[sysshield]系统安全盾

emca

沁园春·流氓

深山红叶步韵  EricXP(karlamy)

网上风光，千机毒霸，万千马跑。
望系统内外，流氓莽莽；
杀软装卸，顿失滔滔。
3721，雅虎百度，流氓赤膊试比高。
强奸后，看系统混乱，分外妖娆。

流氓如此霸道，引无数高手竞折腰。
惜诺顿32，略输文采；
江民瑞星，稍逊风骚。
一代天骄，卡巴斯基，欲与流氓再拥抱。
俱往矣，数风流人物，Wangsea 独笑。

emca

大家不用就无关痛痒的问题过多浪费Wangsea兄弟的注意力了。一切以实用为标准！

emca

开关机脚本：
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
一般系统中无此键值，只有设置过组策略才有。因此可以一律删除此键值！

命令行自动运行：
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
上述位置可以有一个 autorun的键项，默认是空白。如果有内容，则执行CMD时会自动执行键值内容。

另，Syscheck在检测一种病毒时无法显示病毒进程和自动启动项目。病毒名为 Ctfmon.exe、隐藏位置在回收站（由磁盘根目录Autorun.inf激活）、加载位置在C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\，直接把病毒文件而不是快捷方式放到启动组中。因此同时具有两种加载方式。本人是凭经验和直觉，发现回收站文件不能删除后跟踪发现的。

[ 本帖最后由 emca 于 2006-9-16 10:05 PM 编辑 ]

emca

服务信任列表的提示中，最后一句有错：“将不在显示”应当为“将不再显示”

emca

共享一下我机器中的可信服务列表。

emca

首先，信任列表是有用的，可以让我们快速对当前服务状态有一个初步过滤参考；
但再好的工具也在乎人用，如果你认为直接用信任列表即可解决一切问题，那样倒不如重装系统来得直接。
Syscheck 是同时兼顾菜鸟和高手两类人群的工具，对于高手，要解决的是如何最大限度节省处理故障的时间；对于菜鸟，即可快速解决，也可手工逐项处理以学习一点最基本的系统知识。

当前本人处理得最多的就是利用 Autorun 功能实现激活的病毒，对于没有经验的用户，格式化C盘都无法解决问题！今天我自己也在处理一台机器时，忘记对E盘一个分区进行查杀处理，结果不小心又把病毒激活了！因此，能否在启动 Syscheck 时，默认禁用掉系统的 Autorun 功能？那东西实在烦！使用光盘或U盘时，自己打开一下资源管理器难道就那么困难吗？

尤其是最近的利用 Autorun、结合回收站目录可能不被纳入杀软扫描视线、并且通过移动设备自动感染的病毒，在扩散能力上虽然不比冲击波来得快，但扩散后绝对顽固——因为根本不可能做到全社会的所有人对所有移动设备进行杀毒处理！因此交叉感染、屡除不尽，越感染越多。这种公开的漏洞才是最可怕的，就象中国的管理体制，互联网让人无法无天，美国要灭亡中国，只需将雅虎助手自动升级一下就行了，到时全中国所有上网电脑全部瘫痪，二炮都没有机会出手，国民经济就完蛋了（大家想想千千万万的办公室、办事处的电脑不能使用会是什么样子吧！），但根本没有人管，政府还在那儿心安理得！

emca

建议：添加一个免疫移动磁盘自动激活病毒的免疫功能（创建一个Autorun.inf的隐藏目录，其下面再创建一个带有“ .”号的目录以防止删除 ）。毕竟移动磁盘目前已经成为非常突出的一个交叉感染源。
以下是我制作的免疫脚本，供参考。
另外，发现在一种Autorun病毒仍然在运行时，脚本中的处理无法执行成功，因为病毒对 Autorun.inf 进行了保护，连改名都难。因此最好在处理时检测是否处理成功。目前我下面的脚本并没有检测是否操作成功的功能。

@Echo Off
color 9f
REM title 移动介质病毒免疫工具
:reg
Rem 无条件禁止自动运行特性防范病毒
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveAutoRun /t REG_BINARY /d ffffff03 /f>nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul
reg add "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul
reg add "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul
reg add "HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul
reg add "HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul

