无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
楼主: wang6071
打印 上一主题 下一主题

[sysshield]系统安全盾

[复制链接]
601#
发表于 2005-9-21 10:09:21 | 只看该作者

[sysshield]系统安全盾

前几天我下载安装了什么软件,结果D盘根目录下就多出了网络猪。安全顿应该是免疫了网络猪的,现在网络猪有很多版本,名称也各不相同,如pig4setup.exe、yulesetup.exe、pig3setup.exe、wlzsetup30.exe、netpig_setup.exe,只有把这些都加入黑名单。
回复

使用道具 举报

602#
发表于 2005-9-21 11:33:56 | 只看该作者

[sysshield]系统安全盾

今天下载了新版的安全顿,认真看了里面的readme.chm文件,才知道自己以前对安全文件监视设置理解有误。既然文件监视是以“黑名单匹配”和“自定义”这两种方式之一而工作的,“文件监控”栏目直接分成“黑名单匹配方式”和“自定义方式”两个子栏目不更简明吗。目录路进监控设置、类型过滤指定、模糊定义指定在“黑名单匹配方式”方式下无效,就放在“自定义方式”子栏目下,黑名单和免检名单的设置则放在“黑名单匹配方式”子栏目下(自定义方式下可以调用),这样就不易引起误解了。还有,黑名单的设置要是允许通配符就好了,我试着设置的wlzsetup*.exe没起作用。
回复

使用道具 举报

603#
发表于 2005-9-21 15:30:56 | 只看该作者

[sysshield]系统安全盾

下面引用由xubo19712005/09/21 11:33am 发表的内容:
今天下载了新版的安全顿,认真看了里面的readme.chm文件,才知道自己以前对安全文件监视设置理解有误。既然文件监视是以“黑名单匹配”和“自定义”这两种方式之一而工作的,“文件监控”栏目直接分成“黑名单匹 ...
再认真看帮助!!!
回复

使用道具 举报

604#
发表于 2005-9-21 22:53:32 | 只看该作者

[sysshield]系统安全盾

顶啊!
冲啊!
回复

使用道具 举报

605#
发表于 2005-9-22 08:39:00 | 只看该作者

[sysshield]系统安全盾

比较完善了。黑名单大家多提供!!!
回复

使用道具 举报

606#
发表于 2005-9-22 09:40:37 | 只看该作者

[sysshield]系统安全盾

[这个贴子最后由gdlgh在 2005/09/22 09:42am 第 1 次编辑]

红叶兄提供的黑名单:
见这儿
http://bbs.wuyou.net/cgi-bin/topic.cgi?forum=34&topic=9225&start=10176
10178楼
回复

使用道具 举报

607#
发表于 2005-9-22 20:05:28 | 只看该作者

[sysshield]系统安全盾

抽起
回复

使用道具 举报

608#
发表于 2005-9-23 11:53:32 | 只看该作者

[sysshield]系统安全盾

在类型过滤中增加*.cab后目录设置:c:\windows\|ebd
每次启动删了:
C:\WINDOWS\SoftwareDistribution\SelfUpdate\Default\wusetup.cab
不知此文件有什么作用?
回复

使用道具 举报

609#
发表于 2005-9-23 11:53:45 | 只看该作者

[sysshield]系统安全盾

今天再次看了readme.chm文件,了解到“黑名单”采用的是完全匹配方式,自然不支持模糊定义了。自定义设置中,个人感觉可以增加“全盘使用黑名单”选项,在此基础上再增加自定义过滤目录。比如示例设置,C盘根目录下禁止创建任何文件,C盘的子目录下要使用黑名单过滤得一个个目录另外设置。另外可以考虑增加“禁止创建子文件夹”选项,比如在示例设置下在C盘新建一个子文件,则在此子文件夹下就可以任意“胡作非为”了。我个人对双击监控项目的设置方式起初有些不适应,不过用几次也就适应了。如果改为单击选定,再次单击就出现选择框更好,更符合大众用户习惯。另外提两点:1、在“文件监控设置”下点击“设置帮助”无反应;2、“已删文件”栏目并不能显示最后200个文件,好像再次回到这个栏目时就已经清空。
回复

