[sysshield]系统安全盾

ctsren · 发表于 2005-10-23 23:14:09

再项！

libin27 · 发表于 2005-10-24 16:42:32

伟大!大家的需要就是论坛的灵魂!!谢谢为此努力的每一位"先知"!!!!!!!

wang6071 · 发表于 2005-10-24 18:35:39

[这个贴子最后由wang6071在 2005/10/26 07:14pm 第 3 次编辑]

感谢大家长久以来对偶的支持,送一个偶做的小软给大家
[UploadFile=1_1130149862.jpg]
说明:
  只支持常见的JPG,BMP文件,支持直接拖放,不点[保存]的也可运行,不过下次得重新加入图像文件
  请将显示属性中的[桌面]选单下的[位置]置为居中,这样不同大小的图按比例自动缩放而全图显示
  点击列表中的某项可直接更换,选中某项后按[DEL]可在列表中删除(不自动保存)
[UploadFile=C7BDD6BDD7D4D3C9_1130325279.rar][UploadFile=C7BDD6BDD7D4D3C9_1130325290.rar]

xubo1971 · 发表于 2005-10-24 21:47:00

呵，又有了新东西，先下一个试试。

xyzc · 发表于 2005-10-25 20:47:25

支持

zhangcz · 发表于 2005-10-27 08:42:19

厉害啊

xdg3669 · 发表于 2005-10-27 09:38:28

支持！支持！支持！再支持！学习！学习！学习！再学习！

sranran0707 · 发表于 2005-10-27 16:34:52

我怎莫看不懂

紫狐 · 发表于 2005-10-27 17:04:13

下面引用由wang6071在 2005/10/24 06:35pm 发表的内容：
感谢大家长久以来对偶的支持,送一个偶做的小软给大家
说明:
只支持常见的JPG,BMP文件,支持直接拖放,不点的也可运行,不过下次得重新加入图像文件
请将显示属性中的选单下的置为居中,这样不同大小的图按比例自 ...

微软不是有出一个这样的东东了吗？

ctsren · 发表于 2005-10-29 18:36:22

系统安全盾，我等...，我顶！

ctsren · 发表于 2005-11-1 21:01:39

不知Wangsea 兄程序改版如何了？

guangyi · 发表于 2005-11-2 09:57:54

系统安全盾，我等...，我顶！!!!!!

xubo1971 · 发表于 2005-11-3 11:37:32

感觉还是原来的在“随系统启动”项目前打勾的方式更好用，一是在“启动项目”里可见，显得更直观。二是想取消随系统启动更方便，不用转到开始菜单－启动组再删除。

wang6071 · 发表于 2005-11-3 20:17:48

很久没有更新sysshield了,因为实在没有发现有什么好的改进方法.
sysheild还是有很多不足的,比如进程监视使用的是Toolhlp32调用,所以无法显示隐藏的进程(如rootkit).
对注入explorer的dll的线程卸载也没有好的方案．偶测试过如DLL三级跳的方式来卸载线程,虽然线程可以被轻松卸载,但Explorer也同时被关掉了．与直接杀Explore没有多大区别．
至于用前面提到的SnakeMon.sys的注册表监视方法，考虑到SnakeMon.sys是驱动编码，而偶又不会，出了问题无法查到是何原因,所以不打算改进为SnakeMon.sys的监视了．
最近常到几个较底层级研究后门，木马的网站上看贴子，越看越觉得自已懂得太少了．还有不少的知识需要学习．所以也没做sysshield的更新(http://free.ys168.com/index.aspx?wangsea上最后的更新是10月28日，更新的是程序名，文件监控页设置单项多选时丢失的BUG，进程监视页将允许杀除的svchost开放了．而针对如rootkit类的隐藏木马暂时未找到好的方案．找到的方案要不是太底层，要不就是针对一定的版本，或是不具备查找其它类型的隐藏木马)
所以，对中招后使用sysshield的移除功能偶可能需要一段较长的时间学习后再改进．

gxwwjlb · 发表于 2005-11-4 22:39:03

您辛苦了！

emca · 发表于 2005-11-6 18:32:57

我认为 wang6071 兄弟可以分析一下病毒木马的做法，然后从其他角度想办法解决问题。通过这一段时间的工作实践（手工清除各种病毒木马和流氓软件），深感事后查杀是极其被动的！我不主张事后杀除，最好能够用一定的策略，让病毒无法植入系统。本人编程菜的很，但也做了一些其他相关的努力，希望兄弟能够不嫌弃本人的愚劣，能够有机会具体交流。我的QQ：26297628

ctsren · 发表于 2005-11-10 22:38:35

到第三页了，项起来！

6282919 · 发表于 2005-11-14 14:15:16

很好用.希望功能更强一些!

lxhong1979 · 发表于 2005-11-14 15:04:47

好啊!这个东西我已经想找好久了,谢了

ctsren · 发表于 2005-11-18 21:53:21

很久没有进展了

wang6071 · 发表于 2005-11-19 10:36:23

to 各位兄弟:
查找资料,学习技术近一段时间了,确实没有进展.感觉win底层的东西太复杂了,ddk的驱动开发在每一个win系统都不一样(win2000有win2000的ddk,winxp有xp的ddk),都存在一定的兼容性问题,所以偶也没有信心去学ddk开发了.觉得如此搞下去,还不如直接用大牛们开发出来的驱动更省时一点．或者直接调用现在的检测工具做检测木马这项工作．
也没什么东西送给大家的，这段时间写了一个CMD工具，搜集了一些检测木马的命令行工具,都放在偶的空间了，需要的兄弟去下载(http://wangsea.ys168.com)

