[sysshield]系统安全盾

kaison111

一直在使用系统安全盾，非常不错，同学在我的推荐下也爱上了这个软件

顺便说一下我在你空间提到的按键精灵6.10的问题

按键精灵神盾开启后，用0512版还是不能完全查看它的进程，而且有时会出现两个一样的隐藏进程，选中这个进程后会出错提示，
右击kill this process没任何反应。
还有一个奇怪的问题，在按键精灵进程左边的方框打上√后，过一秒钟这个√会自动取消，不知为什么。

pppp1234

重装系统后，系统安全盾出了点问题，右键点安全盾图标或双击后点监控设置菜单，半透明菜单还没显示完，死机。
系统是winxp sp2,以前没这个问题。

wang6071

原帖由 kaison111 于 2007-5-11 12:36 PM 发表
一直在使用系统安全盾，非常不错，同学在我的推荐下也爱上了这个软件

顺便说一下我在你空间提到的按键精灵6.10的问题

按键精灵神盾开启后，用0512版还是不能完全查看它的进程，而且有时会出现两个一样的隐 ...

关于按键精灵神盾开启后,无法得知其路径及程序名估计该程序对活动链进行了修改,wsyscheck目前采用的检测方法无法得到它的路径.

关于单击出错,请试一下Wsyscheck(0512b),看能否修复这个问题,显示上的问题是一个Bug,0512b已经修正.


关于微软认证效验,个人认为作用真的不大,有时被它的结果搞得有点不敢下手，其实最需要用到的地方可能只在服务页上有用，其它地方凭经验和感觉就可判断是否正常．


Myvikiller1.23(威金熊猫通用终结器)主要是修正清除过程退出程序而程序仍在运行的Bug,其它细节有少量修改.

pppp1234 所提的安全盾的问题个人感觉应该是系统有问题或者硬件有问题(内存不稳的可能性大一点)

[ 本帖最后由 wang6071 于 2007-5-12 02:02 AM 编辑 ]

hufly

下来试用试用....

xdg3669

测试:

系统是xp sp2,安装卡巴、安全盾，不管是打开或者关闭卡巴、安全盾一运行Wsyscheck就出现兰屏死机。提示是由于kpcheck.sys的原因。

0505版就没有这种现象。

sck

原帖由 xdg3669 于 2007-5-12 07:19 PM 发表
测试:

系统是xp sp2,安装卡巴、安全盾，不管是打开或者关闭卡巴、安全盾一运行Wsyscheck就出现兰屏死机。提示是由于kpcheck.sys的原因。

0505版就没有这种现象。

我用0511版，正常呀，用0505上午版，则有占用CPU 100%的现象。

wang6071

wsyscheck(0514),主要优化了一下进程显示及杀除部份,现在进程页正常刷新情况下cpu占用仅为1-3%左右

sck

新版卡巴显示如图

ok-gao

好久没来了，好久没中马了，上周末中了一回，用了syscheck，找了近些天生成的文件删除了，问题也解决差不多了，感谢王兄的辛苦不断创新!

我是完全的门外汉，能学会用就可以了。感觉，以前的版本比较“通俗”，现在的比较专业化。

近期整个的帖子我还没细翻，不知是不是会有“通俗版”和“专业版”之分:P


另外，非常感谢SCK兄的汉版。象我这样业余的爱好者，会有段时间不接触软件应该，英文名字随着时间推移，会忘了一些。这样比较方便了:victory:

wang6071

Wsyscheck(0514b)
添加驱动页的微软校验(只校验标记为微软的驱动是否通过签名,通不过的以紫红色显示)
添加Goto RegEdit(跳到内置的RegEdit项上).
列进程修改了一下,但未做卡巴测试,使用卡巴的看一下是否正常.(其实不获取高权限又如何能进行检测修复呢?卡7看来确实是有点敏感,只有试试尽量避开它的检测了)

------------------------------------------------------
Wsyscheck目前暂时先出英文的,免得以后做成中文的又不想改为英文的了.其实菜单选项也就那么几个,猜也猜得出是何意思.只要对关键词(Kill,Delete等注意一下避免误操作就行了,其它功能都任意使用)

[ 本帖最后由 wang6071 于 2007-5-15 12:10 AM 编辑 ]

sck

Wsyscheck(0514b)新版卡巴不再误杀了，谢谢！！

xsy

一直都用.试用这个也正常,感谢

fortunez

微软校验是不是有问题？我的文件全部变成紫红色的了。
应该是通过的变成紫红色吧？

wang6071

原帖由 fortunez 于 2007-5-15 11:35 AM 发表
微软校验是不是有问题？我的文件全部变成紫红色的了。
应该是通过的变成紫红色吧？

没有错,全显紫色是因为你用的Ghost版系统精简掉了签名数据库文件.

--------------------------------------------------------------------------------------------
wsyscheck0515
修证因为疏忽导致的全局卸载模块不可用的BUG。

添加全局卸载模块后删除模块文件的功能。

添加服务控制(Start、Stop、Change Service Type)。

添加单击服务后在状态栏显示服务的显示名及描述。

添加测试服务是否有保护的功能(Check  Service  Protect),此功能校验服务类型为Boot、system、Auto的服务是否允许更改为Disabled，

如果不允许证明该服务有键值保护，可能是木马守护着不让修改，所以能很快发现该木马的服务（显示色彩为深紫色）。
(本功能执行前备份当前服务键到桌面，检查过程中如发生错误可导入备份恢复)，如果本功能执行正常则自动删除所做的备份。

附件已更新成515b版,515版的Check  Service  Protect是无效的.