使用道具 举报

610#
发表于 2005-9-23 12:56:14 | 只看该作者

[sysshield]系统安全盾

下面引用由xubo19712005/09/23 11:53am 发表的内容:
另外提两点:1、在“文件监控设置”下点击“设置帮助”无反应;2、“已删文件”栏目并不能显示最后200个文件,好像再次回到这个栏目时就已经清空
第一点不存在,可能是你系统原因。第二点,彼此一样。请wang兄测试。
回复

使用道具 举报

611#
 楼主| 发表于 2005-9-23 13:29:19 | 只看该作者

[sysshield]系统安全盾

关于第二点说明中有提:
-----------------------------------------------------------------------
为避免长时间开机已删文件太多而占用系统资源,已删除文件部份显示的是最后200个文件的情况。
-----------------------------------------------------------------------

回复

使用道具 举报

612#
 楼主| 发表于 2005-9-23 22:51:34 | 只看该作者

[sysshield]系统安全盾

请大家看看,win2003为何出现不了IE工具栏呢?
说明:为了寻找一个简便的解决IE插件的问题,偶决定先关闭syssheild的监测(不关闭用黑名单方式会清掉3721的),并安装上了3721上网助手,但发现了一个新问题:
[UploadFile=1_1127486622.jpg]
图一:请大家看看右下角的3721上网助手的标志,显然3721已经装上了.再看看偶的IE本地设置是中低,可是,IE工具栏空空地,没有任何东西.
[UploadFile=2_1127486837.jpg]
本图是用HijackThis扫描及偶的syssheild显示的启动项,可见3721确实加入了IE工具栏,但偶的IE却显不出任何工具来.
[UploadFile=3_1127486978.jpg]
这是用syssheild显示的进程项,请注意本图与上图中打钩的项目,均是3721的东东.

回复

使用道具 举报

613#
 楼主| 发表于 2005-9-23 22:56:31 | 只看该作者

[sysshield]系统安全盾

[这个贴子最后由wang6071在 2005/09/23 11:06pm 第 1 次编辑]

[UploadFile=4_1127487127.jpg]
这是用syssheild直接关掉3721相关进程的截图,可见3721的进程已经完全被关掉了.当然就不存在删除不了的情况了.
偶奇怪的是,2003系统的IE为何如此安全?直接连IE插件都不加载了.
(说明:偶用的win2003是偶自行精简的,不知是否是精简的原因.另外,IE的internet设置偶用的是自定,应该与工具栏显示与否无关)
不知哪位兄弟知道原因,偶想让IE工具条显示出来,以便让3721好好干活,才好用来做一个测试样本以便开发一个方便清理的工具(偶打算从进程分析开始来查寻软件启动的重要文件,这样才可以做成一个智能清理一切未知插件的工具)
现在的问题是偶的IE不加载插件就不太好摸拟环境了,有哪位兄弟知道原因就告知一声.
回复

使用道具 举报

614#
 楼主| 发表于 2005-9-24 10:48:17 | 只看该作者

[sysshield]系统安全盾

[这个贴子最后由wang6071在 2005/09/24 11:13am 第 1 次编辑]

找到原因了,原来是:
Internet选项——>高级——>浏览中——>“启用第三方浏览器扩展(需要重启动)”
未选中,看来不选中这个比较安全呀!
重新安装了3721,用上述步骤再次做手动删除,一样轻松完成了,没见到反复加载不可删除的情况,难道3721"从良"了吗?
哪位兄弟提供一个难已清除的插件的下载地址,让偶再试试.
回复

使用道具 举报

615#
发表于 2005-9-26 11:02:05 | 只看该作者

[sysshield]系统安全盾

[UploadFile=Filter_1127703635.rar]
在红叶兄的基础上,进一步增加部分黑名单。
回复

使用道具 举报

616#
发表于 2005-9-26 14:38:50 | 只看该作者

[sysshield]系统安全盾

认真用了一段时间,感觉一个很不便的地方:
有时我们对特定目录进行了比较严格的限制时,如果临时想安装一个软件,或者临时解压点什么到临时目录,就可能因文件无法生成而导致程序出错。此时想临时关闭文件监视防护,却不得不打开主窗口界面,然后再找到文件监视,再关闭文件监视功能,完毕后仍然要重复上述复杂的步骤启用防护。
因此,我想,最好是在系统托盘的图标菜单中添加一项“临时禁用文件保护”和“临时禁用注册表保护”菜单项目,并且设置为3分钟后自动重新启用。一般而言,除了大型软件,平时安装一个程序有3分钟已经足够了。
希望WangSea兄弟参考一下。
回复

