[sysshield]系统安全盾

pppp1234 · 发表于 2007-6-13 10:05:32

原帖由 emca 于 2007-6-12 07:09 AM 发表
再再顶一帖！

既然抽空来了，不能空手见大家不是？
因此顺便把我昨天刚刚到手并且亲自汉化的 Hedit 的最新版本 3.0 （一种方便小巧、功能安全体贴，仅16进制功能比 UltraEdit等好很多）奉献给大家，功能上恰 ...

很好,就是菜单上快捷键的位置和windows的习惯有点相反

happyday2 · 发表于 2007-6-13 21:36:56

服务页面也能简洁显示（仅显示第三方服务）就更好了。

xubinfly · 发表于 2007-6-13 22:45:54

支持加入老版"安全环境"，”一键净化“的建议!！只知道提要求,是不是有点……？再好的厨师也不能满足所有的人口味，王兄不要嫌聒噪就好

wang6071 · 发表于 2007-6-14 00:22:56

原帖由 xubinfly 于 2007-6-13 10:45 PM 发表
支持加入老版"安全环境"，”一键净化“的建议!！只知道提要求,是不是有点……？再好的厨师也不能满足所有的人口味，王兄不要嫌聒噪就好

一键净化我觉得还是不加的好,手动操作一下花不了多少时间却安全得多。可以先用安全环境，再用禁止进程与文件创建，然后再清理检出的项目。

关于在内置的Regedit中编辑了数据但活动文件页未刷新是因为活动文件夹的刷新比较花时间，所以没考虑每次进此页面刷新一次，一般情况下手动修改的时侯还是比较少的,所以从性能上考虑本次也未修改。

Wsyscheck0614添加两个子菜单

清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。
构建安全环境：还原SSDT,只保留系统必须的几个进程，然后删除临时文件夹下的所有文件。

这两天还是有点忙,自动清理Aurun.inf的功能下一次加入。

bbb333 · 发表于 2007-6-14 17:11:43

升级一下，谢谢王兄～～～

wang6071 · 发表于 2007-6-14 18:48:45

Wsyscheck(0614第三版)

随手工具说明(指菜单工具下的子菜单功能)
  清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。
  清除Autorun.inf:程序分析各盘根目录下的Autorun.inf指向的文件，删除各盘的Autorun.inf及其指向的文件。
  修复隐藏文件显示及禁用硬盘自动播放:菜单栏太长写不完,本功能还包括磁盘无法双击打开故障。注意，某些故障修复后可能需要注销或重启才能生效。
  构建安全环境：还原SSDT(某些杀软还原SSDT会引起死机,本功能仅测试在Kv系列,Kav6.0下使用没有问题,其它版本请自行测试。如不确定,使用本功能前最好退出杀软进程),只保留系统必须的几个进程，然后执行上述三个子菜单功能。

[ 本帖最后由 wang6071 于 2007-6-14 09:30 PM 编辑 ]

xubinfly · 发表于 2007-6-14 22:26:23

谢谢王兄无私奉献精神!

wang6071 · 发表于 2007-6-15 20:36:48

Wsyscheck(0615)

软件设置中的模块、服务简洁显示：简洁显示会过滤所微软文件，但在使用了“校验微软文件签名”功能后，通不过的微软文件也会显示出来。
SSDt右键“全部显示”是默认动作，当取消这个选项后，则仅显示SSDT表中已更改的项目。
开启禁止“禁止进程与文件创建”后自动添加“监控日志”页，取消后该页消失。要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。

xubinfly · 发表于 2007-6-15 21:09:27

王兄,使用"校验微软文件签名"为什么要连接上微软呢?

wang6071 · 发表于 2007-6-15 21:25:07

原帖由 xubinfly 于 2007-6-15 09:09 PM 发表
王兄,使用"校验微软文件签名"为什么要连接上微软呢?

因为微软的那个校验Api本身要连接Ms,担心泄漏个人密秘可以断网使用,则只使用本地库校验

xubinfly · 发表于 2007-6-16 00:54:35

再请教关于"校验微软文件签名",如果如王兄先前所说过的一些ghost版本去掉了这个本地数据库,能不能手动添加呢?(因为最近碰到的病毒问题都改了文件属性,成了微软文件,可数字签名能很好鉴别,所以希望搞明白),谢!

zts59 · 发表于 2007-6-16 08:22:44

"校验微软文件签名",这个功能，能不能针对单一文件进行校验？，因为某些情况我只怀疑几个文件，如果对这么多文件进校验速度太慢了，对单一文件校验好。

wang6071 · 发表于 2007-6-16 09:20:40

原帖由 xubinfly 于 2007-6-16 12:54 AM 发表
再请教关于"校验微软文件签名",如果如王兄先前所说过的一些ghost版本去掉了这个本地数据库,能不能手动添加呢?(因为最近碰到的病毒问题都改了文件属性,成了微软文件,可数字签名能很好鉴别,所以希望搞明白),谢!

