[sysshield]系统安全盾

wang6071

[这个贴子最后由wang6071在 2005/10/10 10:41pm 第 6 次编辑]

软件下载请到:
http://free5.ys168.com/?wangsea

一般来说,如果上面更新地址下到的[系统安全盾]是比较稳定的版本.如果软件更新,一般是在本贴最后先给出主程序测试,稳定后再上传到
http://free5.ys168.com/?wangsea

如果您好对本软件有好的建议,请在本贴后贴出您的建议.

目前软件性能稳定,功能基本成熟，已不开源，请不要再提类似问题．

完整安装包及程序使用说明请单独到偶的空间下载,本贴仅提供覆盖更新文件

[ 本帖最后由 wang6071 于 2006-9-22 11:40 PM 编辑 ]

emca

这里提供本人添加的一些监视项目，不知道格式是否正确，请兄弟指教：
; 深山红叶提供
; 启用系统文件保护：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=SFCDisable
rval=00000001
; 保护系统初始化程序
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Userinit
rval=%SystemRoot%\system32\userinit.exe,
; 保护系统外壳
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=VmApplet
rval=rundll32 shell32,Control_RunDLL "sysdm.cpl"
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Shell
rval=%SystemRoot%\Explorer.exe
; 防范恶意程序彻底隐藏文件（开启显示隐藏文件也不行！）
rem 防范恶意程序彻底隐藏文件：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=CheckedValue
rval=00000000
;
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=ValueName
rval=Hidden
;
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=DefaultValue
rval=00000002
;
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=HKeyRoot
rval=80000001
; 防范命令行自动运行参数被添加附加程序：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
rkey=AutoRun
rval=
; 防范以登录或注销脚本形式自动加载恶意程序：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts
rkey=
rval=
; 修正和防范启动组位置重定向：
root=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
rkey=Startup
rval="%USERPROFILE%\「开始」菜单\程序\启动"
; 防范通过 load 或 run 自动运行恶意程序和更改可执行文件类型：
root=HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
rkey=load
rval=
root=HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
rkey=run
rval=
;保持pif文件的打开方式
root=HKEY_CLASSES_ROOT\piffile\shell\open\command
rkey=
rval="%1" %*
;保持inf文件的打开方式
root=HKEY_CLASSES_ROOT\inffile\shell\open\command
rkey=
rval=%SystemRoot%\Notepad.exe %1
;保持hlp文件的打开方式
root=HKEY_CLASSES_ROOT\hlpfile\shell\open\command
rkey=
rval=%SystemRoot%\System32\winhlp32.exe %1
;保持cmd批处理文件的打开方式
root=HKEY_CLASSES_ROOT\cmdfile\shell\open\command
rkey=
rval="%1" %*
; 取消碎片文档类型：
;原始键值：rundll32 %SystemRoot%\system32\shscrap.dll,OpenScrap_RunDLL %1
root=HKEY_CURRENT_USER\ShellScrap\shell\open\command
rkey=
rval=
; 防止恶意 DLL 与 Explorer 链接加载：
root=CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
rkey=
rval=%SystemRoot%\system32\webcheck.dll

wang6071

安全盾自定义规则说明：

  1:本级目录下不创建任何文件:全选X即可。

  2:本级目录及其子目录下都不允许创建任何文件：监视子目录打勾，其余打X。

  3:设置一个免检目录：勾选免检，其余打X。

  4:对某个目录使用免检列表，不在列表中的文件不允许创建：勾选免检+子目录,其余打X。

  5:自定义规则更改后必须应用设置才会保存，监控级别必须在自定义监视上才会有效。

组合应用示例：

  以下设置对应路径 子目录 免检  黑名单  模糊  类型
  (以下由文字代表选择√，未先择的用X表示)

  c:\                        规则:X X X X X
  这条设置是C:盘根目录下不允许创建任何文件，子目录不受影响。
  C:\Program Files\          规则:X X X X X
  注意，全X设置不能继承，所以我们对于c盘的子目录Program Files设置了一个相同的设置。

