[sysshield]系统安全盾

wang6071 · 发表于 2005-9-11 21:55:35

[这个贴子最后由wang6071在 2005/09/11 10:49pm 第 1 次编辑]

下面引用由lj858155在 2005/09/11 09:02pm 发表的内容：
支持现在就是要添加启动选项很麻烦经常要加一个启动要重新启动一次程度还要删除一次yourset.ini才能加入
建议：能不能在启动被拦劫窗口中加入同意不同意

to lj868155:
  　您不会成天添加驱动吧？这样的话不如先关闭syssheild添加完再开(当然，得把锁定启动组选择的勾取消)．即便是没有选择清除锁定启动组前的勾，添加少量的服务时也不必删除yourset.ini文件，直接在对话框点确定就行了．（当然，也可不管它，默认就是确定的)，到了时间会自动添加进入yourset.ini中的．
偶上面的说明是指直接在原syssheild上升级的操作，新安装syssheild不必如此麻烦，因为本来就没有yourset.ini(这个文件在第一次启动时自动生成)

syssheild在启动时如果发现yourset.ini则自动生成这个文件,这个文件中包含了你的系统当前的启动信息及服务信息,并以此为依据来鉴别系统的启动或服务中是否新增了程序.
(如果在界面中选择了[锁定启动组]则当yourset.ini存在时,程序重启也沿用上次的yourset.ini文件.如果没有选择[锁定启动组],则程序重启后生成新的yourset.ini来取代旧的yourset.ini).
所以,根据这个原理,没必要每次手动去删除yourset.ini.未锁定时,重启就加入了最新的配置情况(当然,也就不会问你关闭期间系统发生了何种变化).
而锁定时,当发现现有配置与原来的配置不同时,则只需在拦截窗口点击"确定"还是"取消"(也就是你建议的同意与不同意)
注意:
[确定]按钮与不作操作等待30秒自动完成是相同的操作.(添加服务)
[取消]按钮与点击窗口关闭的[X]的作用相同.(删除服务)

wang6071 · 发表于 2005-9-12 12:42:17

下面引用由xubo1971在 2005/09/12 10:26am 发表的内容：
我试用了一下新版主程序，在询问是否添加服务时选择取消，结果不停的弹出对话框，也就是说如果不点击确定就不停的添加，直到你确定添加为止。
看来如果没有锁定服务项，那么询问是否添加服务的功能也就形同虚设　...

如果是这样就是一个Bug,稍侯我再测试一下,如果是这样就修正它.
先更新一下,进程显示页已可完全显示路径了,如果路径为空,则可能中了恶意程序,见下图及更新的主程序
[UploadFile=1_1126500101.jpg]
[UploadFile=1_1126500121.rar][UploadFile=2_1126500133.rar]

wang6071 · 发表于 2005-9-12 13:05:27

下面引用由xubo1971在 2005/09/12 10:26am 发表的内容：
我试用了一下新版主程序，在询问是否添加服务时选择取消，结果不停的弹出对话框，也就是说如果不点击确定就不停的添加，直到你确定添加为止。
看来如果没有锁定服务项，那么询问是否添加服务的功能也就形同虚设　...

刚才测试了一下,没有出现您报告的问题.如下测试:
1:用EruNT等工具备份当前注册表.
2:将syssheild的[锁定启动组]打上勾,然后退出syssheild.
3:将yourset.ini中的
  Dhcp=E:\WINDOWS\system32\svchost.exe -k NetworkService  删除
  (您的路径可能与偶的机器不同,我们用这个不太重要的服务测试一下)
4:重新启动syssheild,看到了弹出框,发现新增了Dhcp=E:\WINDOWS\system32\svchost.exe -k NetworkService
  点击取消,此时服务Dhcp已被删除
5:打开windows自带的服务管理器,已经没有了Dhcp服务
6:退出syssheild,用EruNT备份的注册表还原,重启机器
7:重启后syssheild再次发现dhcp服务的新增,这次点确定保存它.
如果您有哪个服务程序如上测试未成功,请报告您测试的方法,最好附上测试的程序,让我们来看看为什么会不成功.(另外,请下测新版替换一下主程序,因为昨天第一次上传时偶的浏览器死掉了,然后偶重新上传了一次,不知道上传的文件对不对)

wang6071 · 发表于 2005-9-12 20:52:13

[这个贴子最后由wang6071在 2005/09/12 08:53pm 第 1 次编辑]

