[sysshield]系统安全盾

dgxhls · 发表于 2007-5-29 13:05:23

况且，启动盘制作技术区现在是一个大的讨论区，下面有许多分区，单独一个软件长期置顶，也不大适合。红叶的那个贴子老大也取消了。

wang6071 · 发表于 2007-5-30 02:06:46

Wsyscheck0530(升级主文件):修正修用了一次禁止创建进程与文件后只有退出才能再次使用的BUG.
修正使用卸载模块功能有时让Wsyscheck失去响应的BUG.
修正Host文件丢失，检测页面刷新后重复添加提示的BUG.

----------------------------------------
关于为什么没用强行注入而使用全局HOOK是因为一些进程(比如数据库服务程序)用强注入禁用上述Api会发生错误．

至于cmd下不用强注无法HOOK其实大家想远了，开一个cmd辅助的木马好象还没有吧？（不是它不能，而是无此必要）．说回来，必竟win32级的HOOK功能有限，只做一个参考对付一些不入流的木马．真正的好马肯定用驱动先HOOK保护了，强注也没用．就算不用驱动，绕过r3的api　hook的方法还是有很多，所以此功能大家当作一个参考好了．

250662772 · 发表于 2007-5-30 12:57:09

错误的地方

zts59 · 发表于 2007-5-30 15:17:17

http://ttian.net/website/2007/0508/2275.html
这里介绍了有关病毒和木马的隐藏手段

其中对于FUTO Rootkit，不知道WSYSCHECK有没有方法？

顺便也顶顶贴子

dgxhls · 发表于 2007-5-30 15:23:18

原帖由 wang6610 于 2007-5-30 07:55 AM 发表

可以理解但内心并不支持。。。。

按照你这个标准，起码有好几十个贴子要置顶----其中包括老毛的、天风的、老九的。

只看该作者 · 发表于 2007-5-30 16:18:27

提示: 作者被禁止或删除内容自动屏蔽

dgxhls · 发表于 2007-5-30 16:23:17

原帖由 fingwing 于 2007-5-30 04:18 PM 发表

说明一下就是了为什么还要删我的帖？哪里违规了？欺生吗？

与技术讨论无关的回复一律视同恶意灌水处理，其他与你类似的回复全部处理了，不是针对某一个人的。

zzzzzzzzzzz · 发表于 2007-5-31 19:59:30

原帖由 zts59 于 2007-5-30 03:17 PM 发表
 http://ttian.net/website/2007/0508/2275.html
这里介绍了有关病毒和木马的隐藏手段

其中对于FUTO Rootkit，不知道WSYSCHECK有没有方法？

顺便也顶顶贴子

FUTo很难对付。目前也只有几个世界顶级的Anti-RK（世界上第一个能检出FUTo的是中国的DarkSpy）能看到。因为它几乎把能擦掉的东西都擦掉了。

wang6071 · 发表于 2007-6-1 01:51:42

FUTO Rootkit 我肯定是没办法的，不过我认为不必过份担心这些纯研究级的东东。

原因是如果这个技术得到广泛的应用，则它的死期也就到头了，无论是MS不是杀软都不会放过它。突破的方法也就有了。既然这种技术仅在极小的范围内存在，所以对它我不做任何担心。

另外，对这些东东最好的方法就是安全盾的作法（微软vista也是这么做的），对要加载的驱动必须经用户显示地同意才加载。

Wsyscheck中英文0601,附加了一个简要的使用说明以回答常见的提问.
修正了前面报告的内置浏览器初始化时显示上的小BUG.

Ps:近期再加上另外两种删除方法(RunOnce及PendingFileRenameOperations),拟用驱动增强一点避开HOOK后无效.

[ 本帖最后由 wang6071 于 2007-6-1 01:57 AM 编辑 ]

zzzzzzzzzzz · 发表于 2007-6-1 13:57:13

原帖由 wang6071 于 2007-6-1 01:51 AM 发表
FUTO Rootkit 我肯定是没办法的，不过我认为不必过份担心这些纯研究级的东东。

原因是如果这个技术得到广泛的应用，则它的死期也就到头了，无论是MS不是杀软都不会放过它。突破的方法也就有了。既然这种技术 ...