  但有的用户觉得对于c:\Program Files\设为不允许创建任何文件，要安装文件时自已切换到安全盾的
  安装模式中安装，所以对此目录可设置更严的规则
  C:\Program Files\          规则: 子目录 X X X X
  这样设置后，使用中发现C:\Program Files\KV2005\的病毒库升级在受到了影响，所以
  下面将Kv2005目录设置成免检目录。
  C:\Program Files\KV2005\   规则: X 免检 X X X
  

  c:\windows\                 规则: 子目录 X X X X
  对于windows目录，我们不希望有任何写入,上面的设定可实现这一点。可以，假设我们有一些程序需要
  写 runlog.log这个记录文件到c:\windows下时又如何办呢?
  我们需要先将runlog.log添加到免检文件中，再如下设置：
  c:\windows\                 规则: 子目录 免检 X X X
  这样c:\windows\目录下可以创建runlog.log,其它文件一律不允许创建。当然，如果我们想管理得宽松一
  些，比如使用只不允许创建类型过滤指定的文件时，可以选择：
  c:\windows\                 规则: 子目录 免检 X 类型  
                              或者: 子目录 免检 X 模糊 X  等.  

  c:\windows\temp\             规则: 子目录 X 黑名单 X X
  这个就简单了，对整个临时目录temp使用黑名单过滤。

  除了全X选项外(全X来能继承)，其余规则是可以继承的即：
  c:\windows\              子目录 X X X X
  c:\windows\Fonts\        子目录 X X X X
  第二条设置相同规则就是多余的了，因为子目录Fonts不设置时可以继承父目录c:\windwos的设置。


                                                                    wangsea 20060921

[ 本帖最后由 wang6071 于 2006-9-21 11:05 PM 编辑 ]

紫狐

没想到那天只是提了一下，兄弟这么快就发布新版和提供源码，感谢wang6071提供这么好的软件和源码！测试中！

emca

兄弟是最好的原创者之一，佩服！佩服！佩服技术也佩服人品！今天过节，顺便祝兄弟节日快乐，老婆成群：）

emca

如此原创和奉献，版主置顶吧！！！

emca

很高兴地试用。我不擅长编程，但提几点建议：
1、“当前启动项”的内容框建议改为自动显示横向和纵向滚动条，以方便长路径地查看；
2、“进程监视”中建议添加进程文件对应的路径，则查杀恶意程序时更加方便、实用！而且也是必需的。
3、对于属于系统本身的关键进程，能否以不同颜色显示？如果文件名及所在目录与系统中默认的一致，就可以以绿色显示；其余的以红色显示。如何？
4、“杀进程”功能，如果能够改进一下，改成前面带有复选框，用户可选择多个进程，然后一并查杀，以解决恶意程序的守护进程常规情况下无法关闭的问题；
其他的临时想到临时再提。谢谢！！

emca

请教：
对于 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor 这样带有空格的键项名称，是否直接写入？还是要用引号括起来？

紫狐

简单的看了一下，wang6071的编程水平不错，但是我觉得使用Easysize控件的作用不大，建议去掉，这样在一定程度可以减少资源的占用，由于我对Delphi还不是很懂，而且也没有详细的细读程序，所以想问一下，兄弟是不是以发生消息来进行检测的？另，我看到程序里面有使用到Time控件，是不是程序检测是以时间为间隔来进行检测？如果是，这样的效率会不会低了些？不知道用HOOK来写会不会好些？有说错的地方希望wang6071兄弟指正。

runningpig

想看看源码，给一个是否可？zjlahfzx@sina.com

pyqkgd

下载试用了一下,很好用.希望功能更强一些,例于能够例出注册表中启动项.

wang6071

非常感谢各位朋友对本软件的关注及测试。昨天过节，没看贴子，现在回答各位兄弟的对软件的提议
首先回答红叶兄的建议及关于userset.ini的写法问题：
emca兄的建议:
  1、“当前启动项”的内容框建议改为自动显示横向和纵向滚动条，以方便长路径地查看；
  其实可以自动横向与纵向的,实在不行还可以最大化窗口看.主要原因是使用了一个鸡肋控件Easysize,下一版将去除它(以前用它只是为了适应各种不同分辨率下窗口不变形,不过现在看来效果并不好).

