[sysshield]系统安全盾

emca

上面那个东东试了，不管其技术是否比Syscheck要高，但其可用性极差！要知道Syscheck的各种贴心小功能是无数兄弟测试反馈和建议的结果！通常程序员只会以自己的眼光看问题，把用户都看成高手，因此仅有程序员是绝对做不出好软件的。我看那个东东早的很！

ok-gao

感谢wang6071 先生的回复！这个病毒是很难缠，日前据说杀软也没法去处理感染后的exe文件的。

我想，这个软件在大众中的传播和使用，还是应该有五六个比较经典的实战教程，这样的教程，一，能介绍指导这个软件的各项功能的运用，二，能涵盖几个基本的syscheck对不同病毒的操作思路和操作方法。这点，就象武术中的套路一样，可以通过几个基本的技击方法和定势，来大概的题解和操作这个软件。

日前我个人并不从事IT和电脑行业相关的工作，看软件，只是出于自己个人的兴趣爱好。平时电脑也很少中毒，所以虽然对这个软件设计上以简捷为好的原则抱着极大的好感，但对这个软件还只停留在一种比较抽象的印象上，这也是我希望有时能看一些实战图文教程的原因。我想，大多数人其实都非电脑专业的，大多数菜鸟可能也和我一样的想法吧。

这个帖子，高人云集，象一个高度团结的团队。其它的朋友如果遇到好的实战案例也是可以写的。一可以不让wang6071 先生太忙，二，方便大家感性化地去认识这个软件，三，如果实战教程写成后，转帖到各大论坛使用区，也会极大地推广这个软件的使用的。

如果哪位遇到好案例可以写得详细一点，成为一个好的教程的。就说这么多了，再次感谢wang6071 先生开发出来的好工具！

uime

还是不用md5验证的好

紫狐

MD5我认为没有必要。

freesoft00

上面那个东东试了，不管其技术是否比Syscheck要高，但其可用性极差！要知道Syscheck的各种贴心小功能是无数兄弟测试反馈和建议的结果！通常程序员只会以自己的眼光看问题，把用户都看成高手，因此仅有程序员是绝对做不出好软件的。我看那个东东早的很！
---------------------------------------------------
我也是syscheck的忠实用户，也很喜欢它，贴上 去 那个只是看王兄有研究和 借鉴的价值没有，使syscheck更好更强

另外，emca

Winpooch如何 建立  阻止建立任何目录的 规则

紫狐

维金病毒感染后据说趋势可以清除其感染的文件，但是否真的有效我没有测试过，但是卡巴6和NOD32杀毒的话会把感染后的文件都删除，该病毒在windir添加logo_.exe文件和rundl132.exe，还会是system32目录添加ztdll.dll文件，一些变种还在ie的目录下的PLUGINS目录添加几个文件，清除起来比较麻烦，可以用syscheck配合杀软进行清除。

250662772

md5没什么用

wang6071

维金病毒清理用KV要好一些,不会乱删除文件,但清除后病毒的文件是Rar花图标是避免不了的.
DarkSpy与Icesword比较偶更喜欢Is一些,刚出来就用过了,觉得与is功能差不多,但界面比is差多了.
上述两个工具在一定条件下都有用处,但开发者似乎更注重于学术性的研究,所以对使用人的本身有一定技术要求.

另外,驱动开发网目前的搞的<反流氓、反木马和rootkit>专题偶个人觉得无助于反流氓、反木马和rootkit事业,反而可能将流氓、木马的水平提升到一个新的档次．原因很简单，没有一个大牛愿意免费开发一个带底层应用的接口工具,搞一个应用出来．反而对反流氓工具分析得头头是道，以流氓产业的财力物力，加上免费讨论获得的经验，绝对是有利于流氓事业的提高.

这两年遇到的流氓多还是木马多，有几个木马不带流氓性质？最难清掉的是木马还是流氓?
现在互联网最大接入商中国电信也可使利用其优势弹广告了，还有谁会去保护网民的利益?

