[sysshield]系统安全盾

wang6071

[这个贴子最后由wang6071在 2005/07/31 03:53pm 第 1 次编辑]

re 红叶兄：
[SysSheild_KillFile]下面似乎全部是精确匹配
   确实如此，此段下即黑名单文件，它是全盘精确匹配的．因为自定义的Blurring中可以写入适用面更广的规则，所以对黑名单现在的做法用的是精确匹配．当然改一下也可以做成模糊的，考虑到不同层次的需要，对这个选项目前做成了精确匹配．
Blurring项目即模糊匹配，内置了一个0-9.*(已经屏蔽了所有含数字的文件),只需把相关需要模糊匹配的目录加入到其中就可以了，比如 E:\WINDOWS\|DE,当然，监控方式得选择自定义．

程序的规则定义界面仅仅只能添加，而不能查看和编辑，每次都得打开配置文件，然后对照说明中的ABCD……进行设置，有些不太方便：）
　　可以编辑的，手动编辑与用界面按钮添加是一样的，但记得加入后要保存一下．不能查看全文是因为担心某些兄弟不了解写错了关键字，所以对于每项都单独打开来给显示．
    手动添加也不必对照说明，每个过滤选框后的文字中偶都在括号中写入了对应的标志字符，按括号中的标志字符来加规则就可以了．

  

紫狐

建议将资源文件独立，这样就不用分两个版本，只要根据设置读取资源文件就可以实现多语言。

wang6071

下面引用由紫狐在 2005/07/31 04:01pm 发表的内容：
建议将资源文件独立，这样就不用分两个版本，只要根据设置读取资源文件就可以实现多语言。

没做在资源文件中是觉得没必要增大程序的体积.原来的打算是做成ini中换语言的,因为手上有个转繁简工程的好工具,所以偷懒了.:)

紫狐

下面引用由wang6071在 2005/07/31 04:15pm 发表的内容：
没做在资源文件中是觉得没必要增大程序的体积.原来的打算是做成ini中换语言的,因为手上有个转繁简工程的好工具,所以偷懒了.:)

做在INI文件是比较好的方法，而且其他语言只要修改一下INI文件就能实现。不过要实现可能得对原来的程序进行一定的修改，把所有提示及界面资源从INI中读取。

wang6610

readme字体太小。

wang6071

re  紫狐兄：
    确实如此！不过目前好象还没这个需求。即使有，版本定型后，直接改资源也行呀！偶想没必要真的做成多语言的，所以该偷懒时就偷懒。：）
re wang6610:
   readme.chm是在800X600分辨率下写的，所以可能在1024X768等高分辨率下字体显得有些小。偶在此方面是菜鸟级，请各位兄弟包涵一下，对付着看吧。

紫狐

wang6071，安全盾无法把自己加载到启动。
我停止原来的版本，并且从注册表删除，然后在D盘运行新版的安全盾，点击界面的启动时运行，安全盾能够添加相应的项目到注册表，可马上就被它自己删除了，退出后再进入界面，发现启动时运行已经为Uncheck状态，希望修正该BUG。

wang6071

[这个贴子最后由wang6071在 2005/07/31 07:49pm 第 1 次编辑]

下面引用由紫狐在 2005/07/31 07:17pm 发表的内容：
wang6071，安全盾无法把自己加载到启动。
我停止原来的版本，并且从注册表删除，然后在D盘运行新版的安全盾，点击界面的启动时运行，安全盾能够添加相应的项目到注册表，可马上就被它自己删除了，退出后再进入界 ...