  2、“进程监视”中建议添加进程文件对应的路径，则查杀恶意程序时更加方便、实用！而且也是必需的。
  因"进程监视"在win9x可显示完整路径及文件名,只是在NT系统如任务管理器一样无法显示路径及文件名,不过好象这个问题还是有办法解决的.
  3:对于属于系统本身的关键进程，能否以不同颜色显示？如果文件名及所在目录与系统中默认的一致，就可以以绿色显示；其余的以红色显示。如何？

  同2,如果取得文件路径,显示上做点功夫可以实现.

   4、“杀进程”功能，如果能够改进一下，改成前面带有复选框，用户可选择多个进程，然后一并查杀，以解决恶意程序的守护进程常规情况下无法关闭的问题；
   明白了,下一版改进.
关于在xp下使用userset.ini的问题:
   
   虽然偶努力想通过文字说清楚如何写userset.ini,但看来我的文字表达能力还是太差,还是有许多地方让各位兄弟不好理解呀.
   对于 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor 这样带有空格的键项名称，是否直接写入？还是要用引号括起来？
   是直接写入.不要用引号.如果对Command Processor主键名不太确定,可以打开注册表编辑器,找到这个键,然后右键重名定位到它的名字上,然后拷贝出它的名字.
这里提供本人添加的一些监视项目，不知道格式是否正确，请兄弟指教：
[locklist]
; 深山红叶提供
;
; 启用系统文件保护：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=SFCDisable   //这个键值名可不行,因为它的类型是REG_MULTI_SZ型,本程序目前只支持REG_SZ型
rval=00000001     
;
; 保护系统初始化程序
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Userinit  //这个可以使用,类型是REG_SZ
rval=%SystemRoot%\system32\userinit.exe,
;
; 保护系统外壳
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=VmApplet  //这个可以使用,类型是REG_SZ
rval=rundll32 shell32,Control_RunDLL "sysdm.cpl"
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Shell    //这个也可以,但偶的win2003下 rval=Explorer.exe  不需要%SystemRoot%路径(以注册表中所见为准,不知xp是否有路径)
rval=%SystemRoot%\Explorer.exe
;
; 防范恶意程序彻底隐藏文件（开启显示隐藏文件也不行！）
rem 防范恶意程序彻底隐藏文件：//不能用rem开头做注释,注释全部以;开头
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Checkedvalue   //这个偶的注册表中无此键值名,看值的样子好象不是REG_SZ型
rval=00000000
;
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=valueName      //偶的注册表中无此键值名,如果是REG_SZ型就没问题   
rval=Hidden
;
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Defaultvalue   //同上,偶的机器中无,查看你的注册表以确定
rval=00000002      
;其实对于系统默认没有的主键及键值可以加到[DelList]段删除就可以了,不必用locklist锁定
;锁定的话系统中没有此键或键值是会创建[locklist]中指定的主键或键值的.
;
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=HKeyRoot  //偶的机器上没有此键值名
rval=80000001
; 防范命令行自动运行参数被添加附加程序：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
rkey=AutoRun   //这个可以使用
rval=
; 防范以登录或注销脚本形式自动加载恶意程序：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts  //这个主键偶的机器上没有,加到[DelList]段删除中即可
rkey=              
rval=
; 修正和防范启动组位置重定向：
root=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
rkey=Startup  
;这个偶不确定,因为我的是rval=E:\Documents and Settings\Administrator\「开始」菜单\程序\启动
;各个机器可能会不同吧,以注册表中所见为准
rval="%USERPROFILE%\「开始」菜单\程序\启动"
;
; 防范通过 load 或 run 自动运行恶意程序和更改可执行文件类型：
root=HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
rkey=load           //这个可以使用
rval=
root=HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
rkey=run     //偶机器上没有此键名,可加到[DelList]中删除
rval=
;
;保持pif文件的打开方式
root=HKEY_CLASSES_ROOT\piffile\shell\open\command
rkey=        //这个可以使用
rval="%1" %*
;
;保持inf文件的打开方式
root=HKEY_CLASSES_ROOT\inffile\shell\open\command
rkey=  //偶机器上这个键值类型是REG_EXPAND_SZ,不能使用,另外,win2003下rval=%SystemRoot%\System32\NOTEPAD.EXE %1多了个路径system32
rval=%SystemRoot%\Notepad.exe %1
;
;保持hlp文件的打开方式
root=HKEY_CLASSES_ROOT\hlpfile\shell\open\command
rkey=    //这个可以使用
rval=%SystemRoot%\System32\winhlp32.exe %1
;
;保持cmd批处理文件的打开方式
root=HKEY_CLASSES_ROOT\cmdfile\shell\open\command
rkey=    //可以使用
rval="%1" %*
;
; 取消碎片文档类型：
;原始键值：rundll32 %SystemRoot%\system32\shscrap.dll,OpenScrap_RunDLL %1
root=HKEY_CURRENT_USER\ShellScrap\shell\open\command  
rkey=   //偶机器上没有此ShellScrap主键,可放在[DelList]段中删除即可
rval=
;
; 防止恶意 DLL 与 Explorer 链接加载：
root=CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
rkey=          //这个不行,键名默认值是REG_EXPAND_SZ型
rval=%SystemRoot%\system32\webcheck.dll
以上是对红叶兄提供的[locklist]段中可使用和不可使用部分的注解,各位兄弟可参照打开自已的注册表实际对比一下,就明白如何写userset.ini了.
  