只希望流氓产业在今后越来越乱，最终造成中国互联网出现重大困境，造成党政机关通讯的困难，也许那时才会引起相关部门的重视，立法解决流氓软件．

[ 本帖最后由 wang6071 于 2006-9-24 08:38 PM 编辑 ]

小木头

现在是道高一尺.魔高一丈!流氓.木马防不胜防

zytlinux

系统安全盾对有些恶意程序不能阻止生成，昨天下了一些小影片来看，是带广告的，一看跳出许多窗口，这是预料中的事，奇怪的是虽然在规则中设好了临时文件夹（temp）中选上了黑名单(黑名单中已经加入将生成的程序文件)，可是还是生成了相应文件？

[ 本帖最后由 zytlinux 于 2006-9-24 09:50 PM 编辑 ]

wang6071

syscheck(1.0.0.39)
调整服务页的删除服务为删除文件,即在删除服务的同时删除文件。

右键菜单改作仅删除服务键值及删除服务及文件。(若有注册表有保护删除失败时会尝试将该服务改为禁用)

服务页加入一个启动类型的显示。(已知某些exe木马服务采用自动启动，启动后再插入进程然后退出，此时服务状态将是停止，所以加入此项查看)

去掉了服务页的加入信任列表的Md5检查。

进程页及活动文件页右键加入一个查看文件属性。

文件搜索页的删除增加了删除不成功则采用延时删除的方法。

---------------------
临时文件夹（temp）中选上了黑名单(黑名单中已经加入将生成的程序文件)，可是还是生成了相应文件？

打开的文件无法删除,相关进程结束后会自动删除．
是exe或dll则新版(1950楼1.35b版)可能可以解决．

[ 本帖最后由 wang6071 于 2006-9-24 11:09 PM 编辑 ]

zytlinux

重启后文件依然还在吧，在启动项中自动运行呢?

wang6071

syscheck(1.0.0.39)中服务管理右键菜单，启动服务、停止服务、禁用服务全部失效。
服务项多加一项后漏改相关代码造成的,1.0.0.39b版,已修复

原帖由 zytlinux 于 2006-9-24 10:46 PM 发表
重启后文件依然还在吧，在启动项中自动运行呢?

重启后清空临时目录,写启动项除非弹出提示你点了同意,否则没有入侵.

[ 本帖最后由 wang6071 于 2006-9-25 12:02 AM 编辑 ]

zhuhou18

我的系统有三个分区！C D E，C是系统分区！XP SP2 中文专业版
C根目录内容如下：

C:\Documents and Settings
C:\Program Files
C:\WINDOWS

我的系统已经做好了ghost镜像，很多软件都已经集成了，所以基本不安装软件，在这样的环境下我想这样设置：

1 不允许C根下创建任何文件 规则:X X X X X
2 不允许Program Files根下及子目录创建任何文件 规则:子目录 X X X X
3 不允许WINDOWS根下及子目录创建任何文件 规则:子目录 X X X X

以上这三点设置不知道有什么地方不妥吗？会不会有影响正常使用的情况呢？对于XP的补丁升级和杀毒软件的升级，我选择暂时关闭文件保护监控来解决。

另外，对于Documents and Settings这个文件夹的设置我有些茫然，对它不是很了解，所以请大家帮我设置一个规则！
还有Temporary Internet Files和Temp文件夹我是已经转移到D盘根下了，这两个文件夹规则如何设置好呢？
最后，D和E分区的根目录还需要什么规则来保护呢？

谢谢大家了！

happyday2

原帖由 zhuhou18 于 2006-9-25 04:23 AM 发表
我的系统有三个分区！C D E，C是系统分区！XP SP2 中文专业版
C根目录内容如下：

C:\Documents and Settings
C:\Program Files
C:\WINDOWS

我的系统已经做好了ghost镜像，很多软件都已经集成了，所以基本 ...

我先代wangsea兄回答一下，回答不好再请wangsea兄纠正。

你的设置有三个问题：

1、C盘根目录下有漏洞：因为安全盾并不删除新建文件夹，所以你的第一条规则并不能真正阻止建立任何文件，如果先建一文件夹，那么此文件夹下就可任意建立文件。

2、第三条规则太严？系统目录下不能创建任何文件，可能会影响某些程序运行，具体没有测试过，请有经验的给建议一下。

3、C:\Documents and Settings没有设置：这样表示免检，但许多木马都会利用此文件夹，所以还是有点漏洞。

解决建议：

1、C盘根目录这样设置：c:\         √     ×    ×    ×    ×     这样就能真正实现禁止建立任何文件，同时，由于规则有继承性，所以你的第二条和第三条可以免写。

2、C:\WINDOWS\   　你可以先不设，试用几天，如果影响使用，可以改为红叶大侠的默认设置。

3、C:\Documents and Settings    √    ×    √    ×    ×    使用黑名单，比免检强一些，有哪位高人对此有更细致的研究，请贴出来参考一下。

4、c:\recycler\   √    ×    √    ×    ×    使用黑名单。这条可以不设，但不设的话，你删除的任何文件都会彻底删除，回收站就不起作用了。（文件夹除外）