[ 本帖最后由 wang6071 于 2007-5-16 12:33 AM 编辑 ]

zzzzzzzzzzz

原帖由 wang6071 于 2007-5-15 12:06 AM 发表
Wsyscheck(0514b)
添加驱动页的微软校验(只校验标记为微软的驱动是否通过签名,通不过的以紫红色显示)
添加Goto RegEdit(跳到内置的RegEdit项上).
列进程修改了一下,但未做卡巴测试,使用卡巴的看一下是否正常 ...

呵呵，卡巴斯基的提示是“可疑的驱动安装操作”，也就是你只要调用了NtLoadDriver就一定会被拦的。

紫狐

原帖由 <i>wang6071</i> 于 2007-5-15 06:55 PM 发表 <a href="http://bbs.wuyou.net/redirect.php?goto=findpost&pid=1067533&ptid=32079" target="_blank"><img src="http://bbs.wuyou.net/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://bbs.wuyou.net/images/common/back.gif');}" onmousewheel="return imgzoom(this);" alt="" /></a><br />

<br />

<br />
没有错,全显紫色是因为你用的Ghost版系统精简掉了签名数据库文件.<br />
<br />
--------------------------------------------------------------------------------------------<br />
wsyscheck0515<br />
修证因为疏忽导致的 ...

<br />


增加的这个功能好呀，一些流氓软件经常会保护自己的服务，一不小心给删除的话就会蓝屏，现在有了这个检测功能就可以直接粉碎文件再删除注册表内容了。

yht

Wsyscheck0515b版非常好呵!......:D

wang6071

Wsyscheck 0516版
修正对保护进程的模块显示。
修正xp下本程序导出注册表失败造成程序关闭的BUG(Win2003下无此问题)，这是xp下[Check  Service  Protect]无法检测且wsyscheck退出的原因。
大家可以用516版修正后的[Save All Service Key]导出HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services键与系统自带的REGEDIT导出对比一下可以发现Wsyscheck导出的.reg比RegEdit小得多，但用UE比较是内容是相同的。

另附:Wsyscheck色彩说明
进程页：
    红色表示非微软进程,紫红色表示虽然进程是微软进程,但模块中有非微软的模块。
服务页：
    红色表示该服务一不是微软服务,而且该服务是非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）
    使用Verify Microsoft Driver后，紫红色显示未通过微软签名的微软驱动。(可以参考是否是冒微软驱动，注意的是如果紫红色如果显示过多，可能是你使用的系统是网上通常见的Ghost精简版，这些版本可能精简掉了微软签名数据库)
    使用Check  Service  Protect后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护。

[ 本帖最后由 wang6071 于 2007-5-16 06:23 PM 编辑 ]

sck

Wsyscheck 0516汉化版，不过有一处的字体未改为宋体9号字。

sck

这个最新的汉化版

[ 本帖最后由 sck 于 2007-5-16 10:37 PM 编辑 ]

泡泡菜鱼

强人呀。谢谢提供呀，学习中呀。

小木头

下载了最新的Wsyscheck 0516汉化版!sck 怎么上传了两个汉化版附件?

sck

Wsyscheck 0516汉化最新版，全部字体改为宋体9号字。

lsj0416

怎么我的检测系统保护一直没反应啊？2003系统

flyingsand

Wsyscheck 0516(explorer)的只显示隐藏文件选项无效

[ 本帖最后由 flyingsand 于 2007-5-17 10:21 AM 编辑 ]

zzzzzzzzzzz

Safe Check -> Active Files 枚举时出现下列对话框：
---------------------------
Wsyscheck.exe
---------------------------
'c:\program files\***\***\***.exe' is not a valid integer value.
---------------------------
确定   
---------------------------

且枚举停止，列表中最后一项的文件名为1，路径为\1（而实际上不存在这个启动项）

引号中的内容为Alcohol 120%（一款虚拟光驱软件）的服务程序路径。

[ 本帖最后由 zzzzzzzzzzz 于 2007-5-17 02:14 PM 编辑 ]

liaosan930

好东西啊，一定要支持一下！

wang6071

Wsyscheck0517版
  修正进程页显示上的一点小bug,此bug使得进程退出后显示上滞后。
  修正General Check页的Disabled Process Run列表无效以致于无法解除禁用的程序的BUG!

原帖由 lsj0416 于 2007-5-17 10:08 AM 发表
怎么我的检测系统保护一直没反应啊？2003系统

没检出问题就没反应!

原帖由 flyingsand 于 2007-5-17 10:20 AM 发表
Wsyscheck 0516(explorer)的只显示隐藏文件选项无效

你看选择后余下的文件不是都有一个H属性吗?

[ 本帖最后由 wang6071 于 2007-5-17 07:18 PM 编辑 ]

wang6071

原帖由 zzzzzzzzzzz 于 2007-5-17 02:13 PM 发表
Safe Check -> Active Files 枚举时出现下列对话框：
---------------------------
Wsyscheck.exe
---------------------------
'c:\program files\***\***\***.exe' is not a valid integer value.
----- ...

Active Files页不枚举服务的，请确认位置并导出出错位置的.reg文件发上来．(可能的位置是停止前的最后一个输出的相同位置)

[ 本帖最后由 wang6071 于 2007-5-17 07:24 PM 编辑 ]

zzzzzzzzzzz

那个问题无法再现了，但又出现了新的类似问题……:L
如图，它把我的U盘根目录的部分文件和目录列举出来了（不是全部），并归类到“启动组”。
SysCheck也出现了同样的问题。
注：这些文件既没有运行，也没有被打开，只是在U盘上放着。U盘上所有的文件和目录均为正常属性，系统启动文件夹的默认位置没有被更改。

[ 本帖最后由 zzzzzzzzzzz 于 2007-5-18 09:22 PM 编辑 ]