[sysshield]系统安全盾

emca

如果流氓病毒监视了BAT文件的写入怎么办？流氓就是流氓啊……

emca

1、我用前面兄弟们提供的东西，在安装有Vista（F:盘）的Windows XP环境中测试失败，Grub无法找到映像因而无法加载；
2、建议：
    ①将Grldr改名，比如Drldr，以免与其他引导模块冲突；相应的，在引导文件中，最好也对 Menu.lst 改名，以免有冲突；
    ②删除文件的批处理最后最好加一句还原系统正常的BOOT.INI的命令；与此相联系，可以将Boot.ini的默认引导选项改成删除顽固文件的引导项（Mydel.exe在Windows环境实现这个修改并不太困难），如果在命令行修改，也可借用深山红叶PE中的“X:\PROGRAMS\WinTools\系统修复\深山红叶PE硬盘安装\INIFILE.COM”这个工具来修改Boot.ini的默认引导项目。
    ③映像文件中，所有未用到的程序文件均可删除掉（只要是Config.sys和 Autoexec.bat中未引用的那些驱动和外部命令均可删除）以减小映像体积；
    ④建议将SSDT恢复功能融合到Mydel.exe程序中，这样只要想使用本工具，就强行恢复SSDT，以免流氓程序监视我们所需的文件的读写而导致失败。

emca

1、本人在安装有Windows XP和Vista双系统的环境下的测试失败屏幕显示图片。
    可以看出Grub（最新的上面兄弟修改过的）是不能识别Vista的NTFS文件系统格式的，因此要等待最新的Grub版本，或者哪位兄弟能够对Grub文件进行修改。
2、使用修改的Grub后，Wangsea兄弟也得修改一下Delmyfile.exe程序，让它不会寻找Menu.lst。否则没有Menu.lst会出错。
另，能否直接用Vista的引导管理程序？但它是否适合于未安装过Vista的系统也是个问题（不能识别和引导）。
从本人试验得知，Vista的分区引导记录同时支持Vista的引导管理器，同时也仍然保留对Windows XP的Ntldr的支持，但后者优先级较低。因此如果把Vista的bootmgr改名，则如果有Ntldr，系统仍然能够正常引导。
附bootmgr，供前面想要的兄弟研究。

emca

建议：
1、选择文件时，最好允许多选，以便按Ctrl功Shift能够同时选择多个病毒文件。否则一个文件操作一次，比较麻烦。
2、建议程序启动后强行恢复SSDT，以免被病毒监视Boot.ini等的读写。
3、对于本程序本次运行时自己生成的几个文件，不应当允许列入删除列表，以免出错（万一有用户以为根目录下的未知怪名字文件是病毒呢？）

emca

注册表最好是经常性备份。因为有些故障你根本无法确定问题出在注册表的什么位置！

emca

我在修改的话，也一般进入PE修改，那样既直观又方便，找点修改资料什么的又方便无比，不必要在DOS环境我自己给自己装高手，嘿嘿～

emca

安全盾使用后，Windows自动更新会无法完成。发现它阻止的内容大体如下：
C:\WINDOWS\LastGood\INF\oem6.inf  2006-11-29 09:45:14
C:\WINDOWS\LastGood\INF\oem6.PNF  2006-11-29 09:45:14
C:\WINDOWS\$NtUninstallKB922760$\kb922760.cat  2006-11-29 09:45:19
C:\WINDOWS\$NtUninstallKB922760$\spcustom.dll  2006-11-29 09:45:19
C:\WINDOWS\$NtUninstallKB922760$\kb922760.cat  2006-11-29 09:45:19
C:\WINDOWS\$NtUninstallKB922760$\update.exe  2006-11-29 09:45:19
C:\WINDOWS\$NtUninstallKB922760$\update.ver  2006-11-29 09:45:19
C:\WINDOWS\$NtUninstallKB922760$\updatebr.inf  2006-11-29 09:45:19
C:\WINDOWS\$NtUninstallKB922760$\eula.txt  2006-11-29 09:45:19
C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Tmp.0.KB922760.cat  2006-11-29 09:45:21
C:\WINDOWS\$NtUninstallKB922760$\update_sp2qfe.inf  延时删除2006-11-29 09:45:29
C:\WINDOWS\KB922760Uninst.log  延时删除2006-11-29 09:45:33
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e5b2b01d899d57e878a90c09d9ec4e92\SP2GDR\iedw.exe  2006-11-29 09:46:14
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e5b2b01d899d57e878a90c09d9ec4e92\SP2QFE\iedw.exe  2006-11-29 09:46:16
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e5b2b01d899d57e878a90c09d9ec4e92\update\update.exe  2006-11-29 09:46:17

但由于上面的升级目录和相关文件的名称大多是动态变化的，而安全盾又不支持通配符，因此忘记关闭安全盾时自动更新绝对会失败。关闭后虽然能够重新自动升级，但很容易导致升级出错。如果出错，则只能手工先关闭升级服务，再删除升级日志和升级下载的相关辅助文件，然后才可能重新升级。这个问题不太好解决。

emca

1、禁用Autorun只有在干净系统上比较有效，已经中毒的系统，病毒也可以设计为自动启用自动播放；
2、右键打开要分两种情形，一种是典型的Autorun.inf病毒文件，此时右键打开可防止激活；另外一种病毒会在Autorun.inf中人工定义“打开”“资源管理器”的菜单命令，此时你右键打开时仍然会激活病毒！
3、已经中毒的电脑上使用U盘，在没有免疫处理的情况下几乎100%会感染。

emca

前面的那个 MyDelFile 确实不错，但今天发现http://www.tommsoft.com/有一个DOS版的恶意软件清理助手，它支持对目前 145 种典型恶性流氓病毒的自动清除。其清除程序和数据库很小，我想能否把它抽取用于MyDelFile？由于MyDelFile是内嵌的软盘映像，因此我不方便改造这个映像。希望 Wangsea 把这个映像单独作为一个文件，以便于大伙改造，如何？