5、c:\system volume information\    √     ×     √     √     √    这个是红叶大侠的设置，不太清楚的东西，我还是相信红叶大侠的设置。

6、C:\WINDOWS\Temp\    √     ×    √    ×    ×    使用黑名单，同上。

7、其他盘可以设置黑名单，不影响使用的前提下，最大程度地起防护作用。

关于规则的设置问题，我已说了好几遍，因为我觉得安全盾的魅力就在于此，它可以使用户根据自己的使用情况，设置出最佳的防护规则。能够让人去思考，以最简单的规则实现最符合个性的防护方案，正是这个软件吸引人的地方。


　　　

[ 本帖最后由 happyday2 于 2006-9-25 11:05 AM 编辑 ]

wang6071

以下是基于将C盘设为不创建任何文件的看法:

让c盘不可写:  只勾选监视子目录.
c盘不可写后在桌面上临时建一个文本记点东西有困难,不方便使用,所以:
c:\Documents and Settings\你登陆的用户名\桌面   应设为免检或黑名单
安装程序时(免不了的)或者发送一个快捷方式到快速启动检也成问题,所以也要设成免检
c:\Documents and Settings\你的用户名\Application Data\Microsoft\Internet Explorer\Quick Launch
其中Application Data目录是加速程序启动用的,如果想要这个功能,不如将
c:\Documents and Settings\你的用户名\Application Data  设为黑名单,上条免检就不需要了.

c:\Documents and Settings\LocalService\Local Settings\Temp  不设为黑名单有时也不方便,因为许多绿色软件要向此目录下临时释放文件,此目录不单是安装时才需要.

c:\Documents and Settings\LocalService\Cookies  登陆论坛保存的密码往往在此处,如果不设为模糊过滤,每次登陆论坛可能都需要输入登陆密码.

E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files 如果不设成模糊过滤,缓存就没有了,当然不需要脱机浏览问题不大.另外,你将它设为模糊或类型过滤都没关系,不会影响你浏览和下载文件的.

c:\system volume information\  是系统还原需要的,如果不用系统还原不如直接禁用系统还原.

D和E分区的根目录还需要什么规则来保护,就用全X保护也不错,不允许根目录创建任何文件.

这是一些注意事项,供您参考,其实你可以先只建一条规则:
C盘设为不创建任何文件   子目录 x x x x x

然后使用一下,观察一下文件监控栏目中都删除了哪些目录下的文件,如果引起您使用不方便,那么就将该目录单独添加一个设置.再三运行程序,上网试验,这样很快可以配出适合您的设置.

因为安全盾删除的文件都是新增的,所以不会造成系统的破坏,也就有了上面说的自我测试后定制规则的基础.

[ 本帖最后由 wang6071 于 2006-9-25 12:57 PM 编辑 ]

happyday2

原帖由 wang6071 于 2006-9-25 12:50 PM 发表
以下是基于将C盘设为不创建任何文件的看法:

让c盘不可写:  只勾选监视子目录.
c盘不可写后在桌面上临时建一个文本记点东西有困难,不方便使用,所以:
c:\Documents and Settings\你登陆的用户名\桌面   应设为 ...

对c:\Documents and Settings\的详细设置明白了，谢谢wangsea兄。

想要设置出最佳的规则，主要就是得明白各个文件夹的用处。

另外，对windows目录的设置不知大家还有什么好主意，全部禁写会不会影响系统的运行及性能？我用默认（红叶）的设置时，安装U盘驱动会有问题，每次使用新的U盘都得禁用监视，有点麻烦。

C:\WINDOWS\TEMP\主要在什么情况使用？

C:\WINDOWS\Prefetch\这个文件夹禁写会不会影响性能？
　　

[ 本帖最后由 happyday2 于 2006-9-25 03:58 PM 编辑 ]

250662772

安全盾有个问题，我设置的监控C盘，然后我运行灰鸽子，结果安全盾把灰鸽子释放出来到C盘的EXE文件给删除了，但是你如果在运行一次灰鸽子安全盾就不再删除释放出来的exe文件了。

250662772

我把灰鸽子上传了，作者试一下吧，我分成11个卷压缩了。

zhuhou18

非常感谢 happyday2和王兄！  C盘那个确实少考虑了一点，关于Documents and Settings这个文件夹，确实需要观察一段时间，对于个别的要单独设置！我先按照两位说的设置一下，然后观察文件监控栏的信息提示，也为自己量身定做一个规则！哈哈

再次感谢热心的朋友！！！

sck

syscheck2 反黑辅助说明的有一些标点符号不一，有些是英文符号，有些是中文的。我重新整理一下。详见附件。

wang6071

to 250662772 :
    测试过了,该版本的灰鸽子之所以第一次删除而第二次未见删除,是因为我把它放在延时删除中了,重启后在c:\windows下的文件将会被删除.另外,重启后该版本的灰鸽子也将无法启动.虽然该灰鸽子在安全盾的保护下无法重启加载,但文件需要延时删除总是不爽.