to xdg3669 :
  其实酷宝也不应算是恶意程序,其卸载还是很彻底的．不过，它的安装程序正好做为了syssheild增强功能的试验工具．
  老版的syssheild不能删除酷宝是因为它的安装程序有一个先解压为监时文件，再重命名为正式文件的过程，偶修正了程序，检测安装程序的改名行为．
  所以，现在你可以在黑名单中定义一个kubao.exe来测试syssheild（用黑名单方式),也可以定义一个目录，如C:\Program Files\kubao\ (酷宝的安装目录)然后不设任何规则，并使用自定义来测试syssheild.
下面是新的syssheild的主程序：
[UploadFile=1_1126529515.rar][UploadFile=2_1126529527.rar]

wang6071 · 发表于 2005-9-12 23:14:18

[这个贴子最后由wang6071在 2005/09/12 11:27pm 第 1 次编辑]

下面引用由xdg3669在 2005/09/12 09:06pm 发表的内容：
阿！wang兄，正好增强了它的功能！-----辛苦了！
用黑名单时只删了kubao.exe,用自定义时空设置当然地删了！如果不设C:\Program Files\kubao\ (酷宝的安装目录)规则，我的模糊过滤、类型过滤应会删去*.dll等，但　...

[UploadFile=1_1126537680.jpg][UploadFile=2_1126537693.jpg]
虽然能够删除,现在发现某些情况下可能存在漏删除情况,原因有待查明
1:自定义时空设置可能在一次性创建文件太多情况下有漏删除文件情况(不能删除所有的文件)
2:而仅用类型过滤却没有漏删,但使用类型过滤与模糊过滤连用却存在漏删情况.
3:用黑名单也不存在漏删.
大家再观察观察,希望能尽快找到原因.
to lj858155:能不能添加一个功能隐藏任何应用程序窗口
能不能添加一个功能隐藏任何应用程序窗口 ,是何意思?显示桌面吗?windows系统自带啦.

wang6071 · 发表于 2005-9-13 21:11:21

先不说其它,更新先:
[UploadFile=S_1126616065.rar][UploadFile=S_1126616076.rar]
本次更新解决空设置时有漏删现象,至于复合设置是否在本次更新更新后还有漏删现象请各位兄弟帮忙测试(就用那个酷宝.exe安装程序就可试验了,不必担心垃圾,其卸载还是比较彻底的．偶已反复安装删除了N次了)
下面回复各位兄弟的建议：
to xubo1971:
  您说：我没有安装新软件，只是退出安全顿后，替换主程序然后重新打开它
  您没有仔细看我发布测试在554楼写的升级说明．
to xubo1971 :
  谢谢您对界面的建议，等有时间再做它吧．
to 転生の炎 :
  谢谢您的指证，本版已更证了打字之误．
to lj858155 :
  老板键还是找个其它程序来完成吧，偶还是不想把syssheild搞得太复杂．
to xubo1971:
　您说：若程序提供一到两个外部个接口，让用户能够自定义调用一些第三方工具（比如红叶的网络垃圾程序免疫程序等）就好了。
　syssheild本身就内置了垃圾免疫的界面,注意到<注册表工具>页了吗?那是可以自我添加的．添加的内容都存在inreg.dat中，格式与注册表导出的.reg格式相同，只是提供了分段等功能以便减少各做.reg优化文件的数量)
  至于：调整列宽的功能好像不能保存！
  是这样的，要保存太耗内力(偶没做过要完全从头开始写，虽然不难但偶的空闲时间并不多，所以请见谅．并且syssheild设计的目的就是要减少用户干预，并不成天对面这个界面，能省就省了吧．：　）

wang6071 · 发表于 2005-9-14 08:33:54

下面引用由xdg3669在 2005/09/13 10:06pm 发表的内容：
经测试：
1、空设置时已没有漏删现象,复合设置本次更新更新后也已没有漏删现象！
2、在启动项中有一注册表监视键，不知是监视什么项目？如为监视启动项，是否与其他键合并？

