[sysshield]系统安全盾

wang6071

下面引用由推士机在 2005/08/02 09:58pm 发表的内容：
帮助文档字体有点别扭

在2003下做的东东确实在xp/98下显示有问题，偶会在98下做它相信这样就没问题了。

wang6071

为了大家更好地使用自定义规则，下面我给出一个较强的设定供大家参考：
E:\|A  因为考虑系统盘的用户目录还要使用，所以用A过滤。使其在根目录下不产生任何文件。
E:\Documents and Settings\|E  系统用户目录，全局部份用(E)黑名单过滤。
E:\Program Files\|E   考虑要安装文件,用E过滤比较合适。
E:\Windows\  这个目录是经常会产生恶意程序的藏身之外，所以大过滤选个最强的不允许创建。
E:\Windows\Temp|E  一般来说监时目录用E过滤较保险。
E:\Windows\AppPatch\|E   同上，win2003的缓存目录。
大家可以看到，偶没有使用B,C过滤，同时对大部份目录均采用了单一方式过滤。那么，C过滤与B过滤用于何处呢?下面偶对上面的例子做一修改，达到同一目的。
E:\  无规则过滤,最强的过滤。
E:\Documents and Settings\|E 子过滤采用自身的过滤,用E规则过滤(已包含了对其本身子目录的设定所以不必设定E:\Documents and Settings\下其它子目录的规则，除非你不想用E规则)
E:\tools\|C  自已的目录想自已管理，所以用C过滤来将它放到过滤器之外。
E:\Program Files\MySQL\DB\|C  假定我不想在Program Files见到任何新建的文件,就不用定义这个目录(因为其父目录E:\设了最强过滤),但偶的E:\Program Files\MySQL\下一个应用程序需要监时文件才能正常工作（假设这个临时文件产生于E:\Program Files\MySQL\DB\，名为Mylog.log),所以我可以定义一个C过滤。
E:\Windows\|BDE  偶只想过滤这个目录下产生的程序文件及黑名单上榜文件偶可以这么来过滤它。事实上这么设定不如上面的E:\Windows\无规则设定强，但如果有Log等日志在这个目录就可不受影响。
E:\Windows\temp|E  临时目录还是要使用自已的过滤的。
   上面述两个示例在安装程序时可能要受到影响。所以用这个设定在安装程序时,需要监时关闭一下文件监视或切换到黑名单过滤方式上。

wang6071

下面引用由推士机在 2005/08/02 09:58pm 发表的内容：
帮助文档字体有点别扭

[UploadFile=readme_1122997192.rar][UploadFile=readme_1122997203.rar]
在win98下重做了一次readme.chm,请兄弟们更新一下吧。

推士机

下面引用由wang6071在 2005/08/02 11:40pm 发表的内容：
在win98下重做了一次readme.chm,请兄弟们更新一下吧。

OK了，wang兄真是热心人！

lj858155

到楼主：
打开<定义检测目录>,用mouse拖一下,右键复制内容贴上来吧.
我设置是下面内容
c:\
c:\documents and settings\administrator\cookies\|e
c:\documents and settings\administrator\local settings\|e
c:\program files\common files\avp shared\bases\|e
c:\recycled\|e
c:\windows\apppatch\|e
c:\windows\temp\|e
你也可以这样测试:
  在你的C盘新建一个目录 test ,在<定义检测目录>中加一句 c:\test\
然后---关闭一下文件监视----再打开,在test下试验新建任一文件,肯定是删除了的.
接着,按---开始--注销---重新登陆,登陆后再在test下试验新建文件(偶这里是删除了的.)
我C盘为 c:\应该是和你说的效果一样
最后,你不会忘了选择 "重启后开启文件监视"前面的勾吧?
没有范这种错误
另外,您说是:用的是白名单功能  不会是用的不再维护的老版本吧?请
http://free.ys168.com/index.aspx?wangsea
下载:syssheild(系统安全盾8月1日修改版)
使用的新版本 就是你上面的地址链接
总结：没有误操作和低级失误 添加快捷方式系统启动菜单 问题解决  不是长久之计


