以的。

ok-gao

syscheck疑难修复中，“删除可疑文件”一项，还是没有“确认”操作一项。同类三个中前两个有的，同时还有简明提示。应该是小小的疏忽。不然刚用此工具的，会不知道到底删除什么，可疑的标度是什么。有简明操作提示比较好。

另外，“防止驱动干扰修复”，个人感觉比较拗口，改为“阻止驱动级修复干扰”如何？

[ 本帖最后由 ok-gao 于 2006-10-21 10:01 PM 编辑 ]

wang6071

原帖由 xdg3669 于 2006-10-20 10:01 PM 发表
syscheckr的服务管理，如果是中毒很深的电脑，它的非微软的项目会非常多，一般都会有几十项，这时仅从文件名就很难判断哪是可留的，哪个是必杀的！

这个要做到自动恐怕是没办法,除了创建时间,文件厂商及所在目录及文件名等辅助判断外,经验要占很大的因素.最近也处理了好几台感染不同病毒木马的机器,包括威金等流行病毒,也只用到了syscheck就手动清除干净了。
有一台装瑞星的本本，进入系统后连鼠标都动不了的，根本无法运行任何程序，在进入安全模式后用syscheck手动清理后也是一次性就成功了。所以偶认修复成功与否经验还是占很大的因素。希望大家多积累一点经验，有空时常上一安全论坛，了解一下流行病毒的特征，基本做到仅凭文件位置，文件名，文件属性，创建时间也能判断得八九不离十。
另外，机器正常时一定要用EruNT备份一个注册表，以便实在没法时在PE是恢复。必竟不是每次出问题都用Ghost来暴力解决，保存系统盘的设置与用户数据还是很关键的，请大家一定要养成尽量不破坏用户数据的习惯。

原帖由 ok-gao 于 2006-10-21 09:10 PM 发表
syscheck疑难修复中，“删除可疑文件”一项，还是没有“确认”操作一项。同类三个中前两个有的，同时还有简明提示。应该是小小的疏忽。不然刚用此工具的，会不知道到底删除什么，可疑的标度是什么。有简明操作提示 ...

没有确认提示倒不是什么疏忽，鼠标放上去已经有一个简要提示了，且该按钮的删除及恢复就是正常的机器使用也没有问题，就如删除系统临时文件一样，小做一个垃圾清理，所以感觉没必要做过多的提示。

"防止驱动干扰修复“，个人感觉比较拗口，改为“阻止驱动级修复干扰”如何？

后者字符过长，"防止驱动干扰修复“好象也没什么拗口的呀，可能是地域口音习惯关系，欢迎语文较好的兄弟给sycheck的这个功能提个更简洁更适合的用语。

-----------------------------------------------------------------
最近在搞防范网页木马的监控，稳定性及资源占用性还在测试中，个人感觉功能上已能达到第一时间防范网页木马的执行，不改动用户任何设置，不会造成浏览器死锁，再自测一段时间加入到安全盾的防护中。

[ 本帖最后由 wang6071 于 2006-10-22 12:37 AM 编辑 ]

yht

"最近在搞防范网页木马的监控，稳定性及资源占用性还在测试中，个人感觉功能上已能达到第一时间防范网页木马的执行，不改动用户任何设置，不会造成浏览器死锁，再自测一段时间加入到安全盾的防护中。"

[ 本帖最后由 wang6071 于 2006-10-22 12:37 AM 编辑 ]

这个不错!实用性强!期待中..........

wang6071

可以单独使用的WebPageMon,经本人测试已能免阻止网页脚本木马的执行，已测试过好几个内含恶意脚本的网页，均成功地阻止了木马进程的执行。

请大家再做更多地测试。

这里有一个有毒网页可以测试本软件:http://www.08cq.com
结果会是：13:14:31 E:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe进程被阻止
为避免意外(指未检测到浏览器的情况下做测试)，请同时开着安全盾测试上面的有毒网页．

[ 本帖最后由 wang6071 于 2006-10-22 01:14 PM 编辑 ]

yht

报告:
试用WebPageMon,启动后任务栏显示其图标,但鼠标一接触该图标,图标即消失.程序主界面不出现!同时任务管理器中可观察到WebPageMon程序已退出!另外,观察到WebPageMonei物理内存占用率仅400k左右............
特告!