关于第二条，监视的是注册表中的run等键值(非服务性),此类键值一般删除不影响程序的运行（仅仅是自动启动要改成手动打开而以),比如QQ的自动运行,relone的自动更新等．
监视器对此类键值采用直接删除新增的方法，就是右下角跳出已删除XX键值的小窗口．
因为即便删除此类键值，要添加也很方便，关闭一下注册表监视，然后手动打开程序，大部份都有开机时自动运行的选项，手动执行一次就加入了．
采用自动删除的目的就是防止一些程序不通就悄悄地添加到开机启动中，不提示删除是让用户不受干扰，它不同于服务，服务删除了要重新安装程序才能加入，而这类键值一般运行程序后就能加入了．

wang6071 · 发表于 2005-9-14 12:43:28

to lj858155 :
  您说:希望能手动控制，方便在加入的时候重复工作。
  这个偶不会去改变它,因为经过长期实践,大部份的程序都不需要每次开机就运行.反倒是N多恶意程序通过开机运行对系统造成影响(N多菜鸟中招就是这么来的,给个选项并不见得他就会选择不在开机时运行).同时,偶也不希望一开机就打开数个程序耽误开机时间,占用系统资源及影响系统速度(偶总是在需要使用某个程序时才运行它)
  想想看,比如迅雷,BtXX等软件,在普通adsl拔号上网时开机还未拔号就试图联络网络对系统的影响您就会觉得开机就运行这些东西有多么不划算.

wang6071 · 发表于 2005-9-15 14:20:40

to xdg3669 :
  但旁边不是有一个锁定启动项吗，锁定后应把RUN启动项目也锁定吧！

这个锁定指的是不管是syssheild退出还是机器重启,都保证yourset.ini中记录的启动项不被新增.用了某些情况下关闭了syssheild后被恶意程序新增了启动或服务的情况下的检测.
to  lj858155 :
请原谅偶的固执,因为偶的菜鸟朋友经常犯偶说的那种低级错误,偶可不想天天跑去给他维护系统.
下面给出syssheild的主程序新的更新,本次更新解决[文件监控件]提示的显示(以前要单击才提示),及保存前必须保选择不出现才行的界面问题.
  [UploadFile=1_1126765214.rar][UploadFile=2_1126765226.rar]

wang6071 · 发表于 2005-9-17 08:30:15

下面引用由xubo1971在 2005/09/16 09:55pm 发表的内容：
最近我用Nlite精简Winxp，试了N遍都不成功，每次在NPC上测试都是安装时出现蓝屏。今日才发现是安全顿把NTDLL.DLL文件给删除了，难怪会如此!可是安全顿里文件监控设置的监控目录只有C盘呀。请问如何增加或者减少　...

虽然路径设置中只有C盘，但您的监控方式采用的是[黑名单]方式，而此方式时用黑名单来监控全盘，是不理会设置的路径的。（当然，你也可以是黑名单中临时将NTDLL.DLL删除即可)
所以，要达到你的目的，必须采用[自定义]方式来监控。

wang6071 · 发表于 2005-9-20 19:33:18

前不久用syssheild清除了一台已感染博采网摘的机器,经历有点曲折,写在这里给大家研究.
1:发现进程中buup.exe可疑,于是在进程显示页中关闭其进程,并按进程显示页中显示的位置在system32下删除buup.exe.
2:在启动组中将buup.exe的加载删除.
3:在黑名单中添加buup.exe时才发现buup.exe已经有了.
4:本以为这样就清理干净了,哪知开机后发现buup.exe还在进程列表中,并且syssheild右下角不断跳出自动删除新增启动项的窗体(楼上偶不愿改变这个原因就在此了).到system32下查看又找不到buup.exe,看来syssheild是工作正常的,但为何这个buup.exe还在不断产生呢?
5:上网查询,得知buup.exe是由bocaitoolbar.dll产生的,而bocaitoolbar.dll是加载到浏览器工具条上,由浏览器启动的,怪不得清除了buup.exe又反复生成并加载了.
6:于是先查找到bocaitoolbar.dll,然后在进程页中关闭buup.exe及explorer,并立即删除了bocaitoolbar.dll,终于将博采网摘清理出系统.
7:善后工作，将bocaitoolbar.dll加到黑名单中．(请大家在自已的黑名单中加入这个)
感想：
1:用syssheild是不用到安全模式下清理东西的（网上谈到的是要到安全模式下清除）
2:虽然用syssheild能够如上面的操作清理一些恶意程序，但仍然使用起来需要操作者有一定的用机经验，所以看来以后还得把这些IE工具条的加载加入到监测项目中才能第一时间预防恶意程序的入侵．
btw:现在不急于更新shsheild,再深入研究一下其它的方式，看看能否找到更简便更智能的监测方式．(syssheild截止9月20的更新已放到了偶的空间 http://wangsea.ys168.com
仅更新了一下说明，其它的如楼上的更新)

