[sysshield]系统安全盾

123

好像不能检查隐藏进程

xubinfly

123说的是呀,今天我用自己免杀的灰鸽子在自己机上试验,syscheck2清楚的检查出隐藏的iexplore进程,wsyscheck进程项倒是有项显示,应该就是那个异常进程,可详细信息为空,Y?(顺便说下超级巡警也检测不出来,太让我失望,icesword还有什么杀毒助手都可显示)

wang6071

原帖由 xubinfly 于 2007-6-8 10:38 PM 发表
123说的是呀,今天我用自己免杀的灰鸽子在自己机上试验,syscheck2清楚的检查出隐藏的iexplore进程,wsyscheck进程项倒是有项显示,应该就是那个异常进程,可详细信息为空,Y?(顺便说下超级巡警也检测不出来,太让我失 ...

隐藏进程是可以检测出来的，只不过没显示路径只显示了pid及Eprocess等信息，同样是可以终止的．因为觉得该类程序路径可能伪造，所以只是将获取路径的代码取消了．本版还原后你再看一下.

Wsyscheck(0609升级主文件):

再次修改Norun.dll,增添禁止文件复制与禁止创建注册表键与值.
添加一菜单命令重启计算机.
你可以在HOOK工作的方式下删除恶意键值及文件,避免那种垃圾木马的定时创建与恢复.在不退出HOOK的情况下重启,确保修改有效.

xubo1971

Wsyscheck 越来越完善了，可喜啊！
现在Wsyscheck的“文件管理”应该就是syscheck里面的“文件浏览”，个人感觉把“重启删除文件”和“DOS删除文件”并到“文件管理”栏里，亦即“文件管理”包含“文件浏览”和“文件删除”可能会好一点。本来还有个“文件搜索”，现在已经并到“安全检查”栏里去了。
感觉syscheck的“安全环境”功能很实用的，王兄会不会考虑移植过来？
“IE安全”栏的功能似乎少了一些，能否考虑增加一些功能。即便是只增加一个“重装IE”的按钮（调用批处理）也会方便不少。

生命过客

:) 王兄，我想谈个人的一个想法，说的不对请原谅。
在电脑安全上，我个人更偏向于“防”，系统安全盾这么好一个软件，为什么不做了？
为什么小孩要打疫苗，无非是防范于未然。为什么一定要等病毒进入了电脑，再来想办法呢？即便是毒除了，系统和主人也受了伤，只是大小的问题。
一支好的疫苗敌过万倍的药品。
卡巴杀毒强，但我更喜欢卖咖啡的防守。
王兄能否继续你的顶级代表作：系统安全盾，很多人都在期待！

wang6071

原帖由 生命过客 于 2007-6-9 04:34 PM 发表
:) 王兄，我想谈个人的一个想法，说的不对请原谅。
在电脑安全上，我个人更偏向于“防”，系统安全盾这么好一个软件，为什么不做了？
为什么小孩要打疫苗，无非是防范于未然。为什么一定要等病毒进入了电脑， ...

安全盾不再更新是
一是因为个人精力有限，安全盾断断续续地搞了近两年，是该结束它的时侯了。
二是因为现在各大杀软集成主动防御，设置好了就有了安全盾的作用。
三目前已有很多性能与功能上都比安全盾更好的软件，比如EQSecure,Cyberhawk等。

Wsyscheck(0610升级主文件)：Norun.dll中添加禁止远线程的HOOK。

pz

向Wang兄提个建议：是否可以考虑将Wsyscheck和安全盾合二为一如何？这样不是更可以集中发挥两个软件的长处吗？

ncne

原帖由 pz 于 2007-6-10 11:08 AM 发表
向Wang兄提个建议：是否可以考虑将Wsyscheck和安全盾合二为一如何？这样不是更可以集中发挥两个软件的长处吗？

