[sysshield]系统安全盾

emca

楼上所说的那个东东，根本原因在于规则不齐全，而且完全依赖规则，因而防护效果不好。如果把Sysshield的规则迁移过去，效果应当也是相当不错的。只不过它的规则设置极其麻烦，不能象Sysshield那样用一个记事本打开一个文件就可搞定。使用的人性化上与大多数国产软件一样，是以程序员为中心，可用性仍然是非常差劲——只有作者自己明白哪个按钮是干什么的——普通用户不得不一一点开查看。不喜欢。

另外，从国庆后，这个东东的论坛居然不允许新注册用户下载规则！还没有开始就采取如此封闭、如此自恋的做法，又一次证明了中国劣等程序员（不是所有程序员）的悲哀！恶心啊！

[ 本帖最后由 emca 于 2006-10-7 08:41 AM 编辑 ]

mmzz2688

EQSecure for System还可以吧。

yht

新版SysShield 1.39的重大改进:
发现自1.36b以来的cpu占用量大的问题已解决!稳定下的cpu占用量几乎为0%!同时物理内存的用量也有质的飞跃!在我的系统中仅占2M左右!而老版的SysShield在随机启动及手动启动的情况下一直是6M左右!这个现象我记得以前的版本一直如此!
由此看来SysShield 1.39的核心代码一定是做了重大改进!也说明wang在这个节假日付出的脑力呵!......

askai

真想问一下安全盾与SSM,PG,EQSecure for System,Winpooch的区别(主要是特点方面),我只知道安全盾自设规则很方便,而其他的用起来要不停按用许或阻止,太麻烦.不过用一天EQSecure for System发现内寸,CPU占用的确是少,

[ 本帖最后由 askai 于 2006-10-7 12:44 PM 编辑 ]

wang6071

syscheck(1.0.0.43)
添加防Dll注入的代码。
改进卸载Dll的算法,缩短运行卸载Dll后的刷新时间。
进程页增加显示<产品厂商>,SSdt检测允许全部显示。
页面切换时将重新完全刷新进程页的显示,可能有助于解决某些进程残像问题。
为改变以前较为混乱的布局，界面布局重新调整。
许多页面均加入了右键快捷处理功能。
所有文件删除操作均改为删除到回收站。

--------
另外,红叶上次提的那个syscheck未检测的
HKLM\SYSTEM\CurrentControlSet\Control\WOW@cmdline  //可以建一个cmdline行启动?
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows //是一个多字符串
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved //不明如何加启动
HKCU\Control Panel\Desktop //这个会修改何处?

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID
HKLM\Software\Classes\PROTOCOLS\Handler
这两项关联似乎没发现有修改的.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
这两项syscheck是要检测的,不正常时会显示出来.

哪位有正常与不正常的注册表比较文件请提供一下?不清楚原理不能乱修复,所以本次未加入.

附件在楼下下载.

[ 本帖最后由 wang6071 于 2006-10-7 05:21 PM 编辑 ]

happyday2

原帖由 wang6071 于 2006-10-7 03:27 PM 发表
syscheck(1.0.0.43)
添加防Dll注入的代码。
改进卸载Dll的算法,缩短运行卸载Dll后的刷新时间。
进程页增加显示<产品厂商>,SSdt检测允许全部显示。
页面切换时将重新完全刷新进程页的显示,可能有助于解决 ...

这又是几项重大改进，支持。

happyday2

原帖由 wang6071 于 2006-10-7 03:27 PM 发表
syscheck(1.0.0.43)
添加防Dll注入的代码。
改进卸载Dll的算法,缩短运行卸载Dll后的刷新时间。
进程页增加显示<产品厂商>,SSdt检测允许全部显示。
页面切换时将重新完全刷新进程页的显示,可能有助于解决 ...

进程页为何将紫色去了？

bdfcy

改进比较好，同楼上：没有了紫色

wang6071

原帖由 happyday2 于 2006-10-7 04:15 PM 发表

进程页为何将紫色去了？

一个调试代码行忘了取消造成的,现在改好了.