下面是偶写的mydos的介绍：
mydos.exe的作用:
mydos.exe的执行方式与cmd.exe的执行方式一样,是一个win32的Dos控制台.其作用有两个方面:
1:当某些后门或木马禁用了您的cmd.exe后可以用它来代替cmd.exe
2:将mydos.exe放在您搜集的dos增强工具中,打开mydos就直接在这个目录中,而用cmd.exe您还需要切换一下路径.
3:虽然cmd.exe有标记后复制的功能,但用起来总觉得不放便,用mydos.exe则复制输出很方便(用mouse拖一下选中要复制的地方,然后右键选复制)
mydos.exe的工作方式:
在输入框中输入程序名后,然后回车即可.也可用[选择程序]来选择一个程序执行.关闭mydos.exe允许使用dos命令exit
mydos.exe的注意事项:
1:支持所有dos内部(如dir,copy,echo,cls等)
2:支持所有dos外部命令(如sc,taskkill,ntsd,ping,shutdown等),注意不要使用有交互输入的dos命令(如Edit.exe,这些命令会等待用户输入,mydos的输入无法做到让这些程序退出).
3:支持所有win32 Gui应用程序(如dxdiag.exe,notepad,calc),同时也支持还扩展名的其它文件(如secpol.msc等).即使是xxx.jpg,也会用系统默认的打开程序打开[UploadFile=1_1132367778.jpg]

ivy2050 · 发表于 2005-11-19 10:52:54

一直都是这样

guangyi · 发表于 2005-11-21 13:01:43

我顶！！！

xsy · 发表于 2005-11-21 15:08:22

确实很好用啊

推士机 · 发表于 2005-11-21 19:35:05

这个杀毒工具不用病毒库，可参考下其杀毒机理：
http://www.aspxfly.com/download/VirusFix.rar

wang6071 · 发表于 2005-11-21 21:42:14

谢谢推土机兄弟.上面提供的那个软件的作用偶是这么看的(个人看法,欢迎探讨):

这个软件是通过检测.exe文件的PE头是否被改变作为文件是否被感染的判定的.其原理与检测文件捆绑的那类软件相同.
由于windowsxp及其后系统具有系统文件保护功能,所以目前感染型的病毒已经不多了.取而代之的是各类木马与蠕虫软件.而今年的木马对系统危害是最多的.(一是木马技术本身发展,二是各类流氓软件的推波助澜),所以偶认为上面的那个软件的作用范围实在有限.
所以,目前大家最需要的是一个具有良好防御与方便清理的木马的软件.下面偶细说一下:
1:良好防御
众所周知,国内的杀毒软件对流氓软件是视而不见的.而这类软件往往对系统性能的影响最大.并且,不同的流氓软件之间还经常互相打架,从而造成系统莫明其妙的不稳定.
另外,由于杀毒软件通常采用特征码的方式来判断病毒与木马,所以往往对加壳的木马病毒无能为力,不能实时地防御.
sysshield通过自定义设置,可以将%windows%置于一种近乎只读的状态,其机理与NTFS的目录权限相当.所以在这方面有一定效果,不足之处是用户在安装更新系统时需要手动打开"写权限".所以对于菜鸟来说有一定使用难度.(也许多朋友还不知道有个技巧,在sysshield中可以将您的IE监时文件夹设成"不允许创建任何文件".这种设置并不影响上网浏览,同时也有自动清除IE监时文件的功能,可以"上网无痕"哦)
2:方便清理
与Dos时代不同的是,这方面现在的杀毒软件就做得不那么好了.现今的各类木马进驻系统后,即使能被杀毒软件所检测到,但往往会清除失败.所以往往要求用户到安全模式甚至要求dos启动后清理.江民在这方面做了一些努力,如kv2006的BootScan,但作用好象也不是很明显.
同时,在检测方面,特征码技术的局限性也更多地体现了出来.在各大杀毒论坛的坛子里,Hijackthis几乎成为了标准分析木马的工具.IceSword成为最后清理木马的杀手锏.真不知道国内的杀软开发商到底是怎么想的,也不开发一个自己的工具出来,让人觉得杀软的作用实在有限.
当然,在这方面,对于已中的底层级木马,sysshield实在也提供不了什么帮助.偶也同大家一样在努力寻找着一些易用的方法.主要是因为偶的水平实在有限,有做到如IceSword那样的底层恐怕办不到,所以偶这些日子以来上网搜索学习各类方法,就是想找到一个适合自已,又能增进sysshield的方法.总之,革命尚未成功,同志仍需努力!

xubo1971 · 发表于 2005-11-22 12:48:03

支持一下！

xubo1971 · 发表于 2005-11-23 21:56:23

这里有一篇《透视特洛伊木马程序开发技术》看能不能参考一下。
http://www.cz88.net/2004/8-11/152217.htm

ctsren · 发表于 2005-11-24 22:40:36

支持 wang6071兄！

wang6071 · 发表于 2005-11-25 18:11:13

谢谢xubo1971兄弟提供信息,不过国内的技术文章就是理论太多,完整的实例太少了.:)
通过这段时间的搜索..搜索..学习,偶还是取得了一点进展,在老外的网站上找到一个不用驱动进Ring0级的程序,该程序已能检测最新版的hxdef100进程.偶学习之后包装了这个例程.大家可以用来检验一下自已所用的进程察看器.

[UploadFile=1_1132913444.jpg][UploadFile=SeeHide_1132913464.rar]

		自动登录	找回密码
密码			注册