[sysshield]系统安全盾

wang6071 · 发表于 2005-6-15 19:15:22

[这个贴子最后由wang6071在 2005/06/15 07:36pm 第 1 次编辑]

[UploadFile=1_1118834013.jpg]
大家的建议我会认真考虑的，这两天主要在完成杀进程部分的增强(已成功地干掉了在服务中启动的kv2005及kv防火墙),基本上是完成了还未做更多的测试，先贴个图给大家看一下。
超强杀进程采用的是微软内置的超强命令，只不过是保它集成在界面中，可以批处理地杀一帮进程．呵呵,不怕DLL守护啦．
微软无敌命令介绍：
ntsd -c q -p PID　
　　只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。

wang6071 · 发表于 2005-6-15 21:46:48

[这个贴子最后由wang6071在 2005/06/15 09:47pm 第 1 次编辑]

由于发现新出的一种无进程木马在
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks]下写入键值，所以提前发布一个半成品
如果只有一个
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" 是正常的多了就得考虑了。
这个版本内置检查中加入了上面说的防无进程木马的注册表检查，请大家同时测试一下楼上说的超强杀进程。
由于文件大小超过了200K，分包可能有朋友不会合并，我放到我的空间了
http://wangsea.ys168.com/

emca · 发表于 2005-6-15 22:59:58

1、“册除”应当为“删除”，笔误请修正；
2、建议添加程序自身的保护能力，比如退出时确认一下，甚至可以考虑日后添加用口令才能退出的功能（实现是否麻烦，对系统是否有影响？仅供参考）
3、我试用新版本时，两个选项默认是未被选定的，是否改为默认选定好些？

wang6071 · 发表于 2005-6-15 23:28:25

[这个贴子最后由wang6071在 2005/06/16 01:17am 第 3 次编辑]

下面引用由emca在 2005/06/15 10:59pm 发表的内容：
1、“册除”应当为“删除”，笔误请修正；
2、建议添加程序自身的保护能力，比如退出时确认一下，甚至可以考虑日后添加用口令才能退出的功能（实现是否麻烦，对系统是否有影响？仅供参考）
3、我试用新版本时，　...

没注意打错字了,谢谢提醒.
退出时确认也可以加入,这个不麻烦,口令的事暂不考虑,因为密码与绿色软件有一点小冲突,保存在何处要考虑一下.
第三点是指启动时运行锁定启动组吗?我原先的考虑是不把软件做得太霸道，让用户运行后自已选择。因为启动时运行要将自已加到启动组中，而锁定启动组虽不写注册表但怕用户拷贝时将自已的配置文件连同软件本身一起拷到不同的机器上造成误删除。（虽然我在代码中加了检测系统用户名，但现在克隆的机器比较多，怕造成不必要的损失）同时锁定启动组也仅是每次开机是否按重新生成set.ini，关系不是很大，所以是这么设定的。
如果觉得菜鸟多于老鸟的话也可以先以做成默认是选定的。
还是修正一下，按上面的3点更改了一下程序，请各位兄弟试试感觉怎样?

xianhu · 发表于 2005-6-16 10:20:22

怎么看不了？

紫狐 · 发表于 2005-6-16 13:45:05

下面引用由wang6071在 2005/06/15 11:28pm 发表的内容：
没注意打错字了,谢谢提醒.
退出时确认也可以加入,这个不麻烦,口令的事暂不考虑,因为密码与绿色软件有一点小冲突,保存在何处要考虑一下.
第三点是指启动时运行锁定启动组吗?我原先的考虑是不把软件做得太霸道 ...

口令的问题能不能用加密串保存在ini文件里面，而且连设置串都加密。

emca · 发表于 2005-6-16 18:55:20

口令可以是明文。我想如果要设置口令，唯一的目的就是为了防范监视器被不小心随意关闭。我就不小心关闭了一次。

wang6071 · 发表于 2005-6-16 19:59:53

下面引用由emca在 2005/06/16 06:55pm 发表的内容：
口令可以是明文。我想如果要设置口令，唯一的目的就是为了防范监视器被不小心随意关闭。我就不小心关闭了一次。