此建议基本属于扯蛋！

wang6610

建议升级AutoDelfile(1.9修正版)、 Wsyscheck的GRUB引导文件，新版GRUB增强了NTFS识别，引导成功率更高。


新版（20070606）GRUB官方下载： http://download.gna.org/grub4dos/

[ 本帖最后由 wang6610 于 2007-6-10 01:56 PM 编辑 ]

wang6610

以下是liangliang的《把grub4dos装入Vista启动项的批处理》，请wangsea参考。

@echo off
rem by lianjiang
cls
echo.
echo   请以管理员身份运行。
echo.
pause
set gname=Grub 4 dos
set vid=
set timeout=5

bcdedit >bcdtemp.txt
type bcdtemp.txt | find "\grldr.mbr" >nul && echo. && echo  BCD启动项中已有grub4dos的项目，无需再安装。&& pause && goto exit
bcdedit  /export "Bcd_Backup" >nul
bcdedit  /create /d "%gname%" /application bootsector >vid.ini
for,/f,"tokens=3",%%i,In (vid.ini) Do (
rem for,/f,"tokens=2",%%i,In (vid.ini) Do (
                 set vid=%%i
)
echo %vid%>vid.ini
bcdedit  /set %vid% device boot >nul
bcdedit  /set %vid% path \grldr.mbr >nul
bcdedit  /displayorder %vid% /addlast >nul
bcdedit  /timeout  %timeout% >nul

if exist grldr.mbr copy grldr.mbr c:\ /y && goto exit
echo.
echo   稍后请自行把grldr.mbr拷贝到C:\根目录
echo.
pause
:exit

[ 本帖最后由 wang6610 于 2007-6-10 01:59 PM 编辑 ]

xubinfly

谢谢王兄了,灰鸽子隐藏进程可以显示了。随便再问下，数字签名功能怎么没了？可能王兄对它不是很主要，我认为它是相当有用的，有个后门，它只有一个dll文件，启动方式应该是改变文件的输入表了，这个dll 文件的日期，公司显示的都是正常的微软文件，syscheck2的签名就把它找出来了.所以个人希望还能见到这个功能

pppp1234

Wsyscheck0525支持命令行方式来提高它的优先级
wywcheck 1 高于标准
wsyscheck 2 高
wsyscheck 3 实时
当然,不带参数就是一般优先级启动.
这个功能还有没有，如果有那最新版的重启功能不能细分成以上三种。

pz

原帖由 pppp1234 于 2007-6-10 10:33 PM 发表
Wsyscheck0525支持命令行方式来提高它的优先级
wywcheck 1 高于标准
wsyscheck 2 高
wsyscheck 3 实时
当然,不带参数就是一般优先级启动.
这个功能还有没有，如果有那最新版的重启功能不能细分成以上三种。

此功能还有！

wang6071

原帖由 wang6610 于 2007-6-10 01:47 PM 发表
以下是liangliang的《把grub4dos装入Vista启动项的批处理》，请wangsea参考。

谢谢,下次升级一下Autodelfile,但是Grldr装入Vista下使用用grldr.mbr还存在的问题是在Dos下如何还原添加的菜单项呢?

原帖由 lxhyhl 于 2007-6-10 07:40 PM 发表
SYSCHECK2 里面的一键净化，与安全环境没有得到继承，很是可惜。
王大哥能加上吗？

一键净化功能智能化程度不足,容易引起问题,高手不用，生手用后不知道如何还原，不加也罢。
安全环境仅是简单地还原SSDT后，结束前7个系统进程后的所有进程，卸载余下的7个系统进程中的所有外部模块(如果有不可卸载的外部模块此步可能引发重启)，手动即可完成。

原帖由 xubinfly 于 2007-6-10 10:30 PM 发表
谢谢王兄了,灰鸽子隐藏进程可以显示了。随便再问下，数字签名功能怎么没了？可能王兄对它不是很主要，我认为它是相当有用的，有个后门，它只有一个dll文件，启动方式应该是改变文件的输入表了，这个dll 文件的日 ...