:menu1
cls
Echo.
Echo.
Echo                        磁盘 Autorun 病毒免疫工具  By 深山红叶
Echo.
Echo                移动磁盘容易受到利用移动设备的自动运行特性而感染和发作的病毒
Echo                的侵袭，而我们无法保证其他的机器中没有这类病毒。
Echo.
Echo                本工具可对移动磁盘进行特别的免疫处理，使得它的自动运行特性完
Echo                失效，从而避免带毒的移动磁盘插入本机后病毒立即自动执行。
Echo                当然，您也完全可以对硬盘分区进行免疫处理。
Echo.
Echo.
Echo                [1] 免疫当前系统中所有磁盘
Echo                [2] 只免疫指定磁盘或移动磁盘
Echo                [3] 退出
Set Choice=
Echo.
Set /P Choice=         请输入要执行的操作，然后按回车：
Echo.
If '%Choice%'=='' goto other
If /I '%Choice%'=='1' GOTO alldisk
If /I '%Choice%'=='2' GOTO setlet
If /I '%Choice%'=='3' GOTO end
Goto menu1

:alldisk
Echo.
Echo                正在免疫！可能需要一小会时间，请稍候……
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls %%a:\autorun.inf /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do attrib -s -h -r %%a:\Autorun.inf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do Del /F /S /Q %%a:\Autorun.inf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do md %%a:\Autorun.inf\>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do md %%a:\Autorun.inf\病毒免疫目录不要删除！..\>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do attrib +s +h +r %%a:\Autorun.inf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls %%a:\autorun.inf /C /P everyone:R>nul 2>nul
cls
Echo.
Echo                当前系统的所有磁盘已经成功地进行了自动运行病毒免疫！
Echo                任意键退出……
pause>nul
goto end


:setlet
Echo.
Echo                请插入移动磁盘，确定盘符已经分配完毕后，任意键继续……
pause>nul
Echo.
Set Choice=
Set /P Choice=         请输入要免疫的移动磁盘的盘符，如 F: 然后按回车：
If '%Choice%'=='' goto setlet
echo Y|cacls %Choice%\autorun.inf /C /P everyone:F>nul 2>nul
If Exist %Choice%\Autorun.inf Del /F /S /Q %Choice%\Autorun.inf>nul 2>nul
md %Choice%\Autorun.inf\>nul 2>nul
md %Choice%\Autorun.inf\病毒免疫目录不要删除！..\>nul 2>nul
attrib +s +h +r %Choice%\Autorun.inf>nul 2>nul
echo Y|cacls %Choice%\Autorun.inf /P everyone:R>nul


cls
Echo.
Echo                指定的磁盘　%Choice%　已经成功地进行了病毒免疫！

:other
Echo.
Echo                [1] 继续免疫其他的磁盘        [2] 退出
Set Choice=
Echo.
Set /P Choice=         请输入要执行的操作，然后按回车：
Echo.
If '%Choice%'=='' goto other
If /I '%Choice%'=='1' GOTO setlet
If /I '%Choice%'=='2' GOTO end
Goto other

:End
cls
Echo.
Echo                友情提示：
Echo                如果系统中已经感染了打开磁盘分区即自动运行的病毒，请用本工具
Echo                对所有磁盘进行免疫处理后，立即重启计算机，然后这类病毒就不会
Echo                在打开磁盘时自动运行了。此时只需直接删除病毒文件即可！
Echo.
Echo                任意键退出……
pause>nul
Exit