非bug ,是您先选择了锁定启动组,再选择启动时运行的结果.请先关闭锁定启动组,加入后再锁定启动组.(锁定启动组功能对自已也要求严格,绝不例外:)

wang6610

新版内存占40多兆,而上一版4兆

紫狐

[这个贴子最后由紫狐在 2005/07/31 08:43pm 第 1 次编辑]

下面引用由wang6071在 2005/07/31 07:43pm 发表的内容：
非bug ,是您先选择了锁定启动组,再选择启动时运行的结果.请先关闭锁定启动组,加入后再锁定启动组.(锁定启动组功能对自已也要求严格,绝不例外:)

我没有现在锁定启动组，因为默认就是没有选中的。
我是在新的目录运行的，而且之前所有有检测启动组的版本都没有安装使用过，之前使用的版本是老版本的注册表监视器，还没有自动删除文件的版本，大概的7月6日或者之前的版本。

wang6071

[这个贴子最后由wang6071在 2005/07/31 09:33pm 第 2 次编辑]

wang6610 兄弟提及的内存占用问题已解决.(一个奇怪的现象,不过找到解决方法)
紫狐     兄弟提的关于自身加载到启动组的问题已解决.
请重新下载,这个修正版在偶的机器上最小化时仅占2M(当前是1,544K)以下内存,开启界面后在4M(当前是2,776K)以下.同时,也对加入自身做了一下调整,加自已确实没必要那么严格,给了自已一点特权:).

紫狐

速度够快，才一会就修正，问题已经不存在，能够正常加载了。

wang6071

下面引用由紫狐在 2005/07/31 11:31pm 发表的内容：
速度够快，才一会就修正，问题已经不存在，能够正常加载了。

不过还是请再次下载新版(8月1日版),因为检查程序发现一个函数有内存泄漏现象,已更正.

lj858155

建议 可以导出自己的配置 如黑名单 白名单等 方便交流也不用每次用新版本的时候都去设置一次 谢谢 搂主的极品软件

lj858155

[这个贴子最后由lj858155在 2005/08/01 01:24am 第 1 次编辑]

请教一下 能不能用来管理其他非系统安装分区 我的2000在D盘 这样不能管理c盘下的文件读写 也是很危险的事情 只要在c盘的启动目录上一个文件　就晕菜了

wang6071

下面引用由lj858155在 2005/08/01 01:14am 发表的内容：
建议 可以导出自己的配置 如黑名单 白名单等 方便交流也不用每次用新版本的时候都去设置一次 谢谢 搂主的极品软件

to lj858155:
若是自已用,可以在下载新版后采用覆盖filter.dat的方法来解决.给别人也行,不过程序检测到机器名不同时会只保留与路径无关的东西(如黑名单,类型过滤列表,免检文件,及模糊匹配列表等),仅检测目录会自动生成默认的初如目录．
另外，在配置界面中打开相关选项也可以手动保存在文本中，以后在原对应项处贴回,保存一次即可．

lj858155

谢谢

wang6071

下面引用由lj858155在 2005/08/01 01:19am 发表的内容：
请教一下 能不能用来管理其他非系统安装分区 我的2000在D盘 这样不能管理c盘下的文件读写 也是很危险的事情 只要在c盘的启动目录上一个文件　就晕菜了

不能管理非系统分区, 但偶认为一般来说恶意文件第一次创建时大部份在系统分区(更多的是在系统分区的监时目录).且一般都会将自已加到注册表的启动组,所以这样的防御应该对绝大多数恶意程序有效．当然，世上没有完美的东西，任何软件都只是一个辅助工具，关键还是看使用者的安全意识．

lj858155

哈哈 只是一些建议 希望能管理其他磁盘 也不是非要这样用才行 搂主的软件还是很不错的 现在2003还没有测试 等等有时间才测试 谢谢 搂主的回答

紫狐

下面引用由wang6071在 2005/08/01 01:01am 发表的内容：
不过还是请再次下载新版(8月1日版),因为检查程序发现一个函数有内存泄漏现象,已更正.

