[sysshield]系统安全盾

xdg3669

原帖由 紫狐 于 2006-11-8 08:47 PM 发表
syscheck1.0.0.50有一个BUG，默认进程管理是以模块简洁显示，但是实际没有。

我的是简洁显示呀！

sck

王兄：
我用了安全盾，非常不错。不过我看了里面的文本说明，里面夹杂有英文标点，我现修改整理并上传，建议下一版修正。

紫狐

原帖由 xdg3669 于 2006-11-9 07:03 AM 发表


我的是简洁显示呀！

呵呵，没看仔细，原来是速度太慢的问题，点击进程后要所有模块都进行校验，校验完成后才过滤掉非微软的模块。

看来进程方面确实有需要加一个选择开启或不开启签名验证，还有，如果选择了简洁模块显示和开启签名验证的情况下，未通过验证的也要显示出来，目前默认是没有显示的；但是服务方面还是默认开启的好。

wang6071

原帖由 xdg3669 于 2006-11-8 07:44 PM 发表
WANG兄：

目录黑名单能否改成全路径？也就是设了\3721\为目录黑名单后，在所有分区禁止建立。这样的通配或许更好点。这样不管是在系统目录中创建还是在程序目录中创建都会被禁止！不必再用：\program files\37 ...

将规则改为\3721\即可!

原帖由 小木头 于 2006-11-8 08:25 PM 发表
WANG兄：

发现1.45版的拦截记录d:\program files\3721目录创建被阻止 2006-11-08 20:13:17．可是program files\3721目录文件仍能创建成功并正常存在．不知监控黑名单目录如何设置？

已经显示被阻止了仍然创建了目录,等偶有时间再测试一下.
黑名单目录设置是 \目录路径\ 样式.

原帖由 freesoft00 于 2006-11-8 08:37 PM 发表
Winpooch 0.6. 2发布了 ,不过还是测试版

另外问个题外话，王兄不是用Delphi编程吗，我想问一下，用Delphi做好的exe程序如何修改。
我有一个朋友做的exe电子书，使用Delphi编写的，我想更新一下，同时修正他的 ...

用资源工具修改,比如Exescope等工具.

其它关于syscheck(1.0.0.50)的问题,出错提示是因为程序未刷新完关闭程序.
其它是也是本次功能未刷新完成的.1.0.50是一个不成熟的版本,稳定版可以使用1.0.0.49,新版等调整好速度及稳定性后再发布.

关于某些系统上没有一个程序认证成功,可能使用的是精简版造成的.偶自做的精简版win2003也是这样的情况,使用未精简过的win2003却正常(但偶精简的winxp sp2却能成功认证.估计是某些精简系统精简掉了Ms认证数据库所致.)

flyingsand

杀安全盾的方法：
调出任务管理器，把安全盾切换到前台，这时在任务管理器应用程序列表里能看到安全盾在运行，重复点选它按结束任务直到杀死安全盾为止，一般两三次就行了。望修正。
我是装了红叶盘里能显示进程路径的任务管理器，不知有没影响，安全盾1.45。

xdg3669

专门测试了，点了十多次也杀不死！

sck

原帖由 flyingsand 于 2006-11-9 07:09 PM 发表
杀安全盾的方法：
调出任务管理器，把安全盾切换到前台，这时在任务管理器应用程序列表里能看到安全盾在运行，重复点选它按结束任务直到杀死安全盾为止，一般两三次就行了。望修正。
我是装了红叶盘里能显示进程 ...

我也按这方法试了，确实是的，我点一次就关闭了。

flyingsand

安全盾使用说明中还有一些误笔，英文标点sck兄已指出了，我就不说了。

zzzzzzzzzzz

－－－
sysshield.exe "exit"
验证码和密码有什么意义？
－－－
貌似开启保护后所有驱动都不能加载（未经多次测试，也许是我正在测试的别的程序的原因），但也没有拦截记录。
－－－
实用的功能不够多（请参照“超级巡警”http://dswlab.com/）。
－－－
我的电脑（Windows XP + SP2 + System Safety Monitor + Kaspersky Anti-Virus 6.0）上有一大半的进程变成了隐藏进程，IS，RKU，DS都没有发现任何隐藏进程，Windows 任务管理器可以看到到所有隐藏进程（先进吧？）
－－－
貌似恢复SSDT就没什么用了（由于卡巴斯基的优良传统，我没敢恢复）
－－－
没有发现传说中的文件签名验证
－－－
现在才发现这个东西和SysCheck是两码事，我再下载个SysCheck。
－－－
也许未完待续……

wang6071

原帖由 zzzzzzzzzzz 于 2006-11-10 11:58 AM 发表
－－－
sysshield.exe "exit"
验证码和密码有什么意义？
－－－
貌似开启保护后所有驱动都不能加载（未经多次测试，也许是我正在测试的别的程序的原因），但也没有拦截记录。
－－－
实用的功能不 ...

sysshield.exe "exit"验证码和密码有什么意义？
------------------------------------------
我要是不提供此参数,你拿什么用?