不过,对于文件类型锁定的指定我还是要和大家探讨一下:
如果是我,对文件类型我会这么做,useset.ini内容如下
[DelList]
;注删表编辑器解锁
root=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
rkey=DisableRegistryTools
[locklist]
;只需锁定.reg文件的打开方式,然后导出一分ROOT分支root.reg
;当发生指定方式打开错误时,以保证偶的备份能顺利导入即可.
root=HKEY_CLASSES_ROOT\regfile\shell\open\command
rkey=
rval=regedit.exe "%1"

wang6071

下面引用由紫狐在 2005/06/11 07:18pm 发表的内容：
简单的看了一下，wang6071的编程水平不错，但是我觉得使用Easysize控件的作用不大，建议去掉，这样在一定程度可以减少资源的占用，由于我对Delphi还不是很懂，而且也没有详细的细读程序，所以想问一下，兄弟是不 ...

   Easysize控件的作用确实不大,偶用它只是想用它来实现在不同分辨率下显示界面的一致性.可以去掉,但资源并不能省多少,"变化监视"本身仅占极少的资源.
   另外,检测确实是用的Timer控件,无它,只为节省资源占用.用全局HOOK占用要比现在多得多(至少我以前尝试是这样的).用Timer并不会降低效率(无论恶意程序写注册表多少次,我们只要确保能删除它最后一次写在注册表中的东西就成了.)
   再有,用Timer程序会非常健状(指我们这个软件的情况),说点题外话:我曾经帮朋友在一台中了木马的机器上杀进程,结果是XP的任务管理器死了,我们的变化监视软件仍然活着,仍旧能杀进程.

