[sysshield]系统安全盾

ok-gao

能否写个用syscheck杀掉威金病毒的实战教程？这个病毒最近名气很大，估计用到的手段也得多。如果有图文并茂的实战教程，并将运用的思路也简述一下，这样菜鸟可以通过每一步的运用，熟悉各选项的功能。同时，也可以将实际考验呈现给用户，有利于syscheck的推广。

刚接触这个软件，想看个实践的例子中的运用，并从中学习。我想，这也可能是大多数新接触这个软件人的想法吧。

ok-gao

感谢wang6071 先生的回复！这个病毒是很难缠，日前据说杀软也没法去处理感染后的exe文件的。

我想，这个软件在大众中的传播和使用，还是应该有五六个比较经典的实战教程，这样的教程，一，能介绍指导这个软件的各项功能的运用，二，能涵盖几个基本的syscheck对不同病毒的操作思路和操作方法。这点，就象武术中的套路一样，可以通过几个基本的技击方法和定势，来大概的题解和操作这个软件。

日前我个人并不从事IT和电脑行业相关的工作，看软件，只是出于自己个人的兴趣爱好。平时电脑也很少中毒，所以虽然对这个软件设计上以简捷为好的原则抱着极大的好感，但对这个软件还只停留在一种比较抽象的印象上，这也是我希望有时能看一些实战图文教程的原因。我想，大多数人其实都非电脑专业的，大多数菜鸟可能也和我一样的想法吧。

这个帖子，高人云集，象一个高度团结的团队。其它的朋友如果遇到好的实战案例也是可以写的。一可以不让wang6071 先生太忙，二，方便大家感性化地去认识这个软件，三，如果实战教程写成后，转帖到各大论坛使用区，也会极大地推广这个软件的使用的。

如果哪位遇到好案例可以写得详细一点，成为一个好的教程的。就说这么多了，再次感谢wang6071 先生开发出来的好工具！

ok-gao

原帖由 emca 于 2006-9-26 11:27 PM 发表
磁盘自动运行免疫工具修正。
能够处理所有磁盘和特定磁盘；能够结束典型同类病毒进程；能够自动清除隐藏在回收站的病毒文件（变态：部分病毒居然设置了NTFS权限！）；能够修复磁盘打开关联；能够选择性禁止除光盘 ...

我的是老机器，都是FAT32格式的，能不能用？

[ 本帖最后由 ok-gao 于 2006-9-26 11:55 PM 编辑 ]

ok-gao

系统安全盾：

１、看SVCHOST进程时，最好能显示调用进程的程序名称。就象用tasksist/svc那样的结果，有利于判断是否中毒。

２，如果有广告的程序运行，我装的是ad muncher，如果选中FlashGet.exe，ad muncher的进程模块也会显示为红色，我装的２００４飘云版中的QQHook.dll也是红色。是不是这两个与网络有关容易出现误判？

ok-gao

在赢政一了最新的SysCheck，试了下，感觉蛮好的。
但我在看“疑难修复”的“删除可疑文件”选项时，本想看看出现的操作提示可能是什么的，会让用户选择怎么的操作的，没想到进入假死了，音箱声音不正常了。而第一个WINSOCK的检测是有提示的。

ok-gao

哦。可能是这样的。

我开机，一直开着Ad Muncher的（拦广告的，１６３破解版），在安全盾中，如果点选其它的进程，C:\Program Files\Ad Muncher\AM20163.dll也经常误显示，可能是由于因为是破解后的文件，而且多线程插入EXPLORER吧。误显示也应该属于正常，平时我都不管它。

另外，我还装有个google工具条，据说它植得很深，如果判断它为疑似，估计一下子除不掉，会造成假死的。

不过，我觉得，对疑似的，也可以先显示一下的。昨天我下了个江民的疑似文件检测，也发现了两个１３％疑似度的文件，但一个是unlocker的，另一个是右键管理的小软件。最终都是正常的。