WINDOWS\system32\CatRoot为微软签名数据库 CatRoot2是第三方签名库,能否复制同版本的原装系统大家可以自测一下。
精简掉了某些文件后如何恢复这不清楚了,有同版本的XP光盘的话可以尝试用一下SFC看能否重建。

原帖由 zts59 于 2007-6-16 08:22 AM 发表
"校验微软文件签名",这个功能，能不能针对单一文件进行校验？，因为某些情况我只怀疑几个文件，如果对这么多文件进校验速度太慢了，对单一文件校验好。

考虑过针对单个文件的签名校验问题，后来觉得这样做需要添加好几个子菜单项才方便使用所以也就没这么做了。校验签名慢的也就5-7分钟左右(机器速度快也就2-3分钟)，可以一启动Wsyscheck就开始校验，然后在校验的同时做其它的检查工作，等检查完校验也就完成了。

happyday2 · 发表于 2007-6-16 12:31:48

服务项中有部分第三方服务，显示为黑颜色，是否是BUG？

另外，既然为中文版，希望校验通过标志，服务状态及类型等信息可以换为中文。

活动文件中，希望可以标出启动项等分类信息。虽然可以通过看注册表信息区别，但注册表信息显示不全，需要拖动列标志才能看完，非常不便，而且，通过看注册表信息区别难以做到一目了然。

wang6071 · 发表于 2007-6-16 13:14:54

原帖由 happyday2 于 2007-6-16 12:31 PM 发表
服务项中有部分第三方服务，显示为黑颜色，是否是BUG？

另外，既然为中文版，希望校验通过标志，服务状态及类型等信息可以换为中文。

活动文件中，希望可以标出启动项等分类信息。虽然可以通过看注册表信 ...

第一个问题请看使用说明。

第二个问题有必要吗？要完全中文可能微软的注册表键也该全改成中文。

第三个问题分类是人为的分类，与标准01,02,03没多大区别，主要看的还是对应的文件。至于拖动问题，除非将显示的字体设得很小看起来很费劲，否则肯定显示不完（当然如果你用的是34寸的显示器可能不存这个问题 :) ）。

fortunez · 发表于 2007-6-16 19:44:28

老大可否做一个可以用在PE下的wsyscheck?就是做一个读服务跟注册表等等是目标操作系统的，这样杀毒更容易了。

xubinfly · 发表于 2007-6-16 21:23:45

谢了王兄,将正常WINDOWS\system32\CatRoot下文件直接拷贝到精简版或ghost版文件就可以使用'校验微软文件签名'了。另外Fortunez提的问题用ercd2003工具就可以了吧。个人感觉从pe环境做一些工作可能的确好些，比如windows环境下难以删除的文件，更改启动项目等，不过这需要对windows的了解（如启动项目等），如果能有一些自动判断工具那是我们一些菜鸟的幸事，不过好像不太容易。

q8q8feng · 发表于 2007-6-16 23:23:00

:) 既看到好东西又学习了楼主的方法谢谢:)

ywcn · 发表于 2007-6-17 15:22:23

flashget下载小文件是不是有bug啊
下了多次都下不了,直接另存为倒是很快就完了

[ 本帖最后由 ywcn 于 2007-6-17 03:28 PM 编辑 ]

sunboyzh · 发表于 2007-6-17 16:11:42

简单的看了一下，wang6071的编程水平真的很不错！！

wang6071 · 发表于 2007-6-18 00:28:52

原帖由 fortunez 于 2007-6-16 07:44 PM 发表
老大可否做一个可以用在PE下的wsyscheck?就是做一个读服务跟注册表等等是目标操作系统的，这样杀毒更容易了。

PE下读写注册表要使用另一系统的hive文件,这方面的资料不多,对hive了解不深,所以无法支持.