白名单功能 就是现在的是定义目录过滤 前面使用习惯了没有改正过来[UploadFile=7B89EB9B180E1D44_1123003985.jpg]

cnmicro

好

wang6071

lj858155  兄弟：
   偶知道了，是机器速度的原因。syssheild在winxp未完全启动的情况下已经运行，此时用API取软件位置就取不到。所以在你的机器上加启动快捷方式能行而在注册表中不行。
   解决办法也是有的，偶在程序中做一个延时再检查过滤文件是否存在就没有这个问题了。由于不清楚该延时多少恰当，且不知道有多少兄弟使用后有这个问题,所以请您暂时用加快捷方式的方法，偶暂不修改它。

mzszwh

不单win98下有问题  中午在winxp下看了帮助
字体好难看

紫狐

下面引用由wang6071在 2005/08/03 12:37pm 发表的内容：
lj858155  兄弟：
   偶知道了，是机器速度的原因。syssheild在winxp未完全启动的情况下已经运行，此时用API取软件位置就取不到。所以在你的机器上加启动快捷方式能行而在注册表中不行。
   解决办法也是有的，　...

记得好像有一个函数可以检测桌面是否创建完成的，可以循环检测这个，未完成就间隔1-2秒再检测，当桌面已经创建完成再再开启程序的监控功能。
不知道这样行得通不。

lj858155

好的 谢谢你给与解决，完全来说应该不是问题的问题 你只要把启动方式改到 启动 目录中加载不在注册表加载就可以了
还少很多代码 哈哈

wang6071

to  mzszwh兄 :
   改过的字体的chm还那么难看吗?
to  紫狐兄:
   翻了一下，没找到您说的那个API函数。其实，用不用这个函数不重要，适当加点延时应该就可了(比如说，在2分钟内的不同时段尝试启动文件监视)。要不就改一种检测方式。关键是没有环境测试成功不成功?所以偶说暂不改它，如果真的有更多的兄弟是这种情况，再改也不迟。
to  lj858155 兄弟：
  也许不能加载到您的系统中是个别现象，偶等待一下，看有没有别的兄弟也出现这个状况。

lj858155

没有问题的 现在这种使用方法也很不多 在菜单的启动中也很不错
再次感谢 楼主的解答

mzszwh

下面引用由wang6071在 2005/08/03 09:17pm 发表的内容：
to  mzszwh兄 :
   改过的字体的chm还那么难看吗?
to  紫狐兄:
   翻了一下，没找到您说的那个API函数。其实，用不用这个函数不重要，适当加点延时应该就可了(比如说，在2分钟内的不同时段尝试启动文件监视)。要 ...

我说的是改字体以前的，我中午回去看看改过后的

紫狐

楼主，能不能使用GetDC(0)或者GetDeskTopWindow来取的桌面，如果成功就进行监控，如果不成功就稍后再检测。

zxmgl

aaaaaaaaaaaaa

gxwwjlb

[这个贴子最后由gxwwjlb在 2005/08/04 01:01pm 第 1 次编辑]

注册表不能解锁[UploadFile=D7A2B2E1B1EDB2BB_1123131644.gif]

wang6071

下面引用由gxwwjlb在 2005/08/04 01:00pm 发表的内容：
注册表不能解锁

[UploadFile=SysSheild_1123136634.rar][UploadFile=SysSheild_1123136644.rar]
是偶在程序检测有无自定义文件时写错了文件名,现在修正这个错误,请下载这个主程序来替换原来的主程序

mzszwh

中午看了新的帮助文件  字体没问题了

rightt

[这个贴子最后由rightt在 2005/08/04 06:13pm 第 1 次编辑]

?[UploadFile=Capture2_1123150406.jpg]

gxwwjlb

郁闷[UploadFile=D7A2B2E1B1EDB2BB_1123150341.gif]

wang6071

to gxwwjlb:
  对上图的解释:点击确定,注册表解锁.   