[ 本帖最后由 wang6071 于 2006-10-7 05:34 PM 编辑 ]

yht

syscheck(1.0.0.43修正版2)确实令人耳目一新!!
支持wang!!

sck

程序的功能布局比以前好得多，并且也较合理。

sck

新版SysShield 1.39中的程序版本号未把原1.38更改为1.39。

yht

原帖由 sck 于 2006-10-7 06:39 PM 发表
新版SysShield 1.39中的程序版本号未把原1.38更改为1.39。

确实如此!........

wang6071

1.39在打包安装时自动安装或卸载有一个bug,已修正．
修正的 1.391(包括版本号修正)安装包可于偶空间获取．

小木头

修正的 1.391在安装时还会有内存错误提示!但可以安装成功!

[ 本帖最后由 小木头 于 2006-10-7 07:12 PM 编辑 ]

emca

本次的修改确实分类更加明确，同时也给日后功能发展预留了更好的空间。
不过，从实际使用来看，SSDT检测功能隐藏得相对较深，因为稍复杂的环境下的检测都可能要先还原SSDT，因此熟练用户一般都是先查看SSDT然后再检测其他项目，因为这样才比较可靠。反正到了需要检测的地步，即使系统中安装有杀毒软件也仍然不能大意。
建议：
在首页进程管理下面，添加一个“防止隐藏进程”的选项，默认可以为不选中，其功能就是恢复 SSDT。之所以要写成防止隐藏，是便于一般用户使用，因为不写程序的家伙一般是不知道什么是SSDT的（其实我也不太知道，嘿嘿）。当然了，如果选中了防止隐藏进程这个选项，那么就得给出一个提示：“选中本选项，关闭本程序后强烈建议重启计算机。”这样就可以防止杀毒软件也被SSDT恢复干掉其实时监视功能了（不过，如果杀毒软件对病毒睁一只眼闭一只眼，那么就算杀掉杀毒软件又如何？反正现在的杀软基本上都是个摆设）。

6618

SYSCHECK越来越完善了！刚才我用了syscheck(1.0.0.43修正版2试了一个那个盗QQ密码的木马病毒，当启动了那个病毒再启动SYSCHECK的时候，还是会给那个病毒注入进程（那个木马不是用的DLL注入，是obj注入）只能选重启后删除，当我选重启后删除后，那个盗QQ的EXE可执行文件是给删了，但并不是放在回收站中，现在那个盗QQ的木马就不能用了，想找回来也不行了——找不回来也无所谓，下次碰到的话再下载一个进行测试了。KILLBOX重启后删除是会把删除的文件放到C盘下的KILLBOX文件夹下的，如果SYSCHECK重启后删除能放到回收站的话，那就更完美了，只是不知道这个要求好不好现实，要求是否太苛刻了。

[ 本帖最后由 6618 于 2006-10-7 08:32 PM 编辑 ]

wang6071

原帖由 6618 于 2006-10-7 08:22 PM 发表
SYSCHECK越来越完善了！刚才我用了syscheck(1.0.0.43修正版2试了一个那个盗QQ密码的木马病毒，当启动了那个病毒再启动SYSCHECK的时候，还是会给那个病毒注入进程（那个木马不是用的DLL注入，是obj注入）只能选重启 ...

重启后删除可以将删除的文件移动到另一个文件夹中,但不能是回收站。之所以重启后删除不备份也是怕不知道是病毒备份的重新点击激活病毒。(特别是帮人维护的可能往往最后忘记清理现场)

防DLL注入功能并不是所有都能防的，部份可能失效，对注入了syscheck的模块你仍然可以使用<卸载模块并删除文件>,大多数情况下都有效．

非Dll模块也可以用<卸载模块并删除文件>功能，该功能是全局卸载并删除文件，如成功则删除到回收站，不成功则采用重启删除．

syscheck 1.0.0.43版的删除功能基本上都是直接删除与延时删除的结合，只有当两者都失败时才会报告延时删除失败以提醒注意．(其实还有一招成功率很高的延时删除的方法，不敢使用，因为用过后被病毒木马反编译学会了，则N多杀软及防护软件的监测都会失效．包括卡巴最新版,当然安全盾也不例外．)

---------------------------------------------------------------------------------------------------------
另外，关于安全盾1.39版安装的问题再次修正了一个1.392版，安装有问题的可以试一试．