所以，可以先显示一下列表，让用户先确认一下比较好。还有，判断疑似的标准，是检查时出现红色的文件吗。最好操作前有个风险提示。

ok-gao

我机器老，平时把卡巴５。０是关着的，可能中毒了，要用时再开
可我把这个服务禁用了，为何还运行呢

ok-gao

哦。这样的啊。谢谢指点！
现在这个系统已做好ghost了，已有的系统反复安装不同版本卡巴，我怕装卸会发生异常。只有一个服务了，也不怎么拖打开速度了，也不是太要紧的。呵呵。

ok-gao

syscheck疑难修复中，“删除可疑文件”一项，还是没有“确认”操作一项。同类三个中前两个有的，同时还有简明提示。应该是小小的疏忽。不然刚用此工具的，会不知道到底删除什么，可疑的标度是什么。有简明操作提示比较好。

另外，“防止驱动干扰修复”，个人感觉比较拗口，改为“阻止驱动级修复干扰”如何？

[ 本帖最后由 ok-gao 于 2006-10-21 10:01 PM 编辑 ]

ok-gao

支持两个合起来。现在自动运行的小软件有三个了，（我还有个ad muncher，拦广告的，对IE有很多底层插入，不拦上网木马真有点可惜）。如果这三个都合到一起就好了，哈哈哈。。。不过后者是国外的，只好指望wangsea先生的二合一了。呵呵

ok-gao

借问一下，安全盾的暂停监视里的“不信任程序安装”怎么理解呢，是不是暂停中也不让程序安装呢，暂停监视里的“信任程序安装”又是怎么理解的呢。这两个，如果单从字面上很费解的。我好久也没想明白。菜鸟啊，求助一下！

（目前用的是旧版）

[ 本帖最后由 ok-gao 于 2006-11-8 02:36 PM 编辑 ]

ok-gao

试了下Syscheck检测报告。[NOMS][IsMS]的标注，真的越来越精确了。但前面的是否微软的标注让人有些眼花。[NOMS][IsMS]一模一样的位置，虽然显得很整齐，但我认为，事实上它影响了最快的第一视觉判断。象我这种菜鸟，只看看第三方非微软的，微软本身的一般从来不看，看也看不懂。
所以，在位置和标识上，两者应区别明显，这有利于第一次的整个报告的浏览。扫几眼就很明显看到非微软的进程和服务。我想，这是一般人看报告的第一动机吧。
因此，有如下建议：１、是否考虑微软的都不加注释了，只在报告前面标明微软的都没加？这样，报告也看起来简捷些。２、如果要用，我觉得，可以[IsMS]直接用[MS]，把前面两格空下来，这样可以在视觉上用个斜线的感觉去直觉先判断一下（有点象诺顿的那个进程管理器的进程图类似）３、可以加入视觉更好的标识，比如，非微软的用实心圆（没打出来５５５～），或者◆之类，微软的不加标识最好，不然看起来很杂乱的。

举如下的例子：
  ctfmon.exe=c:\windows\system32\ctfmon.exe
  [NOMS]d:\backup\ad muncher\am20163.dll
  [IsMS]c:\windows\system32\ctfmon.exe
  [IsMS]c:\windows\system32\ntdll.dll
  [IsMS]c:\windows\system32\kernel32.dll
  [IsMS]c:\windows\system32\advapi32.dll
  [IsMS]c:\windows\system32\rpcrt4.dll
  [IsMS]c:\windows\system32\user32.dll
  [IsMS]c:\windows\system32\gdi32.dll
  [IsMS]c:\windows\system32\msctf.dll
  [IsMS]c:\windows\system32\msutb.dll
  [IsMS]c:\windows\system32\imm32.dll
  [IsMS]c:\windows\system32\lpk.dll
  [IsMS]c:\windows\system32\usp10.dll
  [IsMS]c:\windows\system32\uxtheme.dll
  [IsMS]c:\windows\system32\msvcrt.dll
  [IsMS]c:\windows\system32\ole32.dll