使用道具 举报

617#
 楼主| 发表于 2005-9-26 20:53:58 | 只看该作者

[sysshield]系统安全盾

re  emca:
   这几日放自已几天假,学习一点其它的东西,暂时没想修改syssheil,过两天就动手增加定时禁用功能.
   同时,这两天研究了Hook的注入方式,找到了直接从Explor的线程中卸载dll的方法.下一版将增加直接从Explore中卸载dll的右键菜单(利用此方式就不必一定要杀了Explorer才能清除注入的钩子啦).
回复

使用道具 举报

618#
 楼主| 发表于 2005-9-26 22:34:38 | 只看该作者

[sysshield]系统安全盾

[UploadFile=1_1127745053.jpg]
如图所示新版的特性,对于每个进程,其子线程现在都可卸载了.这样,任何钩子均可被杀.
当然,图示中杀掉的delphi的子模块后这个delphi进程也会同时被除数杀掉.而如是是Explore中的子线程(如果杀的是红色线程(即注入的模块),则Explorer是不会被杀掉的)
回复

使用道具 举报

619#
 楼主| 发表于 2005-9-26 22:50:56 | 只看该作者

[sysshield]系统安全盾

给大家演示一个无进程钩子的实例
[UploadFile=1_1127746034.jpg]
注意:本图中的钩子是一个无进程钩子,进程列表中没有显示,注入了Explorer中
[UploadFile=2_1127746094.jpg]
这是一个清理后的截图
目前,本功能尚有一点小问题,就是第一次清除时会显示一个关机对话框,取消即可.另外,有时列表不能自动刷新,得执行几次[卸截线程]才完全清理出钩子.所以,暂不提供下载
回复

使用道具 举报

620#
发表于 2005-9-26 22:53:08 | 只看该作者

[sysshield]系统安全盾

越来越实用了!顶!!
希望国庆能够得到WangSea兄弟的特殊礼物…………
全体兄弟之幸!
回复

使用道具 举报

621#
发表于 2005-9-27 14:07:13 | 只看该作者

[sysshield]系统安全盾

这里不是学习的地方吗?怎么还设威望啊!郁闷啊!
回复

使用道具 举报

622#
发表于 2005-9-27 14:57:43 | 只看该作者

[sysshield]系统安全盾

怎么加呀..看不到.
回复

使用道具 举报

623#
发表于 2005-9-27 21:27:09 | 只看该作者

[sysshield]系统安全盾

学习
回复

使用道具 举报

624#
 楼主| 发表于 2005-9-27 23:22:45 | 只看该作者

[sysshield]系统安全盾

[UploadFile=z1_1127834242.jpg]
本图中下面的列表代表选中进程的线程部份,也是可以安全卸载的.
注意:
    红色部份是非系统线程,我们一般对此作操作.
    对于进某些进程会因其线程的卸载而导致本进程的关闭.
    对于注入Explorer中的无进程钩子线程,如果其注入是在syssheild加载之后的,一般是可以卸出的,但有可能你需要连续执行几次卸载线程.程序对此专门做了处理,会在10秒内连续不断地发送关闭信息给钩子线程(所以您会在发现会出现好几次等待漏斗).但因钩子线程的特殊性,有可能不能卸出,可以尝试再次执行卸载线程.一旦成功,则窗口会立即最小化以通知完成卸载.
    对于启动在syssheild之前的钩子,可以尝试多做几次卸载,实在不行也只有杀掉Exploer,但请不要退出syssheild,则再次加载的钩子就可卸出了.
[UploadFile=z2_1127834289.jpg]
右键菜单加入了一个方便安装而做的关闭监视的窗口.本窗口在显示的时侯则所有syssheild中定义的监视全部失效.同时,关闭时也会更新一次syssheild注册表监视名单.