wang6071 · 发表于 2005-9-23 13:29:19

关于第二点说明中有提：
-----------------------------------------------------------------------
为避免长时间开机已删文件太多而占用系统资源，已删除文件部份显示的是最后200个文件的情况。
-----------------------------------------------------------------------

wang6071 · 发表于 2005-9-23 22:51:34

请大家看看,win2003为何出现不了IE工具栏呢?
说明:为了寻找一个简便的解决IE插件的问题，偶决定先关闭syssheild的监测(不关闭用黑名单方式会清掉3721的)，并安装上了3721上网助手,但发现了一个新问题：
[UploadFile=1_1127486622.jpg]
图一：请大家看看右下角的3721上网助手的标志,显然3721已经装上了.再看看偶的IE本地设置是中低，可是，IE工具栏空空地，没有任何东西．
[UploadFile=2_1127486837.jpg]
本图是用HijackThis扫描及偶的syssheild显示的启动项，可见3721确实加入了IE工具栏，但偶的IE却显不出任何工具来．
[UploadFile=3_1127486978.jpg]
这是用syssheild显示的进程项，请注意本图与上图中打钩的项目，均是3721的东东．

wang6071 · 发表于 2005-9-23 22:56:31

[这个贴子最后由wang6071在 2005/09/23 11:06pm 第 1 次编辑]

[UploadFile=4_1127487127.jpg]
这是用syssheild直接关掉3721相关进程的截图，可见3721的进程已经完全被关掉了．当然就不存在删除不了的情况了．
偶奇怪的是,2003系统的IE为何如此安全?直接连IE插件都不加载了．
(说明：偶用的win2003是偶自行精简的，不知是否是精简的原因．另外，IE的internet设置偶用的是自定，应该与工具栏显示与否无关)
不知哪位兄弟知道原因，偶想让IE工具条显示出来，以便让3721好好干活，才好用来做一个测试样本以便开发一个方便清理的工具(偶打算从进程分析开始来查寻软件启动的重要文件，这样才可以做成一个智能清理一切未知插件的工具)
现在的问题是偶的ＩＥ不加载插件就不太好摸拟环境了，有哪位兄弟知道原因就告知一声．

wang6071 · 发表于 2005-9-24 10:48:17

[这个贴子最后由wang6071在 2005/09/24 11:13am 第 1 次编辑]

找到原因了,原来是:
Internet选项——>高级——>浏览中——>“启用第三方浏览器扩展（需要重启动）”
未选中,看来不选中这个比较安全呀!
重新安装了3721,用上述步骤再次做手动删除,一样轻松完成了,没见到反复加载不可删除的情况,难道3721"从良"了吗?
哪位兄弟提供一个难已清除的插件的下载地址，让偶再试试．

wang6071 · 发表于 2005-9-26 20:53:58

re emca:
这几日放自已几天假,学习一点其它的东西,暂时没想修改syssheil,过两天就动手增加定时禁用功能.
同时,这两天研究了Hook的注入方式,找到了直接从Explor的线程中卸载dll的方法．下一版将增加直接从Explore中卸载dll的右键菜单(利用此方式就不必一定要杀了Explorer才能清除注入的钩子啦)．

wang6071 · 发表于 2005-9-26 22:34:38

[UploadFile=1_1127745053.jpg]
如图所示新版的特性,对于每个进程,其子线程现在都可卸载了．这样，任何钩子均可被杀．
当然，图示中杀掉的delphi的子模块后这个delphi进程也会同时被除数杀掉．而如是是Explore中的子线程(如果杀的是红色线程(即注入的模块)，则Explorer是不会被杀掉的)

wang6071 · 发表于 2005-9-26 22:50:56

给大家演示一个无进程钩子的实例
[UploadFile=1_1127746034.jpg]
注意:本图中的钩子是一个无进程钩子,进程列表中没有显示,注入了Explorer中
[UploadFile=2_1127746094.jpg]
这是一个清理后的截图
目前,本功能尚有一点小问题,就是第一次清除时会显示一个关机对话框,取消即可.另外,有时列表不能自动刷新,得执行几次[卸截线程]才完全清理出钩子．所以，暂不提供下载