我们一般只要看看[NOMS]d:\backup\ad muncher\am20163.dll有没有异常就可以了。处理和好，我们只看看各项的非微软的就可以了，微软的只给最后不得已时再参考看看的，一般情况下很少看。

ok-gao

王先生辛苦了！

这里反应一个小问题：
安全盾在提示是否信任程序（已有的安全的应用程序）时，点“确定”后，仍会在任务栏有个最小化似的图标，要再次“X”掉才没有。
如果正常的话，应该是点“确定”后，这个框没有了，不会最小化到任务栏里要再关一次。

ok-gao

syscheck（关于“活动页面”显示）：

很长时间也看不习惯syscheck的“活动文件”的显示，感觉很杂乱。密匝匝地看起来很乱眼。一方面，是因为我比较菜，另一方面，我觉得这个项的显示布局我觉得真的不算好。

首先，我以为分类和项目两个的次序颠倒了。应该是先以分类为导航，再看可能要查看的项的，起码我是这样做的。如果看现在的第一列，也就是文件名，因为俺菜，竟有好些都不认得：（，要结合是否启动项和文件存放目录才能判断。实际上，也就是说，第一列为项目是没什么效率的。就象下围棋，次序倒了不一样就是不一样。

第二，同类的，没必要重复标记，看得又密又碍眼。打个比方，我们如果看启动项，第一个到下一个类别之前，都是的，没必要注得密匝匝的，很难看。就标一次就可以了，空着点，一目了然，不也很好吗。
autoruns就很好，同类的只注一次，并在第一个的横向上以浅色背记，在视觉上就可以直观的分类（第一个浅色背记到第二次背记间的文件为同一类），不妨借鉴一下。

活动项目显示上，我觉得注册表显示很冗长，甚至还要拖后察看，真的没必要。真的很乱，又不会有多少看的价值。我想，一般７０％的人，看所要察看的文件在哪文件夹，是哪个软件的，就基本可以初步判断是否正常。
而且，如果要进一步察看，本来已有定位注册表功能了，这不重复了吗，而且当前显示的效果也真的很差。
其实，察看注册表，所有察看如果转到注册表，效果更好也更全面，所以都去掉，留给下一步转到注册表功能比较好。

有时，我觉得显示得太多会冲淡主要察看的项目的，功能重复就更没必要了。我希望syscheck“活动项目”显示简捷有效，看到一个清爽的表，也会更有效率些。

希望能看到一个清爽的活动文件的显示！

另外，解压打开syscheck时，分类中的“explorer加载”中的“加载”两字不能全显示出来，我觉得分类中，所有项目最好一次都显示全，不必手工再去拉，察看比较好。

呵呵，一个关心和喜欢此软件的门外汉瞎聊几句，再次向王先生道一声辛苦了！

ok-gao

安全盾：

我在用AdMunch拦广告。现在不是问题的问题是：无论我增加或修改自已定制的规则，哪怕改一点点，安全盾都要提示我是否同意。之所以说不是问题的问题，是因为我注意到这个监控的注册表项是run。不知有没有办法让安全盾不那么敏感？

ok-gao

原帖由 xdg3669 于 2006-12-19 05:06 PM 发表


干脆关了安全盾不就行了？^_^

那我还不如同意呢：）

Ad muncher是用几千条过滤规则来过滤广告的，有默认的，也有自定义的。一般情况下，如果遇到某个最近常去的网页广告特别讨厌，就要加几个规则去过滤它。现在安全盾，就是我每加一个规则，或者修改哪怕一点点，也要我去确认。每次都去重复，我就想，要开条门缝，睁一只眼闭一只眼，让ad muncher每次偷偷溜过去就算了:P