[ 本帖最后由 wang6071 于 2006-10-7 09:10 PM 编辑 ]

zmc837

呵呵，用了，感觉很不错，谢谢楼主提供

6618

原帖由 wang6071 于 2006-10-7 09:00 PM 发表

防DLL注入功能并不是所有都能防的，部份可能失效，对注入了syscheck的模块你仍然可以使用<卸载模块并删除文件>,大多数情况下都有效．

非Dll模块也可以用<卸载模块并删除文件>功能，该功能是全局卸载并删除文件，如成功则删除到回收站，不成功则采用重启删除．

谢谢wang兄的解答，当那个病毒把线程注入SYSCHECK后，使用上面的的功能卸载不了，会报错——点了几次确定后退出，只能选重启后删除。——我在211页的2014楼帖有图片。

[ 本帖最后由 6618 于 2006-10-8 12:21 AM 编辑 ]

wang6071

原帖由 6618 于 2006-10-8 12:19 AM 发表

谢谢wang兄的解答，当那个病毒把线程注入SYSCHECK后，使用上面的的功能卸载不了，会报错——点了几次确定后退出，只能选重启后删除。——我在211页的2014楼帖有图片。

我看过了原图,新版对此有所修改,结果还是一样的吗?
还有就你那个图来说,该木马工作可能与灰鸽子类似,你先结束IExplorer(估计你也不会直接用IE来浏览，但图中有显示),这个DLL就容易卸载了(如果它的加载方式是映射，则结束Iexplorer后，它还会自动卸载)

清理木马及插件有个操作顺序问题，首先就是必须结束浏览器进程，然后考察Explorer模块．并尽可能关闭一些无关的进程后再做清理工作．

[ 本帖最后由 wang6071 于 2006-10-8 12:46 AM 编辑 ]

happyday2

　　试用了一下EQSecure for System（因其已包含了EQSpyWatch的功能，所以没有测试EQSpyWatch），感觉不错，还存在一些小问题，已提了些建议，如果改进的话，我想应该能够完全替代那些类似的外国软件，像ssm,gss,pg,ss,parador,winpooch等等，winpooch虽然监控很全面，规则设置也灵活，但兼容性太差，规则没有分类，太乱。

　　EQSecure for System可以说是借鉴了这些软件的许多优点，综合了应用程序控制、注册表控制和文件控制功能，规则可以分类、分组，明了多了，另外，它的规则文件是EQSysSecure.dat，也是文本格式的。只是还没有过多地测试，不知规则多了其效率如何。总的来说，作为一款国产软件，还是值得关注的。


　　
　

[ 本帖最后由 happyday2 于 2006-10-8 08:58 AM 编辑 ]

happyday2

　　系统安全盾也是实现同样功能的软件，但它与其他软件却有诸多的不同，有着自己独特的优点，不是其他软件所能替代的。

　　1、系统安全盾的规则设置简单明了。系统安全盾的规则设置特点鲜明，能够用寥寥数条就实现严密监控，这要归功于将黑名单单独列出来，简化了规则设置，又便于维护和理解。这是其他类似软件所没有的。

　　2、系统安全盾占用资源小。只占2、3M内存呀，尤其是对于一些老机器，不能装杀毒软件，这个优点的作用就尤为突出。

　　3、系统安全盾的兼容性好。试用其他软件都有不同程度的重启、蓝屏现象，唯独系统安全盾没出现过，既使将规则设为最严也没有。这当然是作者辛勤工作的结果，但我觉得还有一个很大的因素提高了软件的兼容性。以前总以为用删除文件的方式来控制新建文件是一个缺点，不够彻底，有漏洞之嫌，但经过我对各种类似软件的测试，发现这正好是系统安全盾的一个优点。利用写入控制的方式虽然能够防止文件写入，控制彻底，但是如果规则设置严一些，就会带来兼容性问题，比如一个关键的进程或服务需要写文件，但却被制止，因为写入不成功，返回错误，进程就会偿试再次写入，这样不断写，不断制止，导致系统性能下降，甚至死机，严重时，就会重启、蓝屏，而系统安全盾是在写入后再删除，这样就不会导致写入错误，从而避免了类似的问题。而这一点，其他软件是不会有的。

　　所以，对一些喜欢完全自定义规则，以实现最适合自己的监控效果的人来说，可以多关注关注EQSecure for System，而为别人装机，尤其是为菜鸟装机，要求简单、实用、兼容好，则非系统安全盾莫属。

bassay

我的操作系统为XP，安全盾和反黑辅助共占用内存一般在7.4－8.5M之间，使用了几个月感觉不错，感谢你的辛勤劳动和无私提供，能否再增加应用程序控制功能？？

6618

原帖由 wang6071 于 2006-10-8 12:31 AM 发表
我看过了原图,新版对此有所修改,结果还是一样的吗?
还有就你那个图来说,该木马工作可能与灰鸽子类似,你先结束IExplorer(估计你也不会直接用IE来浏览，但图中有显示),这个DLL就容易卸载了(如果它的加载方式是 ...