wang6071

关于pyqkgd兄提的
    下载试用了一下,很好用.希望功能更强一些,例于能够例出注册表中启动项.
    因为软件定位在于监视而不是一个注册表工具，所以没做这方面的工作，请见谅。个人愚见，导注删表的工具很多，偶想没必要再加一个众多软件都能实现的功能吧。
关于runningpig，wqx520等兄弟因威望不到1不能得到源码的问题：
    是这样的，偶在贴子如下写的：
    因为偶考虑到此软件的危险性,怕不懂的朋友乱改(软件用delphi6编制,应可以在d4-d7都可编译成功),所以软件只对无忧论坛上威望为1以上的朋友开放源码（获得无忧的威望1也不是件容易的事,一定为各位兄弟做了不少奉献.）
    希望得到源码的朋友能在此基础上做出更好的软件。
    所以请不能得到源码的朋友见谅。编译好的软件你可免费下载，传播与使用，希望能得到您的意见。

emca

几点探讨和说明:
①root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Shell    //这个也可以,但偶的win2003下 rval=Explorer.exe  不需要%SystemRoot%路径(以注册表中所见为准,不知xp是否有路径)
rval=%SystemRoot%\Explorer.exe
——加上%SystemRoot%是强行指定系统外壳路径，Windows默认是没有的。如果恶意程序用Explorer.exe为文件名，并放到System（NT为System32）目录，则由于后者的路径优先级要高，因此病毒可以优先于系统外壳被加载！
②; 防范恶意程序彻底隐藏文件（开启显示隐藏文件也不行！）
rem 防范恶意程序彻底隐藏文件：//不能用rem开头做注释,注释全部以;开头
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Checkedvalue   //这个偶的注册表中无此键值名,看值的样子好象不是REG_SZ型
rval=00000000
——这个不是Windows的默认键值。如果对此处进行修改，则即使在资源管理器文件夹选项中启用显示系统及隐藏文件，资源管理器也不会显示的！某些病毒就是用此法隐蔽自己，效果不错。本人用的是TotalCommander，因此经常可以在别人机器上找到好多类似的隐蔽恶意程序！
③; 修正和防范启动组位置重定向：
root=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
rkey=Startup  
;这个偶不确定,因为我的是rval=E:\Documents and Settings\Administrator\「开始」菜单\程序\启动
;各个机器可能会不同吧,以注册表中所见为准
rval="%USERPROFILE%\「开始」菜单\程序\启动"
——修改此处键值可以重定向启动组位置，此时开始菜单中的启动组却仍然指向原来的位置。这给恶意程序自动加载提供了隐蔽的手法。
----------------------------------------
其实恶意程序可以利用的地方还有许多，现在知道了方法，以后就好办了！希望大家经常交流配置文件！
感谢Wang兄的热心指导！希望大家献计献策，让大家都能够用上一个方便无比的好东西！
再次感谢、致敬！

wang6071

感谢红叶兄对注册表中恶意键值的注释,学到了不少东西,谢谢!

渺微

佩服  学到很多 耐下心来编程

假皮

gsg

wuboss

这么好东东，谢谢楼主

紫狐

[这个贴子最后由紫狐在 2005/06/13 05:44pm 第 1 次编辑]

wang6071,在源码里面是不是缺少MSNPopUp。

wang6071

下面引用由紫狐在 2005/06/13 05:21pm 发表的内容：
wang6071,在源码里面是不是缺少MSNPopUp。

上传时清理监时文件不小心清掉了，我已重新上传，请重新下载吧。

紫狐

wang6071，建议下个版本添加在SysTray上双击的时候显示主界面的事件。

wang6071

下面引用由紫狐在 2005/06/14 04:26pm 发表的内容：
wang6071，建议下个版本添加在SysTray上双击的时候显示主界面的事件。

谢谢紫狐兄的建议。
功能上下一版拟做如下改进：
1：去掉鸡肋控件Easysize。(已完成)
2:进程监视的增强，98与xp都能完整地显示程序路径，xp下可显下该程序包含的模块.
（这个已完成）
3:杀进程功能改进，拟用更好的方式杀进程(思路是杀本身进程，杀父进程等，筹划中）。
4:注册表写功能增强，使写操作完全支持字符串的各种类型。(还未开始)
其它的，听大家的意见啦。。。。