上一个匆忙改的版本有一个BUG,不能使用用户定义文件userset.ini，所以改进了一下，其的更新见下面。下载还是在我的空间：http://wangsea.ys168.com/
口令下次的版本中加入。
最新增加的说明：
调整了一下功能关联。软件第一次运行将自已加到run中，并自动锁定启动组。如果要删除本软件，请先解除"启动时运行"的选项，退出软件即可删除。
当锁定启动组选择未勾选时，每次开机重新生成配置文件set.ini.
若软件运行中未勾选"锁定启动组"，当在使用关闭监视--然后--启动监视时重新生成新的set.ini文件，以用于某些启动时运行软件的安装。反之，当"锁定启动组"被选定，则关闭监视--然后--启动监视仍然检测原来的set.ini中记录的启动项是否被改变。
为节约资源,进程显示页的刷新不是实时刷新的。在以下三种情况下可以看到进程显示的刷新：
1:在启动监视与进程监视页面中切换一下。

2:最小化软件到托盘，再重新使用"恢复窗口"功能恢复窗口时。
3:杀掉某个进程后。
新的功能：
进程管理中如果你杀掉Explorer，程序将会自动重新开启一个Explorer，并同时将自已的任务栏图标刷新。
所以即使其它的任务栏图标在杀死Explorer后不可见，本软件的任务栏图标仍然可见，解决最小化后调不出界面的问题。
这个功能主要用在杀掉大多数木马的宿主Explorer，以便进行清除木马的后期工作。

lj858155 · 发表于 2005-6-16 22:18:10

怎么可以加载多次，应该有自我检验的能力

emca · 发表于 2005-6-16 22:19:12

下面引用由wang6071在 2005/06/16 07:59pm 发表的内容：
上一个匆忙改的版本有一个BUG,不能使用用户定义文件userset.ini，所以改进了一下，其的更新见下面。下载还是在我的空间：http://wangsea.ys168.com/
口令下次的版本中加入。
最新增加的说明：
调整了一下功能 ...

看得出，Wang兄不但有不错的编程水平，而且有极好的编程习惯！

peak8 · 发表于 2005-6-17 06:58:21

下面引用由wang6071在 2005/06/16 07:59pm 发表的内容：
上一个匆忙改的版本有一个BUG,不能使用用户定义文件userset.ini，所以改进了一下，其的更新见下面。下载还是在我的空间：http://wangsea.ys168.com/
口令下次的版本中加入。
最新增加的说明：
调整了一下功能 ...

建议:让此程序成为windows的服务!,这样就可以在登陆前次程序就已经生效!

xflinlin · 发表于 2005-6-17 10:14:25

学习中。谢谢

galaxytec · 发表于 2005-6-17 13:15:37

我想下载

dinggg1 · 发表于 2005-6-17 14:58:02

找了好久了谢谢分享

老毛桃 · 发表于 2005-6-17 19:18:16

来迟一步，感谢楼主的无私精神，顶一下先

wang6071 · 发表于 2005-6-17 20:00:02

听取了各位朋友的意见，今日更新如下：
1:加入用户退出码,退出号采取随机方式给出(避开了保存密码),防止误退.现在退出注册表监视器有两个方案
a:右键托盘小图标选择退出(需要输入随机的退出号)。
b:通过杀进程“自杀"。
2:userset.ini做了一个小修改
[locklist]段中现在允许使用 reg_sz型及reg_expland_sz型(以前不支持reg_expland_sz型),这样对文件打开方式的锁定基本上都可以使用了.其它的类型一般不会有恶意程序修改.
要注意的是,locklist段支持的reg_expland_sz型必须是你系统存在的键值,若不存在则默认创建的是reg_sz型,这点请大家注意.也就是说,仅可以使用locklist段在注册表中新增一个reg_sz型的键值,其它的类型是不支持新增的.
程序中对rval将自动校验其类型,仅reg_sz及reg_expland_sz型才会做锁定恢复,不再因类型错误写不进注册表而出现系统提示数据类型不匹配的窗口.
3:有朋友们提到程序可以反复加载的问题,其实只有你保持程序自动启动(不手动启动)就没有这个问题,不过修改这一点并不麻烦,所以就顺便加了几行代码保证只有一个"注册表监视器"运行.
4:有朋友提出将程序放到服务中启动,因服务中启动的程序是没有界面的,暂不做这样的考虑.
下载地方不变：http://wangsea.ys168.com/

xubo1971 · 发表于 2005-6-17 20:27:59

下载试用了一下，感觉很不错，进程类型也分开了，我很喜欢它！
发现有一些未知进程未显示路进，希望能改进。

紫狐 · 发表于 2005-6-18 00:06:07

源码没有更新～～～～呵呵～～～

wang6071 · 发表于 2005-6-18 01:06:50

下面引用由紫狐在 2005/06/18 00:06am 发表的内容：
源码没有更新～～～～呵呵～～～

别慌呀,等我再查一下有无BUG,把帮助文件重写一下就上传源码.