附提取的DOS版的自动清除流氓病毒的程序和数据库（文本，开放式！）：

[ 本帖最后由 emca 于 2006-12-6 08:25 AM 编辑 ]

emca

发现使用安全盾后,系统的本地安全策略以及运行 Gpedit.msc 都受到限制。原因不明。

emca

关于赞助Wangsea兄弟的倡议

    Wangsea 兄弟给我们付出了无数艰辛的劳动，也给我们提供了非常好用的大量工具，夏日炎炎，冬夜漫漫，作者的辛勤劳动在得到大家的承认的同时，更应当得到应有的回报。无数版本的升级，及时的BUG响应，热情的问题回复……无论哪方面，Wabgsea 兄弟都不比那些“大师”差，人品方面更是那些依靠写流氓病毒赚黑心钱的人所无法企及！不少人在众多的流氓病毒入侵大赚其黑钱的同时，宁可花费200元购买中看不中用的某某某杀毒软件，却不愿意破费十分之一 ——20元 ——去赞助像Wangsea这样无偿提供反黑反流氓的免费安全工具的作者！
    我相信，不少人是有心也有力，关键是赞助渠道不畅。我看到Sysshield的赞助方式中，一种是在淘宝花低价购买这些软件，另一种是通过工行。因此我希望兄弟们在能够向Wangsea兄弟赞助一点“暖心费”的同时，也希望Wangsea兄弟多提供几种方式，比如邮政银联卡等（比如我要到工行就得打车跑N公里），以方便我们略表微薄的心意！
    网络信息安全任重道远，安全实施的受益者是我们大众，付出者当然不应当是诸如Wangsea这样的个体，我们的微薄支持本质上并不是支持象Wangsea兄弟这样的个人，而是支持正义，你、我都负有支持正义的责任！因此，我倡议大家行动起来，在这个美好的圣诞前夕、在新年即将到来之际，为了净化我们的网络、净化我们的系统，也为了净化我们的心灵，向Wangsea、也建议向其他更多让您受益的原创免费作者，送上一丁点的圣诞和新年礼物！
    为此，本人将正式索要Wangsea兄弟的其他赞助方式或通信地址，届时将在本帖公布。大家可以多少不限，甚至是一张祝福的贺卡载去一份心意也行，并将相关底根在此跟帖贴出！

                    倡议人：深山红叶
                    2006年12月17日

emca

树型视图不错，但不支持复选，真的极不方便了！建议添加复选功能

emca

Syscheck 的活动文件处理有严重问题。无法复选以便批量修复；无法顺利删除某些项目。

emca

原帖由 wang6071 于 2007-1-5 11:34 PM 发表
syscheck(1.0.0.66)
  疑难修复中加入了一个"显示隐藏文件修复"按钮。
  调整活动文件的内容的显示顺序。
  加入安全环境功能,提供一个清理不必要进程及第三方DLL的系统环境,并附带清理Autorun.inf加 ...

  疑难修复页面中，“自动清除Autorun加载木马”中的“加载”文字有误；
检测修复的活动页面中，“讯息”字段名称不正确，应当为“信息”；但从内容来看，应当是“键值”。

emca

安全盾重大BUG！
当规则有效的情况下，如果我们创建规则中禁止的目录，或者复制被禁止的目录和文件，则肯定是能够阻止；但如果我们使用复制、粘贴的方法，则阻止规则失效！
因此可能要监视的文件操作函数要扩展到复制粘贴上了！否则……嘿嘿～

    By 深山红叶

emca

新版本不错。但人性化上严重倒退。与前期比较成熟的Syscheck相比，这个更只适合高手使用了。

emca

强烈建议在基本功能完成后，以前版本的人性化的处理方式不要丢弃。

emca

新版本（11号的）有个小BUG：
如果先在活动文件中进行了检测，然后右击，选择定位注册表项，在内置注册表编辑器中直接删除了某个键项时，返回活动文件后，这个键项仍然在列表中，没有刷新，而且此时再在活动文件页删除它也没有响应。建议返回后是否刷新一下？

另，以前版本的几个人性化功能极其方便好使，建议Wangsea兄弟有空时加上。在给菜鸟处理实际处理问题过程中，感觉最方便实用的就是“安全环境”功能，不管它中了什么，一键净化系统当前环境，然后清除不必要的活动文件和相关可疑服务，病毒文件就不管它了。一台机器两三分钟基本搞定。

emca

接上帖，再顶一帖：
目前通过 Autorun 功能激活的病毒折腾得极其厉害，建议这个中也加入 Autorun 的清除（以前版本有的）、免疫、对应注册表键值安全修改的功能。可以说，当前的病毒十个起码有九个与 Autorun 脱不了干系的。每次都得手工处理，麻烦。

emca

再再顶一帖！

既然抽空来了，不能空手见大家不是？
因此顺便把我昨天刚刚到手并且亲自汉化的 Hedit 的最新版本 3.0 （一种方便小巧、功能安全体贴，仅16进制功能比 UltraEdit等好很多）奉献给大家，功能上恰到好处，真正的高手必备玩物！以前有个2.14的流行好几年了，今天终于搞到更新。:lol

emca

http://www.china-antivirus.com/Html/zuixinbingdu/82327.html
这里的那个程序SystemSword 是怎么回事？作者也改为少爷了？