[sysshield]系统安全盾

queyao

帖子沉得好快啊，顶一下，让更多朋友看到

zwww1967

一直在用syscheck和系统安全盾的，效果很好，而且小巧、方便！

wang6071

Wsyscheck(0622)
修正活动文件页、清理Autorun.inf在某些机器上弹出无法读驱动器提示的问题。
修正上一版调整活动文件页红色显示常规启动项后某些非红色项无法修复的BUG。
修正某些机器上程序启动后最大化再进入服务页后标题条不显示的BUG。

123

请教一下，那个任务管理器里结束进程时提示“拒绝访问”是什么实现的？

wang6071

原帖由 123 于 2007-6-23 12:37 PM 发表
请教一下，那个任务管理器里结束进程时提示“拒绝访问”是什么实现的？

驱动中HOOK ZwOpenProcess

雨中送客

这个 和那个 ssm 哪个好呢

xubinfly

这个和ssm是一个概念吗?晕

wang6071

wsyscheck(0624):
修正对于某些较慢的机器一启动软件就取消“模块简浩显示”软件出错的BUG。
本版开始驱动加载情况下各页中的删除功能具有强删除效果。

zzzzzzzzzzz

随便开了一个普通程序，在文件管理器里面使用删除文件，失败，直接删除文件（？），无反应。
不知是不是我使用了NTFS文件系统的原因。

[ 本帖最后由 zzzzzzzzzzz 于 2007-6-24 11:27 AM 编辑 ]

wang6071

原帖由 zzzzzzzzzzz 于 2007-6-24 11:26 AM 发表
随便开了一个普通程序，在文件管理器里面使用删除文件，失败，直接删除文件（？），无反应。
不知是不是我使用了NTFS文件系统的原因。

首先驱动得加载(不加载使用常规删除,无法删除运行中的文件),文件管理页要使用直接删除,直接删除后运行中的文件仍在运行,但文件已经被删除了。Fat32可以直接观察到文件已被删除，NTFS我这里系统区都不是NTFS(非统区的NTFS可以观察到),不知道是否可以直接观察到,但被删除程序关闭后(或重启后)可以看到文件已经不在了。

zzzzzzzzzzz

原帖由 wang6071 于 2007-6-24 12:00 PM 发表


首先驱动得加载(不加载使用常规删除,无法删除运行中的文件),文件管理页要使用直接删除,直接删除后运行中的文件仍在运行,但文件已经被删除了。Fat32可以直接观察到文件已被删除，NTFS我这里系统区都不是NTFS ...

刚刚又试了一次。
驱动正常加载。使用“直接删除文件”删除一个正运行在 NTFS 上的小程序（未受任何保护），刷新一下文件仍然存在，资源管理器中也可见。关闭程序并等待5秒，未见变化。试着重新运行此程序，仍可正常运行。

环境：Windows XP Professional SP2 中文版。所有分区均为 NTFS。

wang6071

原帖由 zzzzzzzzzzz 于 2007-6-25 01:06 PM 发表

刚刚又试了一次。
驱动正常加载。使用“直接删除文件”删除一个正运行在 NTFS 上的小程序（未受任何保护），刷新一下文件仍然存在，资源管理器中也可见。关闭程序并等待5秒，未见变化。试着重新运行此程序， ...

检查了一下代码,发现有一个小失误造成代码在NTFS主分区上总是执行不到.

Wsyscheck(20060625)
修正在校验微软文件时中途退出时出现一个错误提示的BUG。
界面修正一个小BUG,调整在SSDT恢复中无需恢复项上选择时弹出菜单的对应恢复项为灰。
端口查看页在无法获取pid的命令行时取其路径显示。
修改SSDT恢复的语句，看是否能更好地兼容不同的系统。
修正在NTFS环境下强删除无效的BUG(有NTFS系统分区的测试一下)。

zzzzzzzzzzz

原帖由 wang6071 于 2007-6-25 06:54 PM 发表



检查了一下代码,发现有一个小失误造成代码在NTFS主分区上总是执行不到.

Wsyscheck(20060625)
修正在校验微软文件时中途退出时出现一个错误提示的BUG。
界面修正一个小BUG,调整在SSDT恢复中无需恢复项 ...