   之所以不能直接删除掉c:\windows下的文件是因为它的主进程仍在活动中,不达目的势不罢修地独占守护着system32hgz.exe,所以只有延时删除解决.(手动结束进程可以删除文件),所以我想可以用结束安全盾以后的进程来结束守护进程,这样应该不用延时删除就能删除它的文件.

to   sck:
   非常感谢您的细心,偶打字写程序总是粗枝大叶地,经常给大家带来困挠,不好意思.

非常人

原帖由 zytlinux 于 2006-9-24 21:49 发表
系统安全盾对有些恶意程序不能阻止生成，昨天下了一些小影片来看，是带广告的，一看跳出许多窗口，这是预料中的事，奇怪的是虽然在规则中设好了临时文件夹（temp）中选上了黑名单(黑名单中已经加入将生成的程序文 ...

http://www.gfei.cn/bbs/viewthread.php?tid=174&extra=page%3D2
那个不是流氓病毒来这，一般只有RM系列才有的！

wang6071

安全盾20060925更新说明:
   修改了一下删除算法,去掉了延时删除,以使删除效果实时看得见。

下面是覆盖升级包,完整安装包到偶空间下载.

所附两图是楼上的样本做的测试,快速双击huigezi.exe多次后有可能弹出主窗口,然后迅速被安全盾关闭(点慢了看不到效果,可以建个批处理来执行,如果想抓图，手也一定要快才行),然后c:\windows下的system32hgz.exe就被删除.

本版对用户目录设置要求太严,暂时取消.

[ 本帖最后由 wang6071 于 2006-9-25 10:10 PM 编辑 ]

250662772

支持wang6071 ，赶紧更新了

250662772

刚下载完升级文件试了一下，刚开是任务管理器也用不了，可能是被安全盾自动关闭了，后来我把安全盾－信任安装程序，任务管理器可以运行了也没事了，文本文档有是也会被自动关闭，拼音加加好像也有问题了。QQ登陆的时候也被关闭了。好几个软件只要一运行就被关闭了，不知道别人的怎么样？音速启动一运行就被关闭了这是音速启动的网址http://www.3lsoft.com/vstart/v_index.htm

无奈只好用回上个版本了！

[ 本帖最后由 250662772 于 2006-9-25 09:07 PM 编辑 ]

emca

没有发现上述问题。

wang6071

原帖由 emca 于 2006-9-25 09:59 PM 发表
没有发现上述问题。

这个版本与目录监控设置有关.比如说设置了不允许IE临时目录创建文件,当IE生成临时文件时会关闭IE来删除文件(上一个版本是放锁定的文件到延时删除中去).这个版本对目录设置要求太严,暂时取消为好.没有上一个版本的兄弟到我空间下载.

[ 本帖最后由 wang6071 于 2006-9-25 10:11 PM 编辑 ]

emca

对了，我发现植入到系统目录中的病毒文件中，80% 都可能被压缩加壳，而正常的系统文件一般是不会加壳的，因此仿冒的微软文件也仍然会露出马脚。而是否加壳是能够判断的（而不是判断加的什么壳），根据这个是不是也有一些借鉴用处？大家把自己收集的样本检测一下，看看是不是加壳了？

wang6071

20060925安全盾1.36b更新说明:

   再次修改删除算法,缩短响应时间(原来只需缩短响应时间就成了,加快响应后它连那个ini文件也来不及生成，所以删除列表中见不到的),在多次删除无效后才采用延时删除(还是保留这个功能,使用了这个功能删除的在输出上有提示)。

   有一个缺点就是不能自动结束上面那个例子的进程，但是它是无法写入禁写目录的．所以也没有多少关系．(仅是占一点内存与cpu)，可惜它不写启动项，跳出来自动暴露就会被捉住．(这个例程好象是给自已玩的，不是黑人的，所以大家可以测试一下，生成文件及路径楼上的图示已经很清楚了，即使手动删除也不存在问题)

[ 本帖最后由 wang6071 于 2006-9-26 12:01 AM 编辑 ]