wang6071 · 发表于 2005-9-27 23:22:45

[UploadFile=z1_1127834242.jpg]
本图中下面的列表代表选中进程的线程部份,也是可以安全卸载的.
注意:
红色部份是非系统线程，我们一般对此作操作．
对于进某些进程会因其线程的卸载而导致本进程的关闭．
对于注入Explorer中的无进程钩子线程，如果其注入是在syssheild加载之后的，一般是可以卸出的，但有可能你需要连续执行几次卸载线程．程序对此专门做了处理，会在10秒内连续不断地发送关闭信息给钩子线程（所以您会在发现会出现好几次等待漏斗)．但因钩子线程的特殊性，有可能不能卸出，可以尝试再次执行卸载线程．一旦成功，则窗口会立即最小化以通知完成卸载．
对于启动在syssheild之前的钩子，可以尝试多做几次卸载,实在不行也只有杀掉Exploer，但请不要退出syssheild,则再次加载的钩子就可卸出了．
[UploadFile=z2_1127834289.jpg]
右键菜单加入了一个方便安装而做的关闭监视的窗口．本窗口在显示的时侯则所有syssheild中定义的监视全部失效．同时，关闭时也会更新一次syssheild注册表监视名单．

点右上角的[X]和[退出]都是关闭窗口并重新开启监视．当然，如果你先关只使用了sysheild的一部份功能，重新开启也只启了这部份功能．
要下载完整的syssheild请到(程序及帮助已更新,黑名单用了gdlgh 兄弟最后整理的最新版)
http://free.ys168.com/index.aspx?wangsea

wang6071 · 发表于 2005-9-27 23:23:44

以前下载了sysheild的兄弟可以在此下载升级的主程序(仅主程序).
[UploadFile=S1_1127834608.rar][UploadFile=S2_1127834618.rar]

wang6071 · 发表于 2005-9-28 18:36:59

[UploadFile=3_1127903672.jpg]
谢谢xdg3669兄弟的测试,先修复Bug并做一个小更新
[UploadFile=s1_1127903741.rar][UploadFile=s2_1127903752.rar]
上面的是仅是主程序的更新,http://wangsea.ys168.com/ 上的完全版也步更新了.

wang6071 · 发表于 2005-9-29 19:26:40

[UploadFile=1_1127992653.jpg][UploadFile=S1_1127992670.rar][UploadFile=S2_1127992681.rar]
根据红叶兄的建议改了一下:时间改成了5秒倒计时,缩小了提示窗体积.另外加了一个不倒计时的按钮,主要用来照顾输序列号慢,选择安装项目慢的朋友.
请各位兄弟更新.
关于xdg3669 :兄弟提的将删除的文件备份,我考虑后觉得不太好处理:
因为sysheild的自定义是允许监视任意目录的(黑名单也是全盘监视的),如果备份目录刚好在监视之下,则可能发生死循环.即使让用户指定备份目录也可能发生这种意想不到的事情.而不备份删除的文件,做个日志意义也不大.

wang6071 · 发表于 2005-9-29 23:39:49

确实是偶搞错啦，谢谢红叶兄的提醒．

wang6071 · 发表于 2005-10-2 16:28:49

to xubo1971 :
关于重复添加到[启动]中有两个SysSheild,偶这里没有这个现象,重复点击添加到启动组中N次也只有一份syssheild.您可以尝试先删除[启动]中的syssheild后再次添加看看.
另外,一般来说,同名的文件重复操作只存在覆盖,不会生成两个相的文件.你看看那两个syssheild快捷方式的属性及文件名是否一样.(至于为保会有两个同名文件,可能的原因是您手动操作放了一个sysheild.exe执行文件而非sheild.lnk快捷方式到启动组中,请删除它们让软件自动生成)

wang6071 · 发表于 2005-10-2 20:39:25

下面引用由xsy在 2005/10/02 07:33pm 发表的内容：
我安装的最新版,点击添加到启动组,没有反应,开始___程序__启动中没有出现SysSheild,操作系统是windows高级服务器版,安装有卡巴斯基防火墙1.8版,不知道是怎么回事
以前的几个版本都不会这样