wang6071

下面引用由rightt在 2005/08/04 06:10pm 发表的内容：
?

to rightt:
   试验BG5码的部份忘了完全改回来,现在修正一下:
[UploadFile=SysSheild_1123152973.rar][UploadFile=SysSheild_1123152983.rar]

wang6071

下面引用由紫狐在 2005/08/04 09:33am 发表的内容：
楼主，能不能使用GetDC(0)或者GetDeskTopWindow来取的桌面，如果成功就进行监控，如果不成功就稍后再检测。

我想问题不是桌面没加载完的事,可能是某个系统的dll未完全加载,所以用这两个API检测可能不行.主要是没环境,即使加了检测,也不能知道是否成功.所以偶想还是多听听大家的感觉,如果再有其他兄弟出这个问题,偶就改进检测方式,这样试验的环境也多一些.

gxwwjlb

确定后依然不能注册表解锁，所以才郁闷。
以下是禁用注册表的注册表文件，有谁试一下看能不能注册表解锁。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword: 00000001

wang6071

下面引用由gxwwjlb在 2005/08/04 07:04pm 发表的内容：
确定后依然不能注册表解锁，所以才郁闷。
以下是禁用注册表的注册表文件，有谁试一下看能不能注册表解锁。
REGEDIT4
"DisableRegistryTools"=dword: 00000001

调整时确实漏了一些功能,现在已更正,在本机上已测试通过.
请在useset.ini中加入一行:
[DelList]
;------------------ [DelList]段记录不允许存在的键值或主键--------------------------
;
;例:注册表解锁
root=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
rkey=DisableRegistryTools
root=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
rkey=DisableRegistryTools
注意,这是另一个锁注册表的位置,由gxwwjlb提供,然后请大家更新主程序

[UploadFile=SysSheild_1123158437.rar][UploadFile=SysSheild_1123158446.rar]

emca

我在修改了TXT的关联，用Emeditor打开TXT文件后，报告发现关联更改，要求确认改变。确定后，下次启动时仍然会报告，而且也不会根据Userset.ini中的设置自动改回。
我想最好能够当用户同意更改时，程序自动同步对Userset.ini相关内容也进行修改；如果用户不同意修改则恢复为配置文件中的预置值，这样比较科学。

wang6071

下面引用由emca在 2005/08/04 08:46pm 发表的内容：
我在修改了TXT的关联，用Emeditor打开TXT文件后，报告发现关联更改，要求确认改变。确定后，下次启动时仍然会报告，而且也不会根据Userset.ini中的设置自动改回。
我想最好能够当用户同意更改时，程序自动同步对 ...

红叶兄,如果用户选择错了呢?那岂不没后悔药可吃?另外,如果用户写错了userset.ini呢?后果有点严重呀.
所以,我想可不可以这样:
userset.ini就如我给的示例一样,只保持注册表不被锁定与exe文件打开方式不被改变.
然后,我们整理一下系统常见的默认关联,做一个.reg文件,在界面中提供一个恢复系统原始默认的文件打开方式,这样可以最大限度地防止用户写错userset.ini及在系统提示被改变时选错按钮,又可避免平时应用时为方便改便某些文件的打开方式.

gxwwjlb

老大你好：我是“忠实的使用者”，希望能考虑一下让[locklist]段支持REG_DWORD，毕竞有些键值只想锁定不想删除。这个软件非常好用，只是对用户对注册表的权限少了点。所以再次提起，谢谢你开发出这么好的软件，使用起来方便，实用。

wang6071

下面引用由gxwwjlb在 2005/08/04 10:03pm 发表的内容：
老大你好：我是“忠实的使用者”，希望能考虑一下让段支持REG_DWORD，毕竞有些键值只想锁定不想删除。这个软件非常好用，只是对用户对注册表的权限少了点。所以再次提起，谢谢你开发出这么好的软件，使用起来方　...

谢谢您的建议及测试，偶会考虑在下一版中加入这个功能的!

紫狐

建议在界面添加版本号，而且由于修改频繁，目前最好把版本号加上日期。