[ 本帖最后由 yht 于 2006-10-22 02:14 PM 编辑 ]

ncne

楼上问题属实！

xdg3669

我的可没有这样问题！但无法检测到opera!

wang6071

原帖由 yht 于 2006-10-22 02:09 PM 发表
报告:
试用WebPageMon,启动后任务栏显示其图标,但鼠标一接触该图标,图标即消失.程序主界面不出现!同时任务管理器中可观察到WebPageMon程序已退出!另外,观察到WebPageMonei物理内存占用率仅400k左右............
...

webpagemon.exe与webpagemon.dll两个文件必须放在一起,webpagemon.dll是一个全局钩子,是否你的系统有某个杀软监护不允许全局钩子注入?

原帖由 xdg3669 于 2006-10-22 02:30 PM 发表
我的可没有这样问题！但无法检测到opera!

opera本身就不使用IE内核,所以根本对脚本执行无反应,所以也没必要使用这个程序,你用mathon或直接使用ie试一试.

[ 本帖最后由 wang6071 于 2006-10-22 02:42 PM 编辑 ]

zgrrr

yht的报告正确。我的杀软未开启实时监控，webpagemon中的两个文件都在一起，但仍出现YHT所述的情况。

wang6071

去除托盘图标,去除了自动启动,有问题的试试这个手动启动版看能否运行

[ 本帖最后由 wang6071 于 2006-10-22 04:30 PM 编辑 ]

250662772

,,,手动的正常了

[ 本帖最后由 250662772 于 2006-10-22 04:46 PM 编辑 ]

zgrrr

手动启动版可以运行。启动监视生效，但不能关闭窗口，否则程序退出。

16:50:40 C:\DOCUME~1\RJJ\LOCALS~1\Temp\svchost.exe进程被阻断

[ 本帖最后由 zgrrr 于 2006-10-22 04:53 PM 编辑 ]

wang6071

原帖由 zgrrr 于 2006-10-22 04:48 PM 发表
手动启动版可以运行。启动监视生效，但不能关闭窗口，否则程序退出。

16:50:40 C:\DOCUME~1\RJJ\LOCALS~1\Temp\svchost.exe进程被阻断

退出了还监视什么?处理全在exe中做的,不清楚上个版本为何最小化到托盘会失败?

zgrrr

原帖由 wang6071 于 2006-10-22 05:07 PM 发表


退出了还监视什么?处理全在exe中做的,不清楚上个版本为何最小化到托盘会失败?

========================================
相信会改好。

250662772

提个小建议，可以增加个查看功能，删除功能吗？因为这个软件知识阻止运行并没有删除，增加个查看可以方便进入临时文件夹查看被阻止的svchost.exe

wang6071

这个版本的webpagemon应该不存在启不动的问题了.

-------------------------
关于能加查看功能，删除功能吗？因为原拟打算是安全盾辅助用的,而删除工作安全盾已做了,所以未加更多的功能.同时不加删除也是为了方便有搜集木马样本研究爱好的部份网友保存样本.

因为木马程序的启动已经被阻止,并未运行,所以按日志所示路径找到该文件可以清松地手动删除.

这个版本主要是给大家测试一下,看看网页木马防范的效果如何,如果有阻止失败的情况,请给出那个网页的链接以便改进监测.

[ 本帖最后由 wang6071 于 2006-10-22 08:15 PM 编辑 ]

yht

webpagemon2已启动正常!!辛苦啦!wang ser!
继续测试中.................
发现webpagemon2资源占用很低呵!......

[ 本帖最后由 yht 于 2006-10-22 08:18 PM 编辑 ]