NTFS下强制删除成功。

4401

看到安全盾升级了，有没有什么详细点的介绍吗？

zaihu8641

下了~学习一下~我是菜鸟我怕谁~

xubinfly

王兄的工具比较具有亲和力，安全盾也是这样，一般不需要设置什么了，所以不用什么ssm,eq什么。不过好象有个问题，有个木马poison ivy，它就是在windows或system32下产生个可执行文件，上一版的安全盾好像检测不到，它还是在window目录下生成文件了 ，这一版拦截住到了，它一直在生成文件，安全盾就一直在删除，可惜删除不掉。我的网盘xubinfly.ys168.com，有那个木马程序，王兄有兴趣看下？

wang6071

原帖由 xubinfly 于 2007-6-26 08:52 PM 发表
王兄的工具比较具有亲和力，安全盾也是这样，一般不需要设置什么了，所以不用什么ssm,eq什么。不过好象有个问题，有个木马poison ivy，它就是在windows或system32下产生个可执行文件，上一版的安全盾好像检测不 ...

原因在于你在安全盾的防护之外运行木马,而木马只是不断地复制自身在system32下.安全盾只是忠实地执行删除防区内的文件.当然关机时看谁最后退出,安全盾如最后退出它复制的文件也被删除了.

另外,从另外的角度来看,木马不会只运行一次,它总是需要一个启动项(注册表或者启动组或者Autorun),这几个方面是安全盾内置的防区,重启后如它不再运行也只是一个垃圾文件而已.

183174067

好东西 你里面的东西好全啊 :)

xubinfly

在开启安全盾的情况下运行的，启动项是在HKLM\SOFTWARE\Microsoft\Active Setup\，安全盾没有让它生成（不过没有提示），那个文件也真就是垃圾了 ，上次测试没有注意，呵呵，打扰了

yht

有感:

   各种所谓的hips我亲身体验过很多:sns,ssm,gss,ps,winpooch.winpatrol,eq,pg,PFP.....可谓星光灿烂!同时也感受了自建AD.FD.RD安全规则的乐与苦!曾经是那样乐此不疲!.....但我最终厌倦了!那似乎是软件在玩人!人永远在被牵着鼻子被动的走!乐趣变了味!有一种疲于奔命之感呵 ....最终在我系统长治久安的是安全盾!不必赶潮!不必炫耀!够用最好!再加上wsyscheck这员大将配合!风雨不动安如山矣!
   借此宝地向孜孜不倦.无私奉献的wang先生致敬!

[ 本帖最后由 yht 于 2007-6-27 11:43 AM 编辑 ]

weif

问一下,我用Wsyscheck对进程进行"禁止这个程序运行"操作后,想恢复运行进程,不清楚如何做呢?
前些天升级啦一下XP系统补丁后,每每开机时自动升级程序都会启动,我就用Wsyscheck给禁止啦,可是现在想运行却是再也运行不起,不知道如何恢复呢?求教

wang6071

原帖由 weif 于 2007-6-27 07:08 PM 发表
问一下,我用Wsyscheck对进程进行"禁止这个程序运行"操作后,想恢复运行进程,不清楚如何做呢?
前些天升级啦一下XP系统补丁后,每每开机时自动升级程序都会启动,我就用Wsyscheck给禁止啦,可是现在想运行却是再也运 ...

软件中有禁用程序管理,找到禁用的那个程序右键恢复即可.

乂二

新的sysshield1.56在开启的时候，网络修复功能还是有问题，这将导致网上邻居无法使用。如图所示：

[ 本帖最后由 乂二 于 2007-6-29 02:05 PM 编辑 ]

wnkyy

有没有一个整合安盾和SSM的软件呢？

wnkyy

原帖由 wang6071 于 2007-6-10 01:25 AM 发表


安全盾不再更新是
一是因为个人精力有限，安全盾断断续续地搞了近两年，是该结束它的时侯了。
二是因为现在各大杀软集成主动防御，设置好了就有了安全盾的作用。
三目前已有很多性能与功能上都比安全盾更 ...

那个EQ不是很好用的！

macll

关于安全盾的建议 觉得在以信任模式安装软件的防护效果有点薄弱 能不能添加以信任模式安装软件的时候只监视安装中文件和注册表项并记录在“拦截记录”项的功能
用过了Cyberhawk EQ等HIPS软件 虽然了解不多 但还是觉得安全盾＋jetico最适合自己 感谢wang大侠的佳软
本帖218页提示“未定义操作，请返回”不知何故？

wnkyy

我们是否可以考虑资助一下安全盾，以使它发展的更好，最好是整合SSM的功能！

xsy

原帖由 wnkyy 于 2007-6-30 09:16 AM 发表
我们是否可以考虑资助一下安全盾，以使它发展的更好，最好是整合SSM的功能！

同意楼上的意见,我也一真在用

hntn

建议版主把此贴至顶（当然无忧有很多该至顶的贴），或是搞个精华贴索引！~这样让很多新人能更好的学习一些东西。

wang6071

Wsyscheck0701

    可以检测并还原SSDT INLINE HOOK了。同时针对近期的一些更新修改了一下原说明。