[sysshield]系统安全盾

xubo1971

下面引用由wang6071在 2005/09/12 01:05pm 发表的内容：
刚才测试了一下,没有出现您报告的问题.如下测试用EruNT等工具备份当前注册表.
2:将syssheild的打上勾,然后退出syssheild.
3:将yourset.ini中的
  Dhcp=E:\WINDOWS\system32\svchost.exe -k NetworkService  删除
...

我没有安装新软件，只是退出安全顿后，替换主程序然后重新打开它，结果就不断地蹦出对话框，最后没法只好点击了N次确定。重新下载并替换主程序时没有出现上述情况，可是进程项目里只有13项了（关闭Flashget后变成了14项）。
现在yourset文件里的服务列表：
[CurServices]
Alerter=C:\WINDOWS\system32\svchost.exe -k LocalService
ALG=C:\WINDOWS\System32\alg.exe
AppMgmt=C:\WINDOWS\system32\svchost.exe -k netsvcs
AudioSrv=C:\WINDOWS\System32\svchost.exe -k netsvcs
BITS=C:\WINDOWS\system32\svchost.exe -k netsvcs
Browser=C:\WINDOWS\system32\svchost.exe -k netsvcs
CiSvc=C:\WINDOWS\system32\cisvc.exe
ClipSrv=C:\WINDOWS\system32\clipsrv.exe
ERSvc=C:\WINDOWS\System32\svchost.exe -k netsvcs
Eventlog=C:\WINDOWS\system32\services.exe
EventSystem=C:\WINDOWS\system32\svchost.exe -k netsvcs
FastUserSwitchingCompatibility=C:\WINDOWS\System32\svchost.exe -k netsvcs
helpsvc=C:\WINDOWS\System32\svchost.exe -k netsvcs
HidServ=C:\WINDOWS\System32\svchost.exe -k netsvcs
HTTPFilter=C:\WINDOWS\System32\svchost.exe -k HTTPFilter
ImapiService=C:\WINDOWS\system32\imapi.exe
lanmanserver=C:\WINDOWS\system32\svchost.exe -k netsvcs
lanmanworkstation=C:\WINDOWS\system32\svchost.exe -k netsvcs
LmHosts=C:\WINDOWS\system32\svchost.exe -k LocalService
McAfeeFramework=C:\Program Files\Network Associates\Common Framework\FrameworkService.exe /ServiceStart
McShield="C:\Program Files\Network Associates\VirusScan\mcshield.exe"
McTaskManager="C:\Program Files\Network Associates\VirusScan\vstskmgr.exe"
Messenger=C:\WINDOWS\system32\svchost.exe -k netsvcs
mnmsrvc=C:\WINDOWS\system32\mnmsrvc.exe
MSDTC=C:\WINDOWS\system32\msdtc.exe
MSIServer=C:\WINDOWS\system32\msiexec.exe /V
NetDDE=C:\WINDOWS\system32\netdde.exe
NetDDEdsdm=C:\WINDOWS\system32\netdde.exe
Netlogon=C:\WINDOWS\system32\lsass.exe
Netman=C:\WINDOWS\System32\svchost.exe -k netsvcs
Nla=C:\WINDOWS\system32\svchost.exe -k netsvcs
NtLmSsp=C:\WINDOWS\system32\lsass.exe
NtmsSvc=C:\WINDOWS\system32\svchost.exe -k netsvcs
PlugPlay=C:\WINDOWS\system32\services.exe
PolicyAgent=C:\WINDOWS\system32\lsass.exe
ProtectedStorage=C:\WINDOWS\system32\lsass.exe
RasAuto=C:\WINDOWS\system32\svchost.exe -k netsvcs
RasMan=C:\WINDOWS\system32\svchost.exe -k netsvcs
RDSessMgr=C:\WINDOWS\system32\sessmgr.exe
RemoteAccess=C:\WINDOWS\system32\svchost.exe -k netsvcs
RemoteRegistry=C:\WINDOWS\system32\svchost.exe -k
LocalService
RpcLocator=C:\WINDOWS\system32\locator.exe
RpcSs=C:\WINDOWS\system32\svchost -k rpcss
RSVP=C:\WINDOWS\system32\rsvp.exe
SamSs=C:\WINDOWS\system32\lsass.exe
SCardSvr=C:\WINDOWS\System32\SCardSvr.exe
Schedule=C:\WINDOWS\System32\svchost.exe -k netsvcs
seclogon=C:\WINDOWS\System32\svchost.exe -k netsvcs
SENS=C:\WINDOWS\system32\svchost.exe -k netsvcs
SharedAccess=C:\WINDOWS\system32\svchost.exe -k netsvcs
ShellHWDetection=C:\WINDOWS\System32\svchost.exe -k netsvcs
Spooler=C:\WINDOWS\system32\spoolsv.exe
srservice=C:\WINDOWS\system32\svchost.exe -k netsvcs
以前的yourset我没有备份，无法与现在的对比。