点右上角的[X]和[退出]都是关闭窗口并重新开启监视.当然,如果你先关只使用了sysheild的一部份功能,重新开启也只启了这部份功能.
要下载完整的syssheild请到(程序及帮助已更新,黑名单用了gdlgh 兄弟最后整理的最新版)
http://free.ys168.com/index.aspx?wangsea
回复

使用道具 举报

625#
 楼主| 发表于 2005-9-27 23:23:44 | 只看该作者

[sysshield]系统安全盾

以前下载了sysheild的兄弟可以在此下载升级的主程序(仅主程序).
[UploadFile=S1_1127834608.rar][UploadFile=S2_1127834618.rar]
回复

使用道具 举报

626#
发表于 2005-9-28 10:18:00 | 只看该作者

[sysshield]系统安全盾

[这个贴子最后由xdg3669在 2005/09/28 02:08pm 第 6 次编辑]
下面引用由wang60712005/09/27 11:22pm 发表的内容:
右键菜单加入了一个方便安装而做的关闭监视的窗口.本窗口在显示的时侯则所有syssheild中定义的监视全部失效.同时,关闭时也会更新一次syssheild注册表监视名单.
...
是否能这样改:
  1、为安装程序而做的关闭监视------保留黑名单过滤监视,或增加一项“只启用黑名单过滤监视”,毕竟安装程序时最要防范的就是黑名单文件!
  2、是否能够建立一个删除文件日志,以便了解删除了什么文件。
  3、是否能够把删除文件备份,以便在误删时恢复(我就碰到删了aclayer.dlL文件,这文件在有的地方是木马,但在autocad 2006是需要的),可以考滤限制备份文件夹的大小和时间!
 
  (个人认为一个成熟的软件也必须完善它的工作日志记录和备份, 望wang6071兄考滤 )

  经测试在新版中有一个BUG:
   我要安装程序或复制一些文件到C:\windows,我工作在自定义目录监视状态设置见下图,操作:右键---暂停所有监视------安装或复制文件-----完毕----(仍在暂停所有监视状态)打开安装或复制文件目录,文件存在且能正常运行----退出暂停所有监视状态-----结果发现它仍然按自定义目录监视过滤了文件!
[UploadFile=a3_1127887224.jpg]
回复

使用道具 举报

627#
 楼主| 发表于 2005-9-28 18:36:59 | 只看该作者

[sysshield]系统安全盾

[UploadFile=3_1127903672.jpg]
谢谢xdg3669兄弟的测试,先修复Bug并做一个小更新
[UploadFile=s1_1127903741.rar][UploadFile=s2_1127903752.rar]
上面的是仅是主程序的更新,http://wangsea.ys168.com/ 上的完全版也步更新了.
回复

使用道具 举报

628#
发表于 2005-9-29 05:54:09 | 只看该作者

[sysshield]系统安全盾

看不到...
回复

使用道具 举报

629#
发表于 2005-9-29 07:40:48 | 只看该作者

[sysshield]系统安全盾

支持!向前冲!
回复

使用道具 举报

630#
发表于 2005-9-29 07:51:52 | 只看该作者

[sysshield]系统安全盾

1、临时暂停监视时,提醒对话框体积太大,有点妨碍其他正常操作。建议改小一点,但字体颜色可改得稍醒目一些。另外,那个暂停按钮的内容不应当是“退出”,那样易导致误解,我认为最好改为“恢复监视”。我试着修改了一下资源,效果如下:
[UploadFile=1_1127951108.jpg]
2、我多次试图通过主窗口中的“添加到启动组”按钮来添加自动加载的程序,但点击那个按钮毫无反应。可能是我使用不正确?
3、暂停监视的时间计时建议改成倒计时,比如 5 分钟(安装一套Office的时间也足够了),那样就算用户真的干活忘记了恢复监视也不要紧。大家综合考虑一下。
4、打算近日将它放在一台专门的服务器上测试其对服务器的固化保护效果。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-1 22:25

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表