貌似开启保护后所有驱动都不能加载（未经多次测试，也许是我正在测试的别的程序的原因），但也没有拦截记录。
------------------------------------------
就是要这个效果!

实用的功能不够多（请参照“超级巡警”http://dswlab.com/）。
--------------------------------------------
不用你介绍了,超级巡警的功能已见识过啦.

我的电脑（Windows XP + SP2 + System Safety Monitor + Kaspersky Anti-Virus 6.0）上有一大半的进程变成了隐藏进程，IS，RKU，DS都没有发现任何隐藏进程，Windows 任务管理器可以看到到所有隐藏进程（先进吧？）
------------------------------------
安全盾的进程管理是针对菜鸟的,有空读读帮助来贴.

貌似恢复SSDT就没什么用了（由于卡巴斯基的优良传统，我没敢恢复）
-------------------------------------
恢复呀,恢复后再拿几个木马来测试看你的卡巴斯基能挡住还是安全盾能挡住.都这么有经验了还怕几个木马，中了手清没问题吧?

没有发现传说中的文件签名验证,现在才发现这个东西和SysCheck是两码事，我再下载个SysCheck
--------------------------------------
看来你还是急躁了，连所用的东西的功能都未摸清就下评语，syscheck最好也不要用了，肯定比不上你用的软件的的．:)

-

zzzzzzzzzzz

原帖由 wang6071 于 2006-11-10 12:40 PM 发表

sysshield.exe "exit"验证码和密码有什么意义？
------------------------------------------
我要是不提供此参数,你拿什么用?

貌似开启保护后所有驱动都不能加载（未经多次测试，也许是我正在测试的别的程序的原因），但也没有拦截记录。
------------------------------------------
就是要这个效果!

实用的功能不够多（请参照“超级巡警”http://dswlab.com/）。
--------------------------------------------
不用你介绍了,超级巡警的功能已见识过啦.

我的电脑（Windows XP + SP2 + System Safety Monitor + Kaspersky Anti-Virus 6.0）上有一大半的进程变成了隐藏进程，IS，RKU，DS都没有发现任何隐藏进程，Windows 任务管理器可以看到到所有隐藏进程（先进吧？）
------------------------------------
安全盾的进程管理是针对菜鸟的,有空读读帮助来贴.

貌似恢复SSDT就没什么用了（由于卡巴斯基的优良传统，我没敢恢复）
-------------------------------------
恢复呀,恢复后再拿几个木马来测试看你的卡巴斯基能挡住还是安全盾能挡住.都这么有经验了还怕几个木马，中了手清没问题吧?

没有发现传说中的文件签名验证,现在才发现这个东西和SysCheck是两码事，我再下载个SysCheck
--------------------------------------
看来你还是急躁了，连所用的东西的功能都未摸清就下评语，syscheck最好也不要用了，肯定比不上你用的软件的的．

-

作者好像有点生气了，抱歉，没有贬低的意思。:)
"exit"参数在安装和卸载时才会用到，所以你可以询问密码呀~
驱动加载时可以要求确认
钩子可以再挂深点（像卡巴斯基那样，极度变态的Inline Hook）
SysCheck非常优秀。（看到了文件签名验证，不过有个开关并默认关闭就好了）。
真的不明白你的文件浏览部分调用了什么API，没有加载驱动和DLL，Administrator权限用户可以在NTFS权限全部拒绝的目录进出自如，还可以删除到回收站，从回收站还原后权限还是拒绝（这说明没有在删除前更改权限设置）。:L

wang6071

syscheck(1.0.0.51)
终于大幅提高了签名检测的速度与稳定性。检测是在后台工作的，只检测了进程、模块及服务，对syscheck启动后再加载的进程不检测其新增模块，但共用模块仍然提供检测结果。
进程及服务在签名检测完毕会自动刷新，模块检测则是已检测多少显示多少，所以如果发现结果是空白，可先做其它工作，稍后再回来观察。
本版可以检测出灰鸽子1.23在xp下的隐藏服务端,签名中会显示为"隐藏进程"。由于该灰鸽子服务端在win2003下隐藏无效，所以没有这个标记，结果一般的进程显示。