xubo1971

[这个贴子最后由xubo1971在 2005/09/13 06:59pm 第 1 次编辑]

提个小建议，系统安全顿主程序的栏目似乎可以调整一下，“文件监控设置”最好放在“文件监控”一栏里，“文件监控”栏目可以这样设置：分为左右两栏，左边一栏是“删除文件列表”，包括“已删文件”和“顽固文件”。右边一栏设置是“文件监控设置”，包括“监视级别”，最下面是“重启后开启文件监视”、“关闭文件监视”等按钮或选项。

転生の炎

这么多年了,,终于弄到个好用的了,,:)  感谢LZ

転生の炎

嘿嘿,,楼主是用五笔的呀,,,有个地方有错字!!
[UploadFile=error_1126582402.jpg]

lj858155

就是老板键的功能 可以让不能让人看见的窗口隐藏起来

xubo1971

若程序提供一到两个外部个接口，让用户能够自定义调用一些第三方工具（比如红叶的网络垃圾程序免疫程序等）就好了。

xubo1971

调整列宽的功能好像不能保存！

wang6071

先不说其它,更新先:
[UploadFile=S_1126616065.rar][UploadFile=S_1126616076.rar]
本次更新解决空设置时有漏删现象,至于复合设置是否在本次更新更新后还有漏删现象请各位兄弟帮忙测试(就用那个酷宝.exe安装程序就可试验了,不必担心垃圾,其卸载还是比较彻底的．偶已反复安装删除了N次了)
下面回复各位兄弟的建议：
to xubo1971:
  您说：我没有安装新软件，只是退出安全顿后，替换主程序然后重新打开它
  您没有仔细看我发布测试在554楼写的升级说明．
to xubo1971 :
  谢谢您对界面的建议，等有时间再做它吧．
to 転生の炎 :
  谢谢您的指证，本版已更证了打字之误．
to lj858155 :
  老板键还是找个其它程序来完成吧，偶还是不想把syssheild搞得太复杂．
to   xubo1971:
　您说：若程序提供一到两个外部个接口，让用户能够自定义调用一些第三方工具（比如红叶的网络垃圾程序免疫程序等）就好了。
　syssheild本身就内置了垃圾免疫的界面,注意到<注册表工具>页了吗?那是可以自我添加的．添加的内容都存在inreg.dat中，格式与注册表导出的.reg格式相同，只是提供了分段等功能以便减少各做.reg优化文件的数量)
  至于：调整列宽的功能好像不能保存！
  是这样的，要保存太耗内力(偶没做过要完全从头开始写，虽然不难但偶的空闲时间并不多，所以请见谅．并且syssheild设计的目的就是要减少用户干预，并不成天对面这个界面，能省就省了吧．：　）
   

xdg3669

[这个贴子最后由xdg3669在 2005/09/14 07:19am 第 1 次编辑]

经测试：
1、空设置时已没有漏删现象,复合设置本次更新更新后也已没有漏删现象！
2、在启动项中有一注册表监视键，不知是监视什么项目？如为监视启动项，是否与其他键合并？

aaron01

dsdddddddddddddd

wang6071

下面引用由xdg3669在 2005/09/13 10:06pm 发表的内容：
经测试：
1、空设置时已没有漏删现象,复合设置本次更新更新后也已没有漏删现象！
2、在启动项中有一注册表监视键，不知是监视什么项目？如为监视启动项，是否与其他键合并？