好的。不知道兄弟是所以那个检测内存泄漏的？是不是MemProof？

wang6071

下面引用由紫狐在 2005/08/01 10:07am 发表的内容：
好的。不知道兄弟是所以那个检测内存泄漏的？是不是MemProof？

正是用的它！小巧好用呀。

Lencelot

??

lj858155

2003问题依旧 郁闷

wang6071

下面引用由lj858155在 2005/08/01 10:17pm 发表的内容：
2003问题依旧 郁闷

奇怪，偶就是用的2003呀!请描述一下您的系统区盘符，软件安装位置，使用的是哪个过滤?
如果是自定义，请贴出自定义的目录监测的内容。
另外，请描述一下您的测试方法，以便找到问题之所在。

lj858155

我的系统 c盘 fat32 安装2003 软件位置在f盘 用的是白名单功能 c盘完全防护
软件运行                在c盘根目录新建文本文件 被删除 有效
系统重新启动            在c盘根目录新建文本文件 不会被删除 软件失效
关闭软件手动启动软件    在c盘根目录新建文本文件 被删除 有效

wang6071

[这个贴子最后由wang6071在 2005/08/02 00:20am 第 1 次编辑]

lj858155  兄弟:
  打开<定义检测目录>,用mouse拖一下,右键复制内容贴上来吧.
你也可以这样测试:
   在你的C盘新建一个目录 test ,在<定义检测目录>中加一句 c:\test\
然后---关闭一下文件监视----再打开,在test下试验新建任一文件,肯定是删除了的.
接着,按---开始--注销---重新登陆,登陆后再在test下试验新建文件(偶这里是删除了的.)
最后,你不会忘了选择 "重启后开启文件监视"前面的勾吧?
另外,您说是:用的是白名单功能  不会是用的不再维护的老版本吧?请
http://free.ys168.com/index.aspx?wangsea
下载:syssheild(系统安全盾8月1日修改版)

emca

使用时遇到一次严格的内存漏泄现象：
安装目录：D:\我的文档\注册表监视器
自定义目录监视：
c:\|a
c:\documents and settings\administrator\local settings\|e
c:\program files\|e
c:\windows\|b
c:\windows\temp\|be
关闭并重启Sysshield监视功能后，向C:\windows目录复制 Sysshield.exe 到Windows目录，结果内存占用140MB，最后稳定在118MB；CPU一度最高占用 97%；系统外壳崩溃，任务管理器失效，折腾一会后，蓝屏死机。
问题发生时打开的程序为Totalcommander，杀毒为卡巴斯基但已经关闭监视。

wang6071

[这个贴子最后由wang6071在 2005/08/02 12:56pm 第 1 次编辑]

re  emca :
  问题发生时打开的程序为Totalcommander
  但同时又监视了c:\windows\|b ,同时向C:\windows目录复制 Sysshield.exe 到Windows目录
  此时,sysshield过滤生效,试图删除Sysshield.exe(成功),但Totalcommander估计使用了文件目录缓存,发现找不到Sysshield.exe而造成成死锁.
应该不是内存泄漏,而是Totalcommander与删除冲突所致.(估计是因为Sysshield.exe的发现创建并删除速度太快了,Totalcommander反应不过来.)
所谓内存内存泄漏,是指正常使用过程中软件占用的内程在一点一点的增长而不释放,但对内存的需求暴增就不属内存泄漏了,这种情况多半发生在系统死锁不能自动释放内存所致．（不能释放的内存有可能是系统正常的进程，不仅是发生冲突的软件．)
另外：顺便在引补充一下说明中忘说的一部份：
如何建一个不过滤的用户目录？比如mywork 目录(要求无条件放行c:\mywork下的所有文件)
使用： c:\mywork|C　　即可(其中，C规则中的免检文件可以为空)．

toadchilde

下面引用由wang6071在 2005/07/31 12:44pm 发表的内容：
toadchilde兄:
  建议很好,新版对某些东西作了一些改进.比如已删除的文件是只记录最后200个被删除文件的情况,未删除当然不会有记录.
  另外,关于文件监视不起作用可能是你的测试方法有误,你试试如下测试在系统盘 ...

多谢wang6071兄及时而准确的回复，现在我终于明白如何设置了，测试OK。

推士机

帮助文档字体有点别扭
[UploadFile=SpxImage_1122991073.jpg]