Wsyscheck(0618)
修改对Autorun.inf指向文件判定以检测更多的Autorun.inf指向的病毒文件。
添加在驱动加载后，删除及改变服务状态优先使用驱动方法。

changtaitv · 发表于 2007-6-18 01:54:03

随便逛逛，不料抢了个头筹！
老大又是挑灯夜战，令人钦佩......

lmle · 发表于 2007-6-18 10:42:30

关于wsyscheck打开“禁止进程和文件创建”功能后，双击“我的电脑”后，windows外壳explorer.exe会重启（不是电脑重启）的问题，大家有没有遇到过？为什么我测的几台电脑都有这个现象？（测试的电脑有：3台XP2，其中1台上海 g-o-v-e-r-n-m-e-n-t版的，两台是番茄花园的；1台XP1精减版的；1台番茄花园的windows2003)。
主要现象是：打开wsyscheck的“禁止进程和文件创建”，双击桌面上的“我的电脑”、“我的文档”、“网上邻居”、“回收站”、鼠标移到到“开始”菜单的“所有程序”上（只要移上去），这些都会引起重启外壳。但用右键中的“打开”去打开“我的电脑”、“我的文档”、“回收站”却好象不会重启，但“网上邻居”例外，还会重启。
windows的“事件查看器”的“应用程序日志”中有这样的记录（见图）：

namejm · 发表于 2007-6-18 13:12:38

　　确实会发生如 lmle 所说的情况，只是重启外壳一次之后，再用右键打开我的电脑，然后再双击打开我的电脑，却不会再发生外壳重启的事情。我的是番茄花园XP 3.1。

zfqi2003 · 发表于 2007-6-18 16:30:55

一直在用syscheck和系统安全盾的，效果很好，而且小巧、方便！

wang6071 · 发表于 2007-6-18 21:40:20

原帖由 lmle 于 2007-6-18 10:42 AM 发表
关于wsyscheck打开“禁止进程和文件创建”功能后，双击“我的电脑”后，windows外壳explorer.exe会重启（不是电脑重启）的问题，大家有没有遇到过？为什么我测的几台电脑都有这个现象？（测试的电脑有：3台XP2， ...

wsyscheck(0618第四版)

修正在服务页中删除或更改了服务类型后切换到其它页再回来是仍显示先前数据的BUG。（事实上完成更改但显示时将其还原了）

修正服务右键菜单(Auto与Demand屏蔽操作时搞反了)与显示不对应的小BUG。

修正使用驱动操作注册表(服务页,重启删除)在某些机器上引起重启的问题(感觉这些机器的ssdt中的newcode无法获取,所以对这样的机器则只用常规操作)。

修正SSDT页取消全部显示后在某些机器上因无法读newcode而无法简洁显示的问题。

修正SSDT恢复后重新刷新全部显示状态不对应的问题。

修正使用“禁止进程与文件创建”后双击我的电脑在某些机器上引起Explorer重建的问题。通
过对一注入系统进程木马的测试,发现如禁写注册表如木马程序无错误处理会导致系统进程崩
溃,故本版对写注册表操作只做监控而不阻止。

IE检测页加入了Ctrl多选,端口页增加了点击标题条排序。

[ 本帖最后由 wang6071 于 2007-6-18 10:45 PM 编辑 ]

ywcn · 发表于 2007-6-19 10:55:47

更新太快了,跟不上......

woshixiguapi · 发表于 2007-6-19 14:07:45

原帖由 wang6071 于 2007-6-18 12:28 AM 发表

PE下读写注册表要使用另一系统的hive文件,这方面的资料不多,对hive了解不深,所以无法支持.

Wsyscheck(0618)
修改对Autorun.inf指向文件判定以检测更多的Autorun.inf指向的病毒文件。
添加在驱动加载后 ...

还是强烈建议老大做一个PE下的Wsyscheck，虽然有ERD，但是不像Wsyscheck那么好用。

wang6071 · 发表于 2007-6-20 00:04:10

Wsyscheck(0620)更新:

1：自动重设进程页进程区与模块区的比例。
2：活动文件页将常规的启动项显示红色标注出来以方便查看。
3: 服务页不显示自身驱动项避免误以为系统进入了木马。
4: 其它几个页面的小调整（如排序、多选）。
5: 小调整了一下Norun.dll。

[ 本帖最后由 wang6071 于 2007-6-20 01:00 AM 编辑 ]

yht · 发表于 2007-6-20 00:11:07

更新!谢谢!:lol

		自动登录	找回密码
密码			注册