-------------------------------
至于删除可疑木马文件，处理流程初步考虑如下：
首选提醒用户关闭所有工作窗口。确定后，首选由程序试图关闭桌面已经打开并处于显示状态的窗口。这点非常重要，可给后面的判断带来极大方便！
1.将所有可能自动运行的位置的值收集到一起，其中有多条路径和文件名；
2.对上述条目进行判断，只要不是系统启动所必须的EXE文件，一律杀除进程；
3.对于Windows目录及子目录中加载的 EXE，除系统必须的几个外，一律重命名（此时被误杀的只有极个别的鼠标驱动等可能从Windows目录加载的程序）；对于以Rundll32加载的模块，一律重命名（或删除到回收站）；对于注入到系统关键进程中的隐藏进程，如果加载路径在Windows目录及子目录，则一律卸载模块并改名；
4.对于Program Files目录中的EXE模块，如果在Program Files的根目录，则一律清除到回收站（误杀的只有极个别菜鸟把所有应用程序都安装到程序目录的情况。那种人通常反正是死，不在乎误杀一次）；如果在程序目录的子目录，则改名（由于已经关闭所有用户窗口，因此误杀日常工作程序的可能性几乎就是0，只有极个别的情况下可能导致误杀，一时还真想不出来关闭所有窗口后必须存在的EXE的关键进程。我的机器上只有笔记本触摸屏驱动程序被我安装在程序目录。结束后也并不影响使用）。
5. 对于回收站和系统还原目录（需要系统权限），由于正常删除的程序全部是以D开头，因此非D开头的EXE一律直接删除；其他EXE程序，如果不怕速度缓慢一点的话，可以将文件名在回收站的info文件中搜索，如果能够匹配，则是正常的删除的文件，否则一律删除。
6. 所有C以后磁盘的根目录的Autorun功能：先禁用系统注册表中的自动运行功能（不要手软！菜鸟再菜，打开磁盘的操作并不复杂！与屡次中毒、时时受威胁相比，这个代价实在太值得！）；然后检测所有非只读介质中的Autorun.inf并删除，然后创建假目录免疫之（当然设置为系统和隐藏属性。方便时可设置访问权限）。由于前面已经结束了所有可疑进程，因此病毒的守护功能会失效，这些操作可一次成功的。最后，把注册表中的Mountpoint2键值删除一次以避免有病毒修改了磁盘的打开方式。

上述操作，很多信息可借助现有的已经收集到的资料，技术难度虽然有一些，但可以慢慢一步步实现。

说得不妥之处还望大家指正！

emca

另，Wangsea在完成上述功能后，可以考虑做一个英文版本，放到国外，赚点美元去！因此前期功能实现后，可设计成资源模式，以便于翻译成多语言传播。

emca

那是典型的带“.”的文件，普通方法无法删除。以下是解决方法：
1. 使用深山红叶PE工具盘中“密码破解”类别中的“特殊目录访问管理”工具，可直接删除这种文件；
2. 进入命令行，再进入到桌面所在的目录，输入
dir /x
可看到带点的顽固文件对应的真实的8-3格式的文件名，然后用 del XXXXX 的命令格式删除（这里的XXX用真实文件名替换）。
3.最好追查一下产生这个文件的原因。如果上述办法仍然不能删除，则可能是内存中有病毒进程，请试图逐一结束可疑进程后反复删除测试，看看是哪个可疑进程搞的鬼。

emca

可疑文件清除功能基本无效。
上午测试一台中了ctfmon.exe的机器，它会自动在移动磁盘根目录生成Autorun.inf，病毒体在回收站，同时在用户“启动”目录实现自动加载。但如果病毒在内存中，则由于其自动修复功能，会导致清除功能失效，手工清除也会立即被修复。只有手工结束病毒进程后才能真正删除。由此可见，病毒对文件操作的函数入口进行了接管，看来得就此改进一下可疑文件清除功能的处理方式了。

emca

尝试在Windows 2000 环境修复 Winsock，但重启后也出现不能上网的情况。当时用LSP发现Windows2000的Winsock2模块似乎与Windows XP不一样，但由于不是自己的系统，因此不好详细检查对比。希望装有Windows 2000的兄弟把它的Winsock2键值导出比较一下，是否存在不同？

emca

安全盾与Winpooch工作模式有所不同，设计理念也有所不同，不能说谁取代谁。另外，安全盾的定制方式更加方便，特别适合一般用户使用，这点是Winpooch远不能及的。

emca

流氓软件及反流氓软件的技术分析

--------------------------------------------------------------------------------
www.hackbase.com 阅读: 时间:2006-9-20 4:51:40 来源:www.hackbase.com  