结果还是一样，我用的是IE，我两次清除的时候都没有退出IE和EXPLORER和CTFMON，这几个都给该病毒注入了进程，下次再找到那个病毒的话我把IE，EXPLORER，CTFMON都束了再试试。

askai

刚才测试几个网站
www.520se.com.
www.550011.com  
www.222988.com
www.0000008.com
www.550022.com   

我的网镖,sysshield,电脑都挂了
全部自己关闭

[ 本帖最后由 askai 于 2006-10-8 01:36 PM 编辑 ]

ok-gao

在赢政一了最新的SysCheck，试了下，感觉蛮好的。
但我在看“疑难修复”的“删除可疑文件”选项时，本想看看出现的操作提示可能是什么的，会让用户选择怎么的操作的，没想到进入假死了，音箱声音不正常了。而第一个WINSOCK的检测是有提示的。

askai

我发现了sysshield的一个问题,就是遇到某些网站如www.550011.com 不停弹出网页
就很容易崩溃(程序错误),被系统关掉.希望高手修改一下

[ 本帖最后由 askai 于 2006-10-8 06:08 PM 编辑 ]

wang6071

原帖由 askai 于 2006-10-8 06:05 PM 发表
我发现了sysshield的一个问题,就是遇到某些网站如www.550011.com 不停弹出网页
就很容易崩溃(程序错误),被系统关掉.希望高手修改一下

上了这个网站,貌似以XXX招人上当的.偶机器上没发生问题
E:\WINDOWS\System32\DRIVERS\SET47.tmp  2006-10-08 18:17:24
E:\WINDOWS\LastGood\system32\drivers\crcdisk.sys  2006-10-08 18:17:24
E:\Program Files\Internet Explorer\PLUGINS\system.jmp  2006-10-08 18:33:17
E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\1D640AAW\admin[1].exe  2006-10-08 18:33:21
E:\Program Files\Internet Explorer\PLUGINS\system.jmp  2006-10-08 18:34:00
E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QSOL0CUD\admin[1].exe  2006-10-08 18:34:04
有木马crcdisk.sys 及system.jmp,admin[1].exe等等.....

你说的问题估计你是用IE直接看的吧?狂开窗口很快会系统资源紧张的,发生系统死机在所难免．所以一定不要用IE直接上网(现在还用IE直接浏览的不中招难啊!),默认浏览器一定不要用IE.自我感觉Maxthon要好一些,可以防住狂开网页耗尽系统资源,也能及时关闭它．


－－－－－－－－－－－－－－
ok-gao反应的使用 "删除可疑文件"时发生的系统假死了，音箱声音不正常,极大可能是系统中有木马，留意查杀一下．假死可能是木马与syscheck在PK发生的，因为这时是直接删除木马文件，并未处理木马的保护进程，所以pk时可能发生假死现象．

[ 本帖最后由 wang6071 于 2006-10-8 06:45 PM 编辑 ]

ok-gao

哦。可能是这样的。

我开机，一直开着Ad Muncher的（拦广告的，１６３破解版），在安全盾中，如果点选其它的进程，C:\Program Files\Ad Muncher\AM20163.dll也经常误显示，可能是由于因为是破解后的文件，而且多线程插入EXPLORER吧。误显示也应该属于正常，平时我都不管它。

另外，我还装有个google工具条，据说它植得很深，如果判断它为疑似，估计一下子除不掉，会造成假死的。

不过，我觉得，对疑似的，也可以先显示一下的。昨天我下了个江民的疑似文件检测，也发现了两个１３％疑似度的文件，但一个是unlocker的，另一个是右键管理的小软件。最终都是正常的。

所以，可以先显示一下列表，让用户先确认一下比较好。还有，判断疑似的标准，是检查时出现红色的文件吗。最好操作前有个风险提示。