关于第二条，监视的是注册表中的run等键值(非服务性),此类键值一般删除不影响程序的运行（仅仅是自动启动要改成手动打开而以),比如QQ的自动运行,relone的自动更新等．
监视器对此类键值采用直接删除新增的方法，就是右下角跳出已删除XX键值的小窗口．
因为即便删除此类键值，要添加也很方便，关闭一下注册表监视，然后手动打开程序，大部份都有开机时自动运行的选项，手动执行一次就加入了．
采用自动删除的目的就是防止一些程序不通就悄悄地添加到开机启动中，不提示删除是让用户不受干扰，它不同于服务，服务删除了要重新安装程序才能加入，而这类键值一般运行程序后就能加入了．

lj858155

下面引用由wang6071在 2005/09/14 08:33am 发表的内容：
采用自动删除的目的就是防止一些程序不通就悄悄地添加到开机启动中，不提示删除是让用户不受干扰，它不同于服务，服务删除了要重新安装程序才能加入，而这类键值一般运行程序后就能加入了．

希望能手动控制，方便在加入的时候重复工作。

xdg3669

[这个贴子最后由xdg3669在 2005/09/15 07:30am 第 1 次编辑]

下面引用由wang6071在 2005/09/14 08:33am 发表的内容：
关于第二条，监视的是注册表中的run等键值(非服务性),此类键值一般删除不影响程序的运行（仅仅是自动启动要改成手动打开而以),比如QQ的自动运行,relone的自动更新等．
监视器对此类键值采用直接删除新增的方法， ...

多谢指导，受益菲浅！但旁边不是有一个锁定启动项吗，锁定后应把RUN启动项目也锁定吧！

wang6071

to lj858155 :
  您说:希望能手动控制，方便在加入的时候重复工作。
  这个偶不会去改变它,因为经过长期实践,大部份的程序都不需要每次开机就运行.反倒是N多恶意程序通过开机运行对系统造成影响(N多菜鸟中招就是这么来的,给个选项并不见得他就会选择不在开机时运行).同时,偶也不希望一开机就打开数个程序耽误开机时间,占用系统资源及影响系统速度(偶总是在需要使用某个程序时才运行它)
  想想看,比如迅雷,BtXX等软件,在普通adsl拔号上网时开机还未拔号就试图联络网络对系统的影响您就会觉得开机就运行这些东西有多么不划算.

lj858155

有点遗憾哈 但是不要紧 希望做得更好

wang6071

to xdg3669 :
  但旁边不是有一个锁定启动项吗，锁定后应把RUN启动项目也锁定吧！

这个锁定指的是不管是syssheild退出还是机器重启,都保证yourset.ini中记录的启动项不被新增.用了某些情况下关闭了syssheild后被恶意程序新增了启动或服务的情况下的检测.
to  lj858155 :
   请原谅偶的固执,因为偶的菜鸟朋友经常犯偶说的那种低级错误,偶可不想天天跑去给他维护系统.
下面给出syssheild的主程序新的更新,本次更新解决[文件监控件]提示的显示(以前要单击才提示),及保存前必须保选择不出现才行的界面问题.
  [UploadFile=1_1126765214.rar][UploadFile=2_1126765226.rar]

xdg3669

细节都完善了，已成为精品！大家一起支持啊！

xubo1971

syssheild内置的<注册表工具>应该只能导入注册表信息吧，如果要调用一个可执行文件怎么办？

wang6610

再顶

xubo1971

最近我用Nlite精简Winxp，试了N遍都不成功，每次在NPC上测试都是安装时出现蓝屏。今日才发现是安全顿把NTDLL.DLL文件给删除了，难怪会如此!可是安全顿里文件监控设置的监控目录只有C盘呀。请问如何增加或者减少监控目录？

wang6071

下面引用由xubo1971在 2005/09/16 09:55pm 发表的内容：
最近我用Nlite精简Winxp，试了N遍都不成功，每次在NPC上测试都是安装时出现蓝屏。今日才发现是安全顿把NTDLL.DLL文件给删除了，难怪会如此!可是安全顿里文件监控设置的监控目录只有C盘呀。请问如何增加或者减少　...