数字签名是感觉花时间，效果不是很好就仅在校验服务中加了，不过最近清一个木马时(Sysinfo.dll)就是假冒微软签名的，下次会加上的．（顺便提一下，这个%windows%\system32\sysinfo.dll注入了winlogo.exe进程，不断复制自身到各盘根目录为sysinfo2.dll,建立文件Aurun.inf,且不断以写其bho方式的注册表启动项，用Wsyscheck的禁止进程与文件创建功能后可以看到它的复制动作从而判明是个冒微软签名的木马．而阻止其创建可以从容地删除文件，清理注册表，更名%windows%\system32\sysinfo.dll(用模块卸载会导致辞重启无法清除它)，重启后就轻易地清除了它。
如果用syscheck２刚需要用Autodelfile来配合先删除文件再做清理注册表项）

123

请教一下，当DEP处于开启状态时将dll注入到winlogon.exe进程时会使winlogon.exe出错关闭，你是如何绕过DEP实现dll注入的呢？

wang6071

原帖由 123 于 2007-6-10 11:44 PM 发表
请教一下，当DEP处于开启状态时将dll注入到winlogon.exe进程时会使winlogon.exe出错关闭，你是如何绕过DEP实现dll注入的呢？

从来没有使用过Dep，所以不清楚你的问题(开启DEP就不能注入DLL？查了一下好象说的是不能直接注入代码而没有说不能注入实体文件呀.)，我的注入仅仅是常用的远线程注入而已，并没有采用什么特殊的方法．

[ 本帖最后由 wang6071 于 2007-6-10 11:58 PM 编辑 ]

123

原帖由 wang6071 于 2007-6-10 23:56 发表


从来没有使用过Dep，所以不清楚你的问题(开启DEP就不能注入DLL？查了一下好象说的是不能直接注入代码而没有说不能注入实体文件呀.)，我的注入仅仅是常用的远线程注入而已，并没有采用什么特殊的方法．

谢谢，问题已解决，知道了要搜索的是“远线程注入”

[ 本帖最后由 123 于 2007-6-11 12:28 AM 编辑 ]

wang6071

原帖由 123 于 2007-6-11 12:14 AM 发表

能帮我看一下这些代码吗？在DEP开启状态下，运行到红色部分时被注入的进程就自动关闭了。
int WINAPI InjectLib(DWORD process_id, char *lib_name)
{
PTHREAD_START_ROUTINE pfnRemote =(PTHREAD_START_ ...

C不是很熟,粗略看了一下好象没有明显问题,怀疑问题出在DLL的写法上,你用这段代码注入我的Norun.dll测试一下看是否是DLL的问题.

wang6610

原帖由 wang6071 于 2007-6-11 00:28 发表

谢谢,下次升级一下Autodelfile,但是Grldr装入Vista下使用用grldr.mbr还存在的问题是在Dos下如何还原添加的菜单项呢?

不知暂且用VISTA下备份BCD文件,在DOS再恢复备份BCD文件如何？

wang6071

AutoDel1.10.part1.rar (488.28 KB, 下载次数: 93)

2007-6-11 22:23 上传

点击文件名下载附件
下载积分: 无忧币 -2

AutoDel1.10升级程序使用Grldr为最新版以更好地支持NTFS.
Wsyscheck0611:将签名校验放到了软件设置中,校验包括了进程,模块及服务的微软文件.
"禁止进程与文件创建"添加禁止注册表的删除键与删除值.

[ 本帖最后由 wang6071 于 2007-6-11 10:48 PM 编辑 ]

wang6610

我下了。。。。。。。。。。。

wang6610

原帖由 wang6071 于 2007-6-11 22:23 发表
23438
AutoDel1.10升级程序使用Grldr为最新版以更好地支持NTFS.
Wsyscheck0611:将签名校验放到了软件设置中,校验包括了进程,模块及服务的微软文件.
"禁止进程与文件创建"添加禁止注册表的删除键与删除值.