流氓软件的技术五花八门，任何一项功能都有可能成为流氓技术，就象武器，用好了可以伸张正义，用歪了却成为罪恶的帮凶。
首先我从win32下的一些流氓着数分析开始：
1。我想做为一个流氓软件，首先要做到的是实时运行，譬如在注册表的run下，在boot下增加它的启动。这应该是比较老的方法，以前 3721好象就是在run下，但是现在一般的人都知道了。
2。作为流氓软件，已经改变了以前一些木马的特性了，他没必要使自己一定要实时启动了，而是需要自己的时候再启动，譬如说打开一个浏览器窗口，这是一般流氓软件的方法，因为他需要连上网才能有利益可图，所以浏览器肯定是流氓软件必定监控的进程。
3。使用BHO插件,这种技术早先特别流行，这是微软提供的接口，本意是让IE浏览器可以扩充功能。每当一个ie浏览器启动的时候，都会调用BHO下必要的插件，流氓软件就是利用这一点。监控了浏览器所有事件与信息。
4。还有最笨的办法就是利用进程快照监控进程，判断有它自己所监控的进程启动，就使用atl得到浏览器指针，从而监控浏览器所有事件与信息。
5，还有一种方法就是使用spi，这是我在网上看到的。spi是分层协议，当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。从而监控用户信息，而且能实时启动。
6。hook方法，hook技术可以所应用太广泛了，特别是监控方面。所以流氓软件也不会错过。首先应用的是api函数hook，譬如windows核心编程里的apihook类，或者微软的detous都可以完成，两者方法其实相同就是修改IDT函数入口地址。api hook钩住createprocess 就可以监控进程，比进程快照性能更强，可以钩住spi下的函数可以完成spi下的所有功能。还有消息hook，鼠标消息，键盘消息，日子消息等等钩子，方法实在太多，都可以利用。
上面列举了一些流氓软件的使用方法，但是流氓软件的一个特性是他无法卸载。所以它又要使用下面的方法了
因为上面的很多方法都可以删除注册表卸载他们，那怎么办呢，那就会时时监控，它会在它的进程，或者线程里监控注册表项，设置一个循环监控，发现没了就继续安装，增加。我想这应该是很多流氓软件的技术。
那现在又出现了一个新问题，那就是流氓软件的进程线程要是结束掉怎么办呢？？？看西面
7。一种方法就是上面的api hook技术，钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确，使用这种方法，用户或者一般的软件就无法结束它的进程了。
8。还有一种是上面象bho,spi根本没有进程。一般的用户也无法删除他
9。还有一种方法是远程线程，这个技术用的也很普遍，首先是象api hook一样向目标进程里申请一段内存空间，然后使用自己映射过去，然后使用CreateRemoteThread创建远程线程。一般很多流氓软件或者以前的一些木马程序，都是把线程注入到系统进程譬如explorer,service等等，使用用户或者一般的杀毒软件很难处理或者结束。。
10。注册成服务后，也可以简单的隐藏进程。还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
从我上面列举的方法已经差不多可以形成好几款流氓软件了。但是你别高兴太早，因为这些技术只是应用层的，现在出现了一堆驱动层的反流氓软件工具，譬如超级兔子，完美卸载，木马克星，雅虎助手，还有现在火热的360安全卫士。
这些反流氓软件的方法删除以上流氓软件软件就比较简单。优先于流氓软件启动，截获所有访问流氓软件文件的irp，然后删除注册表项，删除文件。轻松的完成了反流氓任务。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
为了针对这些反流氓软件，流氓软件出现了内核层的了。
1。首先是使用文件过滤驱动，保护自己的文件，流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp，从而有效的保护了自己的文件。
2。内核级hook技术，可hook住所有公开的或者未公开的内核函数，譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。
3。驱动层下的流氓软件还使用内核级hook技术，替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表
4。利用内核级hook技术还有隐藏进程，或者监控进程，重起进程。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。因为同是驱动程序相互拦截irp等于大家都无法操作，反流氓软件工具的删除irp会被拦截，或者删除函数会被替换。删除注册表函数会被替换。虽然驱动的加载有先后，但是无法保证能完全的删除流氓软件，从而出现了一些更顶级的反流氓软件，他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。这类流氓软件又能有效的完成了反流氓任务，但是根据我了解，这样的软件不多。现在火热的360安全卫士都还只是使用了笨办法，优先于驱动流氓软件启动，创建一个驱动流氓软件同设备名的设备，，使流氓驱动创建不成功。具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面，就是简单的ndis就能优先于360启动。如果前面的组，那360就束手无策了。所以对付这类流氓驱动只能用直接发irp到文件系统。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
流氓软件又怎么来防止直接发irp到文件系统的反流氓软件呢？rootkit,我看很多对于rootkit有误解，很多都认为hook也是rootkit.呵呵，rootkit说白了就是嵌入操作系统文件。你不是发irp到文件系统吗？，可是我把文件系统给改了，不过rootkit根据我的观察unix或者linex下比较多，在windows下还是比较少的，因为需要使用汇编了，哎太晚了，不写了，我想如果流氓软件做到这个技术程度，它也没必要做流氓了，直接做操作系统得了。