ok-gao

我在２７６６楼写了个syscheck（关于“活动页面”显示），当时写得匆忙也有点乱，发完后，再回到主界面，发现最后的发贴者竟不是俺，而是wang6071 迟一分钟的回帖。我就想，可能两人同时写帖，几乎同时发帖吧！这样可能的“后果”，如果发完帖就下线，下次再上来只看以下的新帖的话，就可能漏看了，看来我的想法，不幸而言中，５５５５５５５５５～～～～

ok-gao

新版安全盾试用：

１、当打开多窗口，双击后只在任务栏看到图标，看不到想看到的主界面；如果

不开窗口，双击后可看到主界面。

建议：让它显示在最前端。

２、我的使用习惯，双击安全盾后，一般是想看进程的。这里发现有如下问题

A：目前我是计算机管理员身份，我刚才还看了下。但看进程，看不到第一个

svchost.exe以及以上的进程。我知道以上的进程，是不能终止的，但我以前遇到

过一木马，就是插在winlogon进程中的。

建议，全显示。

B，我看进程表有无多出来的进程后，一般会看ieplorer.exe和explorer.exe进程

中，有没有插入木马的dll。如果用syscheck，我会首先看粉红色的进程。安全盾

进程察看中，如果系统进程有非微软方的dll插入，应该显示一惯的粉红色的，这

也可与syscheck的显示标准一致。但目前版本，都是与正常的系统进程一致，都

黑色的。这既不标准一致，也不方便从进程中察看是否有木马的dll。

建议：系统进程有非微软方的dll插入，应该显示一惯的粉红色

C:打开安全盾的进程表，发现两个框中间的不可以用鼠标拖动，来改变两个框的

大小。我为什么有这个想法，一是因为我的进程少，所以进程表下面空好多；二

，我选中后察看加载的dll，喜欢最快地找到加载的三方dll，后面的框太小，不

能全部显示，而我自己又不能调节，就没法一下子尽可能多的显示出来了。
不过，“注册表工具”一项倒是能调的，关闭后也能记住。看来这可能是个疏忽

每个人的系统进程数不尽相同。建议改进一下，以能调大小，各人能根据自己的

情况，方便尽可能多的显示进程的dll。。

ok-gao

1。５２安全盾已装上，对话框等问题已修正。对程序，我是一窍不通的，只是普通使用者，只能谈谈个人实际应用的感受。感谢王兄也能听菜鸟的意见！

试用后，发现现在有这样一点的不足：我以前理解的粉色显示的进程，是加载了第三方dll的系统进程，syscheck显示也是这样的。但１。５１中，第三方进程也有显示粉红色的，也有红色的。这样不方便找加载了第三方dll的系统进程。（如图）

[ 本帖最后由 ok-gao 于 2006-12-21 10:53 PM 编辑 ]

ok-gao

安全盾开着时，新版sreng有如图提示；关掉安全盾就没有提示了

ok-gao

哦。这样的啊。呵呵

今天把装个软件把安全盾关了会儿，又不小心转到猫扑的什么页面，结果中了个中文上网。

将安全盾开了后，有些项目显示延迟删除。我就先用syscheck2把explorer和ie中加载的都咔嚓了。然后再一通删，就差不多啦。最后用“文件浏览”删了整个中文上网的文件夹，这下它就彻底完了，哈哈哈。。。感谢wang6071兄的好工具！！！

后来我又用hijackthis扫描了一下，只残存２项的一个BHO，直接删除了。（syscheck2的功能非常强大，这是技术层面的，但这个活动页面的结果显示我觉得还不是很直观的，次序感不太好，有待进一步优化。如果这一项也做好了，我真的觉得syscheck2非常完美了）。

