[sysshield]系统安全盾

wang6071

谢谢红叶兄的建议,更感谢红叶兄提供的参考键值
最近研究了一下hxdef1000的工作方式,发现95%以上的后门、木马及恶意软件的工作方式还是工作在win32上的ApiHook上的，其驱动主要作隐藏进程本身用。但是由于研究Hook的文章多而反Hook的文章少，所以相对来说Hook要容易。
好在多天研究终于有了一点心得，下面提供的程序是最早推出的驱动检测进程的升级版(只适用于win2003sp1以下版本，win2000,winxp是支持的),这个程序中针对HOOK作了反HOOK处理，所以一般性的HOOK是无法插入本进程的（可以用 金山快译 来Hook一下本进程后再查看模块信息，您会发现本进程加载的模块中绝对没有金山的模块)
同时，本程序对ZwOpenProcess进行了还原处理，所以可以直接检测到Hackdef100的隐藏进程并允许您杀死这个进程（目前只还原了这个Api,不过有此方法后还原其它Api也是容易的了)

[UploadFile=Image1_1139311853.jpg][UploadFile=1_1139311870.rar][UploadFile=2_1139311884.rar]

ly001

[这个贴子最后由ly001在 2006/02/07 09:36pm 第 1 次编辑]

谢谢wang6071 ！但用了您出的“syscheck20060207”出现了：进程管理模块看不到，退出时有如图错误，系统为XPSP2，不知为何？[UploadFile=Snap2_1139319040.bmp]

wang6071

谢谢ly001兄弟的反馈,之所以用反Hook方案主要就是想尽量使程序的兼容性强些,不过这次又忘了去掉列模块时以前采用的硬编码方案了.
下面是修正过来的用纯API的,应该没有兼容问题
[UploadFile=syscheck20060207_1139322786.rar][UploadFile=syscheck20060207_1139322804.rar]

emca

测试了最后两个版本，问题如下：
1、进程列表中只能出现Syscheck本身；其他进程一律看不到。其他选项正常。
2、关闭时，出现“应用程序错误”对话框，“应用程序发生异常 unknown software exception(0xc00000fd)”……
3、试图中止一个第三方服务 Diskeeper 时，确定后出现内存访问冲突的英文提示。
而更早期的版本能够正常使用，但偶尔也不能显示进程（不稳定）。
另外，建议添加版本号信息，以方便版本管理。

yexingqi

得益匪浅!感謝樓主提供這麼好的軟件，另外，我記憶中紅葉大師好像漢化過一個國外的軟件，也是防止注冊表被加入字符的，我覺得效果不錯（抱歉現在沒在家，忘記這個軟件名字了）也許能對樓主做個參考？

ly001

谢谢wang6071 ！在WIN2KSP4系统下试用您改进后的版本又出现了如图，不知是系统的原因还是别的什么。。。。。。[UploadFile=Snap1_1139369045.bmp]

wang6071

今天在winxp sp2下试了一把,果然如此.
原来是winxp sp2不太支持ring3下进入ring0的方式所致,换成驱动果然ok(原想不用驱动的,以前发布的都是伪驱动版,主要是担心用了驱动不稳定,但实测结果用驱动反而稳定性更高一点).进程在换成驱动工作的方式下可以正常显示
同时,发现winxp sp2下本程序的反Hook方式中的两项有些冲突(这就是退出时要出错的原因),解决方案暂未找到,待解决这个问题后一并上传新版syssheck

emca

使用先前的 Syscheck 查看老外的 Ghost Security Suite，原来它果然也采取的是 Hook 的工作方式，将任何应用程序对注册表的访问操作都 hook 了，从而实现对注册表的监视与保护，只不过它支持读取特定的注册表路径定义而已。发现它 Hook 的函数有 CreatKey  CreateThread  DeleteKey  DeleteValueKey  EnumerateKey  EnumerateValueKey  QueryKey  QueryMultipleValueKey  QueryValueKey  SetValueKey。如此看来， Wangsea 兄以前的 SysShield 是否也可以学习一下  Ghost Security Suite，让这个很好的程序更上一层楼？
附本人汉化的 Ghost Security Suite 特别版本（已经附带本人自用的规则库）：
共 6 个压缩包，全部下载后顺序放一起再解压：
[UploadFile=GhostSecuritySui_1139395852.rar][UploadFile=GhostSecuritySui_1139395944.rar][UploadFile=GhostSecuritySui_1139395954.rar]

emca

接上面——
[UploadFile=GhostSecuritySui_1139395992.rar][UploadFile=GhostSecuritySui_1139396003.rar][UploadFile=GhostSecuritySui_1139396013.rar]
完毕。
注意已经是最新版本，不要升级！！

wang6071

新版,请各位试试还有没有问题
[UploadFile=Syscheck20060208_1139396725.rar][UploadFile=Syscheck20060208_1139396735.rar]

wang6071

谢谢红叶兄,偶下载来学习一下.
不管杀毒软件还是后门级软件,都是采用Hook方式工作的,只是有的工作在win32级有的工作在驱动级.工作在win32级的Hook后门大都要对所有进程进行修改(写得不好就会有非法操作等错误),而工作在驱动级的Hook则没有这么麻烦(其不足就是大多存在系统兼容问题,必须随系统版本的升级而升级).