据说MS某高级讲师在谈到RootKit的时候建议中招者重装系统。;P

小木头 · 发表于 2007-6-1 14:29:54

今天不小心中了黑炸弹!几个分区的软件都丢光了!连一键恢复winbak.bbk备份都被破坏了.郁闷 !谁能说说在安全盾下怎么设置规则防他 ?:'(

[ 本帖最后由小木头于 2007-6-1 02:37 PM 编辑 ]

wang6071 · 发表于 2007-6-1 23:03:27

原帖由 小木头 于 2007-6-1 02:29 PM 发表
今天不小心中了黑炸弹!几个分区的软件都丢光了!连一键恢复winbak.bbk备份都被破坏了.郁闷 !谁能说说在安全盾下怎么设置规则防他 ?:'(

恶作剧的硬盘炸弹,说说是如何中的?

Wsyscheck儿童节中文版添加了重启并删除,可以用来解决常见的一些小毒．

修正了文件管理器中左树图的一个小BUG.

zzzzzzzzzzz · 发表于 2007-6-1 23:35:08

使用了禁止进程创建后eMule瞬间退出，WSysCheck状态栏上显示其试图创建远线程？
eMule只是P2P软件，不大可能创建远线程的，SSM也没有相关提示。

wang6071 · 发表于 2007-6-1 23:56:36

原帖由 zzzzzzzzzzz 于 2007-6-1 11:35 PM 发表
使用了禁止进程创建后eMule瞬间退出，WSysCheck状态栏上显示其试图创建远线程？
eMule只是P2P软件，不大可能创建远线程的，SSM也没有相关提示。

估计是与CreateFile冲突所致，显示创建远线程有可能是创建或打开文件．如果应用软件未针对可能的错误地行判断的话，调用被HOOK的函数可能导致其软件崩溃(因为我们对CreatFile是拒绝，所以这个功能用的是全局钩子不致引起系统进程崩溃出现重起与死机)．

[ 本帖最后由 wang6071 于 2007-6-2 12:02 AM 编辑 ]

zzzzzzzzzzz · 发表于 2007-6-2 12:46:14

原帖由 wang6071 于 2007-6-1 11:56 PM 发表

估计是与CreateFile冲突所致，显示创建远线程有可能是创建或打开文件．如果应用软件未针对可能的错误地行判断的话，调用被HOOK的函数可能导致其软件崩溃(因为我们对CreatFile是拒绝，所以这个功能用的是全局 ...

明白了，谢谢。

wang6071 · 发表于 2007-6-2 14:29:42

wsyscheck0602修正当删除文件列表中有文件时,关闭程序问询是否重启,回答YES后删除无效的bug

-------------------------------------------
补充一点说明:

dos删除与重启删除的列表都可以手动编辑,一行一个文件路径即可.

重启删除如加载驱动可以突破很多安全软件的注册表监控.

[ 本帖最后由 wang6071 于 2007-6-2 04:39 PM 编辑 ]

zzzzzzzzzzz · 发表于 2007-6-2 17:37:32

希望能在线更新，不然每次都要下载N个压缩包再覆盖源文件。
空间可以用 Google Pages 的。

longhai · 发表于 2007-6-2 19:58:14

论坛第一帖
看看诸位都是行家里手:)

wang6071 · 发表于 2007-6-3 00:13:29

原帖由 zzzzzzzzzzz 于 2007-6-2 05:37 PM 发表
希望能在线更新，不然每次都要下载N个压缩包再覆盖源文件。
空间可以用 Google Pages 的。

偶的空间: http://free5.ys168.com/index.aspx?wangsea 就不用分包下载了,就是有时有点流量限制.

关于使用了禁止进程创建后eMule瞬间退出可能我找到原因了,是CreateFile与CreateRemoteThread有HOOK后调用上有一点冲突所致,所以在CreateRemoteThread中放行了一些HOOK了好象没问题了.