虽然路径设置中只有C盘，但您的监控方式采用的是[黑名单]方式，而此方式时用黑名单来监控全盘，是不理会设置的路径的。（当然，你也可以是黑名单中临时将NTDLL.DLL删除即可)
所以，要达到你的目的，必须采用[自定义]方式来监控。

lj858155

哈哈 就是 每次都需要改一下 能不能以后安全盾的内部安装机制 让安装软件的时候自动改为黑名单

xdg3669

监控、防毒、防黑之精品，上、上、上！

cuijian

没想到还要威望！

lj858155

下面引用由xdg3669在 2005/09/18 08:26pm 发表的内容：
监控、防毒、防黑之精品，上、上、上！

推士机

此贴不能沉，顶上！

gdlgh

不沉的目的是让大家都用上，刚来的弟兄应潜水看看，别提威望等之类的问题。
好东西大家分享！！！

wang6071

前不久用syssheild清除了一台已感染 博采网摘 的机器,经历有点曲折,写在这里给大家研究.
1:发现进程中buup.exe可疑,于是在进程显示页中关闭其进程,并按进程显示页中显示的位置在system32下删除buup.exe.
2:在启动组中将buup.exe的加载删除.
3:在黑名单中添加buup.exe时才发现buup.exe已经有了.
4:本以为这样就清理干净了,哪知开机后发现buup.exe还在进程列表中,并且syssheild右下角不断跳出自动删除新增启动项的窗体(楼上偶不愿改变这个原因就在此了).到system32下查看又找不到buup.exe,看来syssheild是工作正常的,但为何这个buup.exe还在不断产生呢?
5:上网查询,得知buup.exe是由bocaitoolbar.dll产生的,而bocaitoolbar.dll是加载到浏览器工具条上,由浏览器启动的,怪不得清除了buup.exe又反复生成并加载了.
6:于是先查找到bocaitoolbar.dll,然后在进程页中关闭buup.exe及explorer,并立即删除了bocaitoolbar.dll,终于将博采网摘清理出系统.
7:善后工作，将bocaitoolbar.dll加到黑名单中．(请大家在自已的黑名单中加入这个)
感想：
1:用syssheild是不用到安全模式下清理东西的（网上谈到的是要到安全模式下清除）
2:虽然用syssheild能够如上面的操作清理一些恶意程序，但仍然使用起来需要操作者有一定的用机经验，所以看来以后还得把这些IE工具条的加载加入到监测项目中才能第一时间预防恶意程序的入侵．
btw:现在不急于更新shsheild,再深入研究一下其它的方式，看看能否找到更简便更智能的监测方式．(syssheild截止9月20的更新已放到了偶的空间 http://wangsea.ys168.com
仅更新了一下说明，其它的如楼上的更新)

6618

下面引用由wang6071在 2005/09/20 07:33pm 发表的内容：
感想：
1:用syssheild是不用到安全模式下清理东西的（网上谈到的是要到安全模式下清除）
2:虽然用syssheild能够如上面的操作清理一些恶意程序，但仍然使用起来需要操作者有一定的用机经验，所以看来以后还得把这些IE工具条的加载加入到监测项目中才能第一时间预防恶意程序的入侵．

其实不管使用什么杀毒或防毒软件，都需要使用者有一定的用机经验，当然还是期待wang6071兄弟不断完善。

冰上人

  这个安全盾，作用蛮大的，多谢了！
  有两个小问题：
   1,前几天一个进程，我删了，可它不断地自己加入到启动项中！好像是与3721相关的。
   2,有的非系统进程关不了。我常刻碟，为保证质量，总是关掉杀毒防火的进程，但安全盾关不了诺顿的RTVSCAN进程，用超强也不行。