emca

Winpooch 新版本我反复测试了，兼容性比旧版本还要差劲！
但Winpooch中的规则定义有一点值得学习的。它对路径和文件名支持通配符，而且支持两种，一种是只支持本级路径匹配，一种是支持全路径匹配。这样在制定规则时灵活性能够大大增强，同时防护的针对性也更好。

emca

我记得安全盾最早期的版本就是支持自定义注册表监视的。可能是Wangsea把它在后来融合到程序内部了。
因此，顺便提醒Wangsea兄弟把新近我们在测试Syscheck时收集到的注册表自动加载项目检查一下，看看是不是比以前的有所增加（好象增加不少键值）。

以下共享我的最新规则。

emca

顺便共享一下本人制作的磁盘自动运行病毒清除免疫脚本程序。
功能：清除、免疫U盘或硬盘中利用Autorun功能激活和传播的病毒。支持目前已知各种同类病毒的杀进程、免疫。尤其是采用了独创的简单技术实现了U盘和移动磁盘的免疫——而这是杀毒软件所无法做到的，因为单纯的U盘自身并无防毒能力，就算拷贝一个杀毒软件随盘携带也不能解决问题，因为插入即可激活病毒。其中需要补充一些同类病毒的自动加载方式，有能力的兄弟可看看并继续帮忙提供相关病毒的感染和加载位置、文件名等信息。

emca

建议添加以下监视键项：
开关机脚本：
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
Load等：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
各种Run：
SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
ShellExecuteHooks：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
命令行自动运行：
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
COM（以下两项必须同时监视！下同）：
HKEY_CLASSES_ROOT\.com
HKEY_CLASSES_ROOT\comfile
TXT：
HKEY_CLASSES_ROOT\.txt
HKEY_CLASSES_ROOT\txtfile
REG:
HKEY_CLASSES_ROOT\.reg
HKEY_CLASSES_ROOT\regfile
外壳服务对象预加载:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
应用程序映像映射：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

以上是我发现预置中没有处理的键项，供参考！同时也请大家查对是否还有遗漏。

emca

虽然Syscheck不能禁止创建目录，但目录规则中的目录即使创建成功了，里面也无法植入任何文件。只是多个垃圾目录让人不爽而已。

emca

根据本坛及其他论坛的一些反馈，添加了几个关键流氓特征。

对付流氓病毒目前最可靠的办法仍然是目录和文件免疫，并采用NTFS文件系统。由于安全盾在安装程序时，虽然也可由用户分为信任和不信任的程序，但对于信任级别的划分仍然没有一个具体的标准的，没有实际安装之前谁也弄不准网上的东西是否有害！因此，仍然存在有漏网之鱼的可能。因此目录免疫既不占用资源，又可有效对付捆绑安装。

因此这里把安全盾最新规则贴上来，也请Wangsea兄弟同步更新一下。

另外，为方便大家进行目录免疫，昨晚连夜做了一个目录免疫的新脚本RogouDead.rar，用WinRAR解压后即可看到脚本内容。现在采用的是黑名单文件列表的方式，几个典型的目录中的流氓病毒特征目录和文件都分别放在不同的文本文件中，因此你可以随时添加新的免疫特征（添加前搜索一下是否有这个字符串，即可有效避免重复）。维护这些特征列表已经极其方便了！其中的注册表就没有免疫，因为文件不能进来了，就算添加几个注册表键值也只不过增加一点无用的垃圾而已，清理也非常容易（没有病毒的保护。起码在中毒后再重启后清除一点问题都没有）。