-----------------------
关于签名验证的一点说明:
由于测试所用是winxp sp2(虚拟机)精简版,
用的网上那个安装系统仅200M的Applt MAC界面清简版本。

可以看到Explorer.exe及winlogo.exe等Ms进程未通过检测,经比对文件属性,其中Explorer.exe的版本是6.0.2900.2180,而smss.exe的版本是5.1.2600.2180,所以可能是升级造成的。但winlogo.exe版本相同，签名检测仍然是通不过，所以对签名检测大家不可尽信。作用也限于关注一下未通过签名的文件是否正常。

微软认证的签名数据库是在C:\WINDOWS\system32\CatRoot\下的，所以如果精简掉了，可能签名检测就全部检测不到了。

songq

建议将模块简洁显示和非微软两处根据厂商过滤的地方，换成过滤通过微软认证。
进程，模块，服务三部分大多数还是认证了的。

zzzzzzzzzzz

51版有BUG，貌似是文件签名部分的问题，启动后大约5秒显示出主界面，大约2秒后出错退出。

安全盾之反黑辅助 遇到问题需要关闭。我们对此引起的不便表示抱歉。

有时程序会先报告“非法指针操作”（Invaild pointer operation）

ah1283328

原帖由 zzzzzzzzzzz 于 2006-11-10 02:16 PM 发表
51版有BUG，貌似是文件签名部分的问题，启动后大约5秒显示出主界面，大约2秒后出错退出。



有时程序会先报告“非法指针操作”（Invaild pointer operation）

偶也遇到这个问题，后将卡巴卸掉，再做次清理，还是不能正常用，弹出错误提示后自动退出。不知何故。

[ 本帖最后由 ah1283328 于 2006-11-10 03:13 PM 编辑 ]

6618

原帖由 zzzzzzzzzzz 于 2006-11-10 11:58 AM 发表
－－－
sysshield.exe "exit"
验证码和密码有什么意义？
－－－
貌似开启保护后所有驱动都不能加载（未经多次测试，也许是我正在测试的别的程序的原因），但也没有拦截记录。
－－－
实用的功能不够多（请参照“超级巡警”http://dswlab.com/）。
－－－
我的电脑（Windows XP + SP2 + System Safety Monitor + Kaspersky Anti-Virus 6.0）上有一大半的进程变成了隐藏进程，IS，RKU，DS都没有发现任何隐藏进程，Windows 任务管理器可以看到到所有隐藏进程（先进吧？）
－－－
貌似恢复SSDT就没什么用了（由于卡巴斯基的优良传统，我没敢恢复）
－－－
没有发现传说中的文件签名验证
－－－
现在才发现这个东西和SysCheck是两码事，我再下载个SysCheck。
－－－
也许未完待续……

这里要特别说明一下，没作具体的测试，不要妄下结论，尊重别人，同时也是尊重自己！

zzzzzzzzzzz

原帖由 6618 于 2006-11-10 05:51 PM 发表


这里要特别说明一下，没作具体的测试，不要妄下结论，尊重别人，同时也是尊重自己！

昏倒……
我没做具体测试能写这些出来的话，我大概早就是著名科幻小说作家了。
我没有在“下结论”，而是“提出意见和建议”。
我也写过安全软件（当然，比这个差多了），知道进行这些内核操作很困难，稍不小心就BSOD，所有东西都要自己摸索。
我没有不尊重作者，也很尊重自己。

xdg3669

原帖由 zzzzzzzzzzz 于 2006-11-10 06:36 PM 发表

昏倒……
我没做具体测试能写这些出来的话，我大概早就是著名科幻小说作家了。
我没有在“下结论”，而是“提出意见和建议”。
我也写过安全软件（当然，比这个差多了），知道进行这些内核操作很困难，稍不小 ...