6618

[这个贴子最后由6618在 2006/02/08 07:51pm 第 2 次编辑]

我在网吧上网，下载新版试了一下，出现如下错误对话框，使用不了。
[UploadFile=2_1139399293.jpg]
网吧使用的是2000的系统，装有一个计费的程序，不知是否与此有关。

6618

在运行处输入regsv32 iphlpapi.dll有如下的提示:
[UploadFile=2_1139403980.jpg]
从提示看，iphlpapi.dll已加载了，但找不到程序输入点？

dwchyj

支持一下！

xdg3669

下面引用由wang6071在 2006/02/08 07:06pm 发表的内容：
新版,请各位试试还有没有问题

我用新版，打不开！！！系统是XP sp2！

emca

我在 Windows XP SP2 环境测试最新的版本，结果：
1、双击后报告“程序不兼容你的系统版本……”，但确定后仍然能够打开；
2、打开程序后，进程列表无任何内容，其他都有内容，且基本正常；
3、会自动释放 Ring0Port.sys 文件到当前目录。这个驱动文件我不建议释放在当前目录，为方便在光盘等只读环境使用，最好释放到 %TEMP% 的位置，希望 Wang 兄考虑一下：）

wang6071

[UploadFile=syscheck20060208_1139410060.rar][UploadFile=syscheck20060208_1139410073.rar]
这是for xp的,先前在win2003下编译程序(偶的虚拟机运行缓慢),没注意到与xp有不同,所以有误,现在更正.
另外:谢谢emca的建议,偶本打算释放到临时目录的,但怕有兄弟将安全盾的自定义设置在监时目录下过滤敏感文件,下次修正它.

wang6071

[UploadFile=Syscheck20060208_1139410298.rar][UploadFile=Syscheck20060208_1139410308.rar]
关于6618兄弟反映的win2000下的问题,估计是端口监视中使用的api在win2000下有所不同,所以这一版去掉了它,请有win2000环境的朋友测试一下是否正常(另外,不知道是否恢复代码是所取与xp是否相同,我是按xp设置的,所以可能进程不正常,不管如何请通知一下结果.)

0979yangxw

好東東，學習中 謝謝

紫狐

下面引用由wang6071在 2006/02/08 10:51pm 发表的内容：
这是for xp的,先前在win2003下编译程序(偶的虚拟机运行缓慢),没注意到与xp有不同,所以有误,现在更正.
另外:谢谢emca的建议,偶本打算释放到临时目录的,但怕有兄弟将安全盾的自定义设置在监时目录下过滤敏感文件,　...

最好不用临时生成，直接与程序放在同目录，这样可以直接调用。

emca

上述两个在XP环境均出现系统环境不符的提示，同时进程列表空白。其他正常。
而我手头一个 1-18 的版本则XP下一切正常：）

推士机

偶这里上述两个在XPSP2环境下一切正常。

wang6071

[UploadFile=Syscheck20060209_1139459818.rar][UploadFile=Syscheck20060209_1139459827.rar]
再次修正算法,应可更稳定一些.
另外:
   本程序必须复制到本机上运行,远程目录运行时进程列表会失败.

ly001

感谢wang6071制作的好东东，但是否完善下？ [UploadFile=Snap4_1139466366.bmp]

wang6610

xpsp2
[UploadFile=www_1139467417.jpg]
[UploadFile=wwww_1139467444.gif]

推士机

初步测试20060209版在xpsp2下一切正常

szlxy58

谢楼主分享，看看去。

wang6071

本次按紫狐兄的意见不再释放驱动,所以多了一个文件
按ly001兄意见将进程页"汉化"了
wang6610兄弟反映的问题有点奇怪,不知是否是您的系统中有一些程序干扰了syscheck的工作，不如试试新版(有一点忘了告诉大家，也忘了修改，就是dmp出的hiv也在程序本身目录，若是只读环境当然生成不了hiv文件，下次修正)
目前恢复了本进程中的如下函数,由于恢复这么多api,所以不知其它系统下效果如何,请各位兄弟在测试:
ZwOpenProcess             NtQuerySystemInformation
NtVdmControl              NtQueryObject
NtQueryInformationThread  NtResumeThread
NtSuspendThread           NtOpenThread
NtEnumerateKey            NtEnumerateValueKey
NtQueryVolumeInformationFile LdrInitializeThunk
NtOpenSection             NtMapViewOfSection
NtUnmapViewOfSection      NtOpenDirectoryObject
NtAllocateVirtualMemory   NtFreeVirtualMemory
NtDuplicateObject         NtReadVirtualMemory
NtWriteVirtualMemory      NtQueryVirtualMemory
NtFlushInstructionCache   NtProtectVirtualMemory
NtQueryInformationProcess NtOpenKey
NtCreateFile              NtDeviceIoControlFile
NtOpenFile                NtNotifyChangeDirectoryFile
NtWaitForSingleObject     NtWaitForMultipleObjects
NtDelayExecution          NtQuerySystemTime
NtWriteFile
以上函数按照hxdef100来设定,所以此类后门所隐藏的文件目录将失效.
在进程页,服务管理页中,右键有一个 定位文件功能,可以定位到隐藏进程所在的目录,
非隐藏进程则可定位到程序本身,各位兄弟在杀进程前可先用此功能定位文件,杀之后
再删除文件,这样方便一点,以查找之苦.

[UploadFile=syscheck_1139496741.rar][UploadFile=syscheck_1139496764.rar]

emca

上面版本仍然在 Windows XP SP2 真实环境中显示“初始化失败，本例程不能使用于您的系统，请退出”，同时进程列表不能显示，其他基本正常。

wang6071

下面引用由emca在 2006/02/09 11:23pm 发表的内容：
上面版本仍然在 Windows XP SP2 真实环境中显示“初始化失败，本例程不能使用于您的系统，请退出”，同时进程列表不能显示，其他基本正常。

奇怪呀,偶测试过 winxp sp2 (5.1.2600.2180)  虚拟机中测试
                win2003   (5.2.3790.0)     实机检测
事实上程序中仅检测了是否是 2195(win2000) 2600(winxp)  3790(win2003)
偶怀疑是您的系统中有某个保护(或者登陆权限不够)造成偶的驱动加载不成功.