另外，在测试播霸时，发现我主动植入的流氓病毒中，有两个驱动用 Syscheck 能够在服务中查看到，但无法中止、禁用和删除！它们是 Drivers\fsprot.sys和Drivers\moprot.sys。试用其他工具如由流氓老大制作的“360自殴工具”（即360安全卫士）等也不能清理。最后使用最新的 Windows 优化大师中的恶意程序清除工具，倒是一次性干掉了，也不需重启！这 叫牛啊！希望 Wangsea 研究一下它是怎么实现的。

]“杀毒”厂商对“流氓软件”宣战  http://news.cctv.com/society/20060922/102588.shtml

[ 本帖最后由 emca 于 2006-9-24 09:27 AM 编辑 ]

emca

发现一个有关SSDT恢复的讨论，其中有人提出：HOOK NtOpenSection..........上面方法就失效了

http://bbs.zndev.com/htm_data/16/0606/112837.html

emca

360safe驱动程序用的API
http://bbs.zndev.com/read.php?tid-116911.html

逆向分析360safe的驱动部分源码
http://bbs.zndev.com/read.php?tid-116936.html

高级WIN2K ROOTKIT检测技术
http://bbs.zndev.com/read.php?tid-116843.html

emca

MD5 没有太大价值。那个可信列表仅仅只适合自己熟悉或相近的环境，让程序有点个性化，方便日常使用。我分别处理过多个不同环境的机器，发现很难让可信列表做到到处适用的。其实，有一个不显示微软服务的功能就已经足够了！

只是在使用中感觉有一个小小不便：在“进程管理”和“活动文件”中，不能右击查看对象的属性。而查看属性往往是非常有用的。希望考虑一下。

emca

上面那个东东试了，不管其技术是否比Syscheck要高，但其可用性极差！要知道Syscheck的各种贴心小功能是无数兄弟测试反馈和建议的结果！通常程序员只会以自己的眼光看问题，把用户都看成高手，因此仅有程序员是绝对做不出好软件的。我看那个东东早的很！

emca

没有发现上述问题。

emca

对了，我发现植入到系统目录中的病毒文件中，80% 都可能被压缩加壳，而正常的系统文件一般是不会加壳的，因此仿冒的微软文件也仍然会露出马脚。而是否加壳是能够判断的（而不是判断加的什么壳），根据这个是不是也有一些借鉴用处？大家把自己收集的样本检测一下，看看是不是加壳了？

emca

Syscheck 小BUG：
检查活动文件时，如果病毒直接把EXE放在启动组目录，则能够检测并显示删除成功，但刷新后却没有清除（内存无病毒进程保护情况下）！必须手工在启动组中删除病毒EXE文件。可能是忘记对启动组的文件删除做处理，只处理了注册表中的。请修正。

emca

1、启动项免疫将改进；
2、Syscheck 对于启动组目录中系统、隐藏、只读属性的文件不能清除。可能是删除方法不够强劲：）

emca

磁盘自动运行免疫工具修正。
能够处理所有磁盘和特定磁盘；能够结束典型同类病毒进程；能够自动清除隐藏在回收站的病毒文件（变态：部分病毒居然设置了NTFS权限！）；能够修复磁盘打开关联；能够选择性禁止除光盘外的磁盘分区的自动运行特性。

emca

卡巴斯基就那个德性。中看不中用。杀除典型病毒是它的本身职责，但占用太多资源则是它的不是（病毒的特征之一也是耗费用户的资源，因此卡巴斯基也不算什么好东西！）。用户太厚待它了！你看众多的流氓病毒，卡巴斯基能够杀掉一个么？而且还与某些流氓病毒展开合作！
对于杀毒软件，我算是彻底丧失信心！看来安全界洗牌的时刻到来了，杀毒软件将面临空前的信任危机？！

emca

下午花两个小时处理一台中了 49 种流氓病毒的机器。这是我有生以来见过的中毒最厉害的一台机器！其清除难度大家可想而知，本应当彻底重装的，但杀掉流氓的快感占据了上网，于是折腾，最终非常成功！但也发现，仍然有几个流氓病毒在正常模式下用Syscheck无法以任何方式处理掉，后来是在安全模式、通过文件改名、文件延迟删除、结合优化大师的杀流氓模块的使用，才终于彻底杀掉所有流氓病毒！看来优化大师有些优点值得分析。