你所提出的问题或者情况有哪一条是真正测试后存在的情况？在网上有多少网友用了都没有你那么能发现问题？

真正用后再发表点建议！或者真正了解它的用法之后再说。


貌似。。。。。。貌似。。。。。。貌似。。。。。。貌似。。。。。。LC！

[ 本帖最后由 xdg3669 于 2006-11-10 06:50 PM 编辑 ]

sck

王兄：为什么有些进程没显示路径的？

6618

原帖由 zzzzzzzzzzz 于 2006-11-10 06:36 PM 发表
昏倒……
我没做具体测试能写这些出来的话，我大概早就是著名科幻小说作家了。
我没有在“下结论”，而是“提出意见和建议”。
我也写过安全软件（当然，比这个差多了），知道进行这些内核操作很困难，稍不小心就BSOD，所有东西都要自己摸索。
我没有不尊重作者，也很尊重自己。

原帖由 zzzzzzzzzzz 于 2006-11-10 11:58 AM 发表
－－－
sysshield.exe "exit"
实用的功能不够多（请参照“超级巡警”http://dswlab.com/）。
你用安全盾用了多久，竟这样说，这样说负不负责任？

我的电脑（Windows XP + SP2 + System Safety Monitor + Kaspersky Anti-Virus 6.0）上有一大半的进程变成了隐藏进程，IS，RKU，DS都没有发现任何隐藏进程，Windows 任务管理器可以看到到所有隐藏进程（先进吧？）
我什么杀软件都不装，平时时不时用SysCheck查查有没有可疑进程，不知有没有你先进？

貌似恢复SSDT就没什么用了（由于卡巴斯基的优良传统，我没敢恢复）
你没有恢复，怎知没有用？
－－－
没有发现传说中的文件签名验证
我倒，你用的是什么？是sysshield.exe，还是SysCheck？
－－－
现在才发现这个东西和SysCheck是两码事，我再下载个SysCheck。
这个我更倒！
－－－
也许未完待续……  
你还要待续？

你上面的言论，就算是“提出意见和建议”，你认为你是做了具体测试提出的“意见和建议”，这是负责任的意见和建议吗？
说老实话，我咋一看你在这里发的第一个帖子，我还以为你是来这里捣乱的——现在来论坛捣乱的AD分子不少，正想把你的ID封了，后来看你后面的帖子，觉得不像，你既然说“没有不尊重作者，也很尊重自己”那就好。这是技术帖，我也不想和你争执下去，我还是那句话，尊重别人也就是尊重自己！

[ 本帖最后由 6618 于 2006-11-10 07:41 PM 编辑 ]

zzzzzzzzzzz

原帖由 xdg3669 于 2006-11-10 06:46 PM 发表



你所提出的问题或者情况有哪一条是真正测试后存在的情况？在网上有多少网友用了都没有你那么能发现问题？

真正用后再发表点建议！或者真正了解它的用法之后再说。


貌似。。。。。。貌似。。。。。。 ...

“貌似”是我的一贯用词，是为了表示对大家的尊重，尽可能地委婉和说明自己的技术有待进步。

sysshield.exe "exit"

这个我测试了三次，正常模式一次，密码保护模式两次。
－－－
貌似开启保护后所有驱动都不能加载（未经多次测试，也许是我正在测试的别的程序的原因），但也没有拦截记录。

测试了四次，包括IS两次，DS，RKU。
－－－
我的电脑（Windows XP + SP2 + System Safety Monitor + Kaspersky Anti-Virus 6.0）上有一大半的进程变成了隐藏进程，IS，RKU，DS都没有发现任何隐藏进程，Windows 任务管理器可以看到到所有隐藏进程（先进吧？）

三次，重启了sysshield.exe两次，重新安装了一次。
－－－
貌似恢复SSDT就没什么用了（由于卡巴斯基的优良传统，我没敢恢复）
一次，仅恢复了ZwOpenProcess。这个的确是猜测。
－－－


To wang6071：
SysCheck的服务检测有时会出错（特别是反复点那几个单选框的时候），但不会退出，仍可正常使用。
如果能检测Inline Hook就更好了
SysCheck是我见过的最好的Ring3下的反RK工具。

zzzzzzzzzzz

原帖由 6618 于 2006-11-10 07:28 PM 发表



你上面的言论，就算是“提出意见和建议”，你认为你是做了具体测试提出的“意见和建议”，这是负责任的意见和建议吗？
说老实话，我咋一看你在这里发的第一个帖子，我还以为你是来这里捣乱的——现在来论坛 ...

非常感谢您没有封ID（确实，我的ID像是个Spammer，随便注册了一个）

我没有在推荐“超级巡警”，而是说“参照”。超级巡警也有一大堆不足之处和BUG，有些还很严重。

第二条的意思是说那是个BUG，我调侃了一下。把一些进程误判为隐藏了。

我把SysShield当成SysCheck了，因为我是从Google搜索安全软件，然后找到SysCheck，再继续搜索SysCheck才找到这里的，我以为是一回事，抱歉。

我确实是第一次使用，如果觉得我说的是AD或者纯粹胡扯，就当我什么都没说吧。我会继续关注SysCheck。非常优秀的Ring3下的反RK程序。

6618

新版在我的机子上出错（什么杀软也没装），前一版却不会。如下图：

wang6071

不必争啦,  zzzzzzzzzzz有些提义也有些道理, sysshield的退出参数是可以先弹出密码再让用户确定一下.杀sysshield仅仅提高了一点难度,用syscheck一样可以结束的.真要做到完全保护,Hook的东西还多,我总是不喜欢太复杂的东西.只要不能随便结束就行了.