连续两位兄弟反映无法添加到[启动]的问题,真的有点奇怪(因为这一部份很久没有修改过了).我特意重新下载了一份试验,没有发现添加不上的问题,用633楼最后的更新替换了主程序又试,还是没有出现添加不上的问题.所以,请xsy及xubo1971兄弟如下试验:
1:关闭杀毒软件,添加一次,看是否是杀毒软件将它屏蔽了.
2:点击添加后如果没有反映,打开文件监控页,看是否是因为设置的原因将它删除了.(如果删除列表中有记录,证明是设置的问题)
3: 如果执行第二步后还是没有找到原因,请全盘查找syssheild.lnk文件,看生成的快捷方式到底跑哪去了.
4:如果还是没找到原因,请在syssheild安装目录下右击syssheild.exe,选择[发送到桌面],然后将桌面上的快捷方式拖到[启动]中看行不行.(这一步是看是否系统设置了某些权限使得无法生成快捷方式)

wang6071 · 发表于 2005-10-2 22:13:52

to xubo1971:
  原因很简单,你将程序syssheild改名了,当然会是两份,请仔细看您的贴图,一份是
syssheild, 另一份是sysshield  ,刚好是前面讨论的英文名拼错后,你自已改了程序名后重新刷新生成的快捷方式与老的快捷方式.

wang6071 · 发表于 2005-10-11 22:54:35

to xdg3669 :
  估计是软件的文件监视部份初始化失败所致.请退出软件并尝试重新启动软件来测试.
  另外,最近在学习VC6,在尝试将RegMon改写成Delphi版失败后,找到了BC高手snake的写的一个类似于RegMon的底层驱动,改写成Delphi版大有进展,目前还有一些问题未解决.
如果成功的话(因为偶学VC为省时间是乱看不成系统的,所以也不知道能不能成功),则软件可能会采用底层的驱动来监视注册表.
  下面是应用snake的驱动改写成Delphi后的一个测试截图,虽然还有些问题,但毕竞能运行显示了,改写成delphi的还是有一点成就感:)
  [UploadFile=hook_1129042372.jpg]

wang6071 · 发表于 2005-10-16 18:46:33

[这个贴子最后由wang6071在 2005/10/16 06:47pm 第 1 次编辑]

基本上将BC写的注册表[驱动级]监视改写成Delphi版的,主要部件功能都已移植成功
下面是截图
[UploadFile=1_1129459429.jpg]
下面是用Delphi写成的调用这个驱动的测试软件,各位兄弟可试试稳不稳定
[UploadFile=re1_1129459508.rar]
[UploadFile=re2_1129459518.rar]
一个想法:如果再把FileMon一起改成Delphi的,那就可以实现完全的驱动级监视啦.

wang6071 · 发表于 2005-10-24 18:35:39

[这个贴子最后由wang6071在 2005/10/26 07:14pm 第 3 次编辑]

感谢大家长久以来对偶的支持,送一个偶做的小软给大家
[UploadFile=1_1130149862.jpg]
说明:
  只支持常见的JPG,BMP文件,支持直接拖放,不点[保存]的也可运行,不过下次得重新加入图像文件
  请将显示属性中的[桌面]选单下的[位置]置为居中,这样不同大小的图按比例自动缩放而全图显示
  点击列表中的某项可直接更换,选中某项后按[DEL]可在列表中删除(不自动保存)
[UploadFile=C7BDD6BDD7D4D3C9_1130325279.rar][UploadFile=C7BDD6BDD7D4D3C9_1130325290.rar]

wang6071 · 发表于 2005-11-3 20:17:48

很久没有更新sysshield了,因为实在没有发现有什么好的改进方法.
sysheild还是有很多不足的,比如进程监视使用的是Toolhlp32调用,所以无法显示隐藏的进程(如rootkit).
对注入explorer的dll的线程卸载也没有好的方案．偶测试过如DLL三级跳的方式来卸载线程,虽然线程可以被轻松卸载,但Explorer也同时被关掉了．与直接杀Explore没有多大区别．
至于用前面提到的SnakeMon.sys的注册表监视方法，考虑到SnakeMon.sys是驱动编码，而偶又不会，出了问题无法查到是何原因,所以不打算改进为SnakeMon.sys的监视了．
最近常到几个较底层级研究后门，木马的网站上看贴子，越看越觉得自已懂得太少了．还有不少的知识需要学习．所以也没做sysshield的更新(http://free.ys168.com/index.aspx?wangsea上最后的更新是10月28日，更新的是程序名，文件监控页设置单项多选时丢失的BUG，进程监视页将允许杀除的svchost开放了．而针对如rootkit类的隐藏木马暂时未找到好的方案．找到的方案要不是太底层，要不就是针对一定的版本，或是不具备查找其它类型的隐藏木马)
所以，对中招后使用sysshield的移除功能偶可能需要一段较长的时间学习后再改进．

		自动登录	找回密码
密码			注册