would · 发表于 2005-6-18 03:25:21

good啊……真係好利害啊

wang6071 · 发表于 2005-6-18 11:08:19

今天花了三个钟头再次测试并重写了帮助文件(1楼源码及2楼软件说明已更新)
http://wangsea.ys168.com/ 已重上传了加入说明的压缩包。
xubo1971朋友提出的某些未知进程未显示路径，可能是因为这些进程是通过服务加载的，所以无法取得路径。待找到好的方法再解决吧。
软件的基本功能是完成了，如果没有大的改动或者是Bug发现，下一个版本可能要过一段较长的时间才会推出。学习兼资料搜集中.............

pk126 · 发表于 2005-6-18 20:52:24

一为新人报到，二路过，三顶！~

emca · 发表于 2005-6-18 22:34:32

我在使用Mcafee的时候，发现一个非常实用的功能：锁定系统目录，禁止向Windows和System32目录写入EXE或DLL文件。如果这个工具能够实现这个功能，则多数情况下不是用户自己安装程序时，其他试图感染系统目录的企图都应当可以防范的。大家认为如何？当然操作的方便性上大家可以讨论。在此基础上，甚至可以考虑锁定Program Files目录，禁止在其中生成空目录（这可能对于安装新软件有些不便），而如果能够由用户指定不生成哪些文件名或目录就更好了！这就相当于一套特殊的防毒软件，通过作者和热心人对恶意程序特征目录和文件名的提供和收集，把它写入配置文件清单，则我们就拥有对付 3721 之流这类恶意网络黑社会病毒的利器了！这是传统的杀毒软件都不具备的功能！

wang6071 · 发表于 2005-6-19 10:25:51

下面引用由emca在 2005/06/18 10:34pm 发表的内容：
我在使用Mcafee的时候，发现一个非常实用的功能：锁定系统目录，禁止向Windows和System32目录写入EXE或DLL文件。如果这个工具能够实现这个功能，则多数情况下不是用户自己安装程序时，其他试图感染系统目录的企　...

谢谢红叶兄的提议。
监视文件的创建是可以办到的，但如何监视，如何保护（主要是如何分别正常软件与恶意软件）得花点心思去想一个周全的方案。要做到使用上的简单(这样可适用的不同层次的用户),同时又不乏设置上的灵活性，考虑中......

emca · 发表于 2005-6-19 13:53:13

建议：
设置两三个可复选的选项——
■ 禁止在Windows目录创建以下类型文件：
   □ *.Dll □ *.EXE □ *.SYS  □ *.COM □ *.CMD  □ *.VBS
   （注意：安装某些大型软件时可能需要临时取消限制！）
■ 禁止在系统目录和程序目录创建指定的文件或目录（多个项目以半角分号隔开，不区分大小写。如 3721;Dudu;……）
   ————————————（用输入框）
   □同时也禁止访问这些目录或文件
通过上述设置，加上提供一些典型的配置方案（特别是后面那个，相当于病毒特征码了），应当有一定效果。前面一个可宽松一些，默认为选定；后面一个默认可以为选定状态。
大家认为如何？

x521125 · 发表于 2005-6-19 17:20:11

晕我怎么没有查看的权利了呢！！

x521125 · 发表于 2005-6-20 00:09:35

5555为什么我市高级会员怎么就没有威望呢！！

wxw1556 · 发表于 2005-6-20 07:15:00

我怎么不能看呀.

rsjd · 发表于 2005-6-20 10:58:15

源码在哪里？我看看，DELPHI我也是用过不少时间的

cyida · 发表于 2005-6-20 13:07:10

为什么？？？我的威望不够，，想看看

		自动登录	找回密码
密码			注册