而所谓的"有一大半的进程变成了隐藏进程"我想zzzzzzzzzzz的意思是红色显示的就是隐藏进藏,说明中有说红色显示的是外部进程(非Ms进程),所以我上贴回他看看帮助再回贴.

"开启保护后所有驱动都不能加载"是sysshield的特点,适合菜鸟用户(大部份人根本不知道加载的新驱动是作什么用的容易被入侵),但sysshield不会影响你已加载的驱动的使用.想加载驱动切换到信任程序安装模式.

SysCheck的服务检测有时会出错（特别是反复点那几个单选框的时候），但不会退出，仍可正常使用
可能是因为子程序未执行完提前释放造成的.

------------------------------------
关于sck问某些进程不能显示路径,是因为这样进程有一定保护的原因,图中所示不能显示的卡巴与安全盾的进程．syscheck的列进程没做到内核去，所以显示不了这类进程的路径．

-------------------------------------
关于syscheck 1.0.0.51在某些机器上出错的问题，可能是线程共享有时会发生冲突所致，致（边检测边刷新可能更容易导致冲突），所以下一版可能会单独将签名检测做成非默认的，检测完再显示，这样就不会发生上述的冲突了．

另外，有兄弟提示以签名检测做为屏蔽显示结果，我想这样不太好，原因我前面说了，在某些精简版系统上根本检不出签名，如此屏蔽则完全达不到效果．

freesoft00

我新试了syscheck 51 ,倒没显示什么错误,但是进程路径中有一些是乱码.
还有几个进程一会儿是乱码,一会什么也没有.老是在变.(好象是它自己刷新的时候就变一回)

服务管理比上一个版本显示快多了.

xdg3669

原帖由 小木头 于 2006-11-10 08:47 PM 发表
请WANG兄检查一下安全盾１.４５的目录黑名单功能.我怎么还是设置不好！目录黑名单中有\3721\目录．可怎么在Ｄ盘（非系统盘）中新建一个包含3721.exe的3721文件夹．安全盾并不删除．拦截记录中也没有删除记录．

看说明！是在安装中建立的就禁止！

zzzzzzzzzzz

不必争啦,  zzzzzzzzzzz有些提义也有些道理, sysshield的退出参数是可以先弹出密码再让用户确定一下.杀sysshield仅仅提高了一点难度,用syscheck一样可以结束的.真要做到完全保护,Hook的东西还多,我总是不喜欢太复杂的东西.只要不能随便结束就行了.

感谢您的理解。

而所谓的"有一大半的进程变成了隐藏进程"我想zzzzzzzzzzz的意思是红色显示的就是隐藏进藏,说明中有说红色显示的是外部进程(非Ms进程),所以我上贴回他看看帮助再回贴.

这个……抱歉，的确是这样。因为红色显示是某种“国际惯例”;P
结束进程方面，可以换一种方法，PspTerminateProcess。比较麻烦的地方是这个函数没有导出，所以只有暴力搜索或者硬编码了。
我不是很懂技术，随便说说罢了，希望不要介意。

xubinfly

爱死wang6071 ,呵呵!一直喜欢潜水(没什么本事,也冒出什么泡,所以就呆着看看高手侠影了)。实在喜欢syscheck，实在喜欢wang兄待人的谦和，所以冒个小泡，表示对wang兄赞赏！

xubo1971

在开启安全顿1.42的基础上浏览网页，中了pviever.exe(自动安装的），结果PC开始不听使唤，杀软实时监视被关（图标暂时退出一下，而后能显示），按需扫描不能启动（被加了exit参数），用安全顿和Syscheck看不到可疑进程（pviever.exe启动加有hide参数），SSD检测什么也没有，强化检测失败。不过有安全顿保护，pviever.exe无法加入启动项，重启后很快找到可疑的pviever.exe删除了事，暂时只发现了这个。我现在升级到安全顿1.45看看网页监视功能如何。

小木头

原帖由 xdg3669 于 2006-11-10 09:27 PM 发表

看说明！是在安装中建立的就禁止！

明白了！谢谢提醒！