xubo1971

好东西，值得期待喔。

emca

感觉兄弟这一个小工具应当是顺应目前的潮流的一个极其实用、极其宝贵的一个工具！理由：
1、开放接口的结构，使得在实现基本功能之后，能够在用户（或高手）指导下，轻而易举地完成程序功能的无限升级；
2、小巧方便，远非那些标榜自己的大公司的软件所能比；
3、开放源代码，顺应潮流，前途不可估量！目前许多小工具还没有成熟就先吵着注册什么的，但用户并非全是傻瓜，真正成功的又有几何？些工具完美后，我想应当在互联网上凭借其真正的实用性一定会取得一席之地，此时作者的品牌也就自然形成。以后再如何发挥，就是下一步的事情了，并非完全没有回报的！但这种凭借实力取得的成绩和口碑，与非法捆绑的网络猪、3721等相比，根本是不可同日而语的！
4、一点建议：一切以实现主要的防御目的为重，技术上一定要有前瞻性，千万不要添加任何无关紧要的功能！
5、建议将锁定启动项目作为默认被选定。
6、在完善基本功能的基础上，再考虑更灵活的选项。
7、目前，本人已经确定互联网上的一种全新的“网络黑社会型”病毒类型，某杂志已经刊登了预告，目前正在紧张的证据收集和文章撰写之中。我将从技术和法律的双重角度来探讨目前的网络黑社会问题。些问题一经提出，相信兄弟的这款工具也可以借势更进一步！到时可以独成一统，也可以考虑与知名品牌合作……嘿嘿嘿嘿~

wang6071

谢谢红叶兄对软件的过高评价和对软件后期改进的建议。
"一切以实现主要的防御目的为重，技术上一定要有前瞻性，千万不要添加任何无关紧要的功能！"
  这条最好，我会记住的。
建议将锁定启动项目作为默认被选定。在完善基本功能的基础上，再考虑更灵活的选项。
  这条我也非常赞成(所以这个版本的变化监视我仍然是默认就监测启动项目)，因为我喜欢写操作简单，但又不乏灵活性的软件。我对好软件的看法也是：操作简单、有扩展性。
  至于对软件后期的展望，谢谢红叶兄的吉言，但偶清楚自已的水平(93年函大计算机应用，大家可以想想能学些什么),所以努力写好这个软件回报大家对这个软件的支持已很满足了。

emca

转一个帖子：

下面引用由紫狐在 2005/06/14 10:33pm 发表的内容：
昨晚处理了一台中了CNNIC的机器，那个垃圾CNNIC真的很讨厌，加入了几个进程，还使用DLL加载，而且还在IE的BHOs加入内容，我要出动Browser Sentinel、IceSword、ComeXp等才解决掉，看来确实得增加对付这些东东的　...

现在处理这类问题的过程中，我发现即使系统中进行了免疫，但对捆绑式安装无效；即使安装了监视程序，但许多人在出现对话框时经常不加考虑地选择了“是”……
因此，一般的防范方法对这类东西应当是没有理想的效果了！
目前我发现真正有效的仍然是用NTFS的目录和文件权限功能，将相关垃圾文件和目录的ACL设置为Everyone拒绝访问，只有这样才既可防，也可杀（设置并重启后垃圾插件就无法加载运行了）。我们不妨把这个功能定义为“静态锁定”。
-------------------------------------
因此我想Wang兄是否可以考虑日后添加一项“静态锁定非法项目”（包括文件名/目录名以及注册表键值）的功能？比如把这个功能做成一个独立的选项卡……

yjfyj

这么好的东西我怎么没有权限看呢 拜托了

紫狐

下面引用由emca在 2005/06/15 10:58am 发表的内容：
转一个帖子：
现在处理这类问题的过程中，我发现即使系统中进行了免疫，但对捆绑式安装无效；即使安装了监视程序，但许多人在出现对话框时经常不加考虑地选择了“是”……
因此，一般的防范方法对这类东西应当是 ...

这个提议很好；
Downloaded Program Files这个目录也是那些垃圾软件经常藏匿的地方，能够对他进行监控就可以减少垃圾软件的“入侵”。

hyzrm2003

路过的门外汉