GRUB对NTFS的支持关键是:  Grldr.mbr

wang6071

原帖由 wang6610 于 2007-6-11 11:19 PM 发表

GRUB对NTFS的支持关键是:  Grldr.mbr

Vista下用还没考虑好,按照安装的思路是:

1:安装grldr.mbr,添加启动项

2:如果存在Menu.lst,则先备份Menu.lst,然后弄个新的Menu.lst来启动镜像.
  当然,无法保证镜像在所有NTFS系统中都能运行的很好,所以如果无法运行镜像,则可能无法还原Menu.lst.

  不过问题不大,可以利用win的Runonce来还原,即失败后选择进Win就执行一下还原或者做个还原的批处理放在桌面上.

3:Vista现在很多人用的是Bios模拟法,已经将grub装入了mbr中,添加Menu.lst会不会有冲突?有经验的说一说.

emca

新版本（11号的）有个小BUG：
如果先在活动文件中进行了检测，然后右击，选择定位注册表项，在内置注册表编辑器中直接删除了某个键项时，返回活动文件后，这个键项仍然在列表中，没有刷新，而且此时再在活动文件页删除它也没有响应。建议返回后是否刷新一下？

另，以前版本的几个人性化功能极其方便好使，建议Wangsea兄弟有空时加上。在给菜鸟处理实际处理问题过程中，感觉最方便实用的就是“安全环境”功能，不管它中了什么，一键净化系统当前环境，然后清除不必要的活动文件和相关可疑服务，病毒文件就不管它了。一台机器两三分钟基本搞定。

emca

接上帖，再顶一帖：
目前通过 Autorun 功能激活的病毒折腾得极其厉害，建议这个中也加入 Autorun 的清除（以前版本有的）、免疫、对应注册表键值安全修改的功能。可以说，当前的病毒十个起码有九个与 Autorun 脱不了干系的。每次都得手工处理，麻烦。

emca

再再顶一帖！

既然抽空来了，不能空手见大家不是？
因此顺便把我昨天刚刚到手并且亲自汉化的 Hedit 的最新版本 3.0 （一种方便小巧、功能安全体贴，仅16进制功能比 UltraEdit等好很多）奉献给大家，功能上恰到好处，真正的高手必备玩物！以前有个2.14的流行好几年了，今天终于搞到更新。:lol

xdg3669

多谢了，我先下了。哈哈:lol :lol

bbb333

下载了，非常感谢～～～～～～～～

紫狐

原帖由 <i>emca</i> 于 2007-6-12 07:09 AM 发表 <a href="http://bbs.wuyou.net/redirect.php?goto=findpost&pid=1096202&ptid=32079" target="_blank"><img src="http://bbs.wuyou.net/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://bbs.wuyou.net/images/common/back.gif');}" onmousewheel="return imgzoom(this);" alt="" /></a><br />
再再顶一帖！<br />
<br />
既然抽空来了，不能空手见大家不是？<br />
因此顺便把我昨天刚刚到手并且亲自汉化的 Hedit 的最新版本 3.0 （一种方便小巧、功能安全体贴，仅16进制功能比 UltraEdit等好很多）奉献给大家，功能上恰 ...

<br />


好东西，目前一直使用2.14版，原来下过3.0的破解有问题，所以依然使用老版本，终于有新版本可用了。

wang6610

原帖由 wang6071 于 2007-6-11 23:54 发表


Vista下用还没考虑好,按照安装的思路是:

1:安装grldr.mbr,添加启动项

2:如果存在Menu.lst,则先备份Menu.lst,然后弄个新的Menu.lst来启动镜像.
  当然,无法保证镜像在所有NTFS系统中都能运行的很好,所 ...

1 还按照添加启动项到BCD中就可以。
2 知识把现在用的那个64K的文件用grldr.mbr替换，
3 需要把grldr.mbr、grldr中的“grldr”文件名替换为grldr的随机文件名。

总之就是把grldr.mbr当作现在用的那个64K的文件即可，这样并不影响原来安装的GRUB.