ok-gao

楼上的，如果你不是用的精简版系统的话，可以去事件查看器里看一下，到底有哪里发生了故障，然后再找原因

ok-gao

活动文件中，根据活跃程度，和最先检查的关注度，“BHO钩子”项建议提升到“IE工具栏”之前。

ok-gao

上次的活动文件显示，感觉很简捷，建议不要放弃，慢慢来。建议参考一下autoruns

安全环境这个大概念很好，但与后面重复，建议合并为“净化修复”。

其实，主项点后，直接进入操作，这样是不妥的，下面应该有分项的菜单才对。所以建议合并后，设立分菜单。

我的看法是，把那个“疑难修复”整个拉过来，“快速净化”作主项，“其余作附项。

疑难菜单，我也有话要说，就是磁盘关联修复，应放最后，因为应用最少。我自己就从来没遇到过（非专业人员啊，汗～）

检测修复，从以往的版本看，整体上，应定义为可视的，一般性故障。

净化修复，一，为疑难，二为不可见（所以那个疑难修复应该并过来）；那个快速净化，应为一个单独的大按钮，与一小排”疑难修复“相呼应（疑难在左边，因为最先尝试和应用的是它们，净化按钮在右，相当于总决战专用，大一点）

可样，有重复词了。而检测修复相对温和，所以建议改为”检测维护“——删个HOSTS，启动项什么的，可不象维护么～

ok-gao

好久没来了，好久没中马了，上周末中了一回，用了syscheck，找了近些天生成的文件删除了，问题也解决差不多了，感谢王兄的辛苦不断创新!

我是完全的门外汉，能学会用就可以了。感觉，以前的版本比较“通俗”，现在的比较专业化。

近期整个的帖子我还没细翻，不知是不是会有“通俗版”和“专业版”之分:P


另外，非常感谢SCK兄的汉版。象我这样业余的爱好者，会有段时间不接触软件应该，英文名字随着时间推移，会忘了一些。这样比较方便了:victory:

ok-gao

收一下新版。菜鸟我感觉可能功能的精度越来越好，但易用性在下降。我觉得，应用软件，在技术高超的同时，也应该适当照顾一下易用性，这样才能有最广泛的用户。

举个例子来说，就说我自己，我是自己用着玩的，一个普通爱好者，非电脑维护人员，就觉得看现在这个版的“活动文件”很费劲，如果不进行简单分类的话，时间长一点，就好些不认得了。

在功能排序上，王兄主要精力都用于技术精益求精了，但忽略了一些应用操作上的细节。

我自己觉得，从应用量上来讲，一，进程管理，二，安全检查，三，服务管理。。。。。但，目前，服务管理和SSSDT管理专业性过强，一般使用者不到万不得已用不到的，建议排到最后两位。

当然，最好再出个“通俗版”，以适用于我这样低水平的使用者，相信还有很多差不多的，但人也最多。呵呵～

ok-gao

wsyscheck应用功能还应改善加强：

１、“文件管理”中，没有搜索项，打开这项，只能看不能搜索。难道得转到安全检查的分项中再查找吗？对“文件管理”这一功能，我看应该有文件搜索，以增强这一项的效率。

１。注册表无法搜索，那一项只有下拉菜单，变兰也无法填入的。搜索和结果集中排列管理，有利于扫除注册表的残毒。这一点，应该象那个“德国瑞士军刀”的注册表管理学习

ok-gao

安全盾非常好用，我的老机一直用它，没用杀软，哈哈哈～

我在用AdMunch，一个广告过滤小软件。每次每个设置过滤规则，会引起安全盾报告。我把它加入白名单也不管用。我就想，白名单功能能否拓展到注册表？呈现对应的白名单效应？就是加入某名单后，允许它改注册表？

另外，我点白名单的“添加”时，发现它无法去浏览文件，我觉得让它可以浏览文件是不是更方便使用？可以这样构想：如果填文件名的对话框里不为空，就直接添加；如果为空，则可以浏览文件夹，选中后再”添加“。



编辑一下（９月24日）：前两天更新为

[/td]  Ad Muncher v4.7 Build 27105 汉化版[/tr]

，发现每次设置规则时，安全盾不提示了。我以前用的是4.7.20163。不知它改进了什么，但毕竟启发了一个可能问题的思考。呵呵～

[ 本帖最后由 ok-gao 于 2007-9-24 07:31 PM 编辑 ]