这一版的Wsyscheck的"禁止进程与文件创建"采用了全局HOOK+强注,各位先测测看有无问题.

[ 本帖最后由 wang6071 于 2007-6-3 12:22 AM 编辑 ]

xdg3669 · 发表于 2007-6-3 22:22:47

测试发现Wsyscheck在卡巴开着时由于加载驱动而导致系统蓝屏。

sck · 发表于 2007-6-3 22:58:27

原帖由 xdg3669 于 2007-6-3 10:22 PM 发表
测试发现Wsyscheck在卡巴开着时由于加载驱动而导致系统蓝屏。

我用的也是卡巴，但正常

wang6071 · 发表于 2007-6-3 23:18:16

原帖由 xdg3669 于 2007-6-3 10:22 PM 发表
测试发现Wsyscheck在卡巴开着时由于加载驱动而导致系统蓝屏。

换个卡巴版本试一下.

---------------------------------------------------------------------------------------------------------------------------
Wsyscheck0603:修正Zhtq所测试的关于无法修复txt文件类型的BUG.
对二次运行"禁止进程与文件创建"条件进程判断,避免上次退出有残存模块未清理造成无法再次HOOK的现象.
对活动文件页增加Ctrl多选修复.

[ 本帖最后由 wang6071 于 2007-6-3 11:20 PM 编辑 ]

yht · 发表于 2007-6-3 23:35:30

谢谢wang先生支持wang先生!:D

250662772 · 发表于 2007-6-4 12:18:06

现在的新版软件感觉没有老版的详细，

yht · 发表于 2007-6-4 14:11:32

楼上的说反了吧!........你的截图显示明明是新版的信息量大阿......:lol

250662772 · 发表于 2007-6-4 19:59:51

我是说，老版的还有分类，文件右键，目录右键，启动项，ie加载项，而新版的确是都在一起。

xubinfly · 发表于 2007-6-4 20:31:10

最近不少电脑杂志上都有介绍王老大作品的文章,看到这样多的人越来越了解这样好的作品,真感到高兴,毕竟这是对王兄的一种肯定,一个免费软件真的不容易

sck · 发表于 2007-6-4 20:50:46

还有一处地方未汉化，如下图。

wang6071 · 发表于 2007-6-4 23:31:19

原帖由 sck 于 2007-6-4 08:50 PM 发表
还有一处地方未汉化，如下图。

这个地方是我保留了未修改的，因为那就是注册表的键名，提醒大家注意这个框中列出的禁用程序(目前很流行木马在此禁用杀软哦)

关于250662772所说的Wsyscheck的活动文件中未建分类是考虑到分类其实作用不大，大家最关注的还是程序路径与注册表键值路径，为避免拖动才能查看，所以取消了分类．

Wsyscheck(0605升级主文件):还原为0602方式的"禁止进程与文件创建",升级了其它0603-0604版修改的其它内容.

[ 本帖最后由 wang6071 于 2007-6-5 01:10 AM 编辑 ]

ok-gao · 发表于 2007-6-6 15:50:43

收一下新版。菜鸟我感觉可能功能的精度越来越好，但易用性在下降。我觉得，应用软件，在技术高超的同时，也应该适当照顾一下易用性，这样才能有最广泛的用户。

举个例子来说，就说我自己，我是自己用着玩的，一个普通爱好者，非电脑维护人员，就觉得看现在这个版的“活动文件”很费劲，如果不进行简单分类的话，时间长一点，就好些不认得了。

在功能排序上，王兄主要精力都用于技术精益求精了，但忽略了一些应用操作上的细节。

我自己觉得，从应用量上来讲，一，进程管理，二，安全检查，三，服务管理。。。。。但，目前，服务管理和SSSDT管理专业性过强，一般使用者不到万不得已用不到的，建议排到最后两位。

当然，最好再出个“通俗版”，以适用于我这样低水平的使用者，相信还有很多差不多的，但人也最多。呵呵～

		自动登录	找回密码
密码			注册

fingwing 该用户已被删除	3126^# 发表于 2007-5-30 16:18:27 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
fingwing 该用户已被删除
	回复使用道具举报显身卡