[sysshield]系统安全盾

emca · 发表于 2006-2-10 00:02:45

我已经关闭了所有监视工具，连杀软都禁用了，后台也确信没有其他东西。
另外，它判断系统版本时，是否需要读取哪些注册表键值？

wang6071 · 发表于 2006-2-10 00:12:48

加载驱动时需要在注册表中创建如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KernelPort
创建加载后立即作了删除该键值的操作

ly001 · 发表于 2006-2-10 09:45:56

[这个贴子最后由ly001在 2006/02/10 09:51am 第 1 次编辑]

下面引用由emca在 2006/02/09 11:23pm 发表的内容：
上面版本仍然在 Windows XP SP2 真实环境中显示“初始化失败，本例程不能使用于您的系统，请退出”，同时进程列表不能显示，其他基本正常。

有两个文件，是不是少释放了这个“Ring0Port”文件。另外，我菜鸟一个，感觉wang6071楼主做成单文件运行的更简洁

推士机 · 发表于 2006-2-10 11:27:00

下面引用由ly001在 2006/02/10 09:45am 发表的内容：
有两个文件，是不是少释放了这个“Ring0Port”文件。另外，我菜鸟一个，感觉wang6071楼主做成单文件运行的更简洁

红叶老大不可能犯这样的低级错误。也许老大的系统优化设置得太严格了，或者用的是安全XP吧

wang6071 · 发表于 2006-2-10 12:24:35

还原成单个文件方式(考虑两个文件易丢失其一),释放目录都设在了临时目录中了.
同时,修正页面切换时有可能发生的一个错误.
[UploadFile=syscheck20060210_1139545447.rar][UploadFile=syscheck20060210_1139545461.rar]

emca · 发表于 2006-2-10 18:11:49

完全相同的系统环境，这次终于一切正常了，哈哈！感谢Wangsea兄的好东东！

wang6071 · 发表于 2006-2-10 21:28:59

下面引用由emca在 2006/02/10 06:11pm 发表的内容：
完全相同的系统环境，这次终于一切正常了，哈哈！

同喜，证明程序的兼容性还是不错的，偶原来想如果真的兼容性太差，就换用另一种不用驱动的较Bt的方法来修改，现在看来用不着了．可以慢慢研究一下在win32级暴力枚举的可行性啦(好处是不用驱动，兼容性更好)．

推士机 · 发表于 2006-2-11 14:23:29

下面引用由wang6071在 2006/02/10 12:24pm 发表的内容：
还原成单个文件方式(考虑两个文件易丢失其一),释放目录都设在了临时目录中了.
同时,修正页面切换时有可能发生的一个错误.

好使，一切正常！wang兄辛苦了，祝元宵、情人节快乐！

6618 · 发表于 2006-2-11 17:18:18

最后一个版本，我在XP-SP1和XP-SP2系统下测试一切正常，有时间在在网吧的2000系统试试看正不正常，感谢分享。

emca · 发表于 2006-2-11 19:57:48

元宵节祝WangSea以及其他各位兄弟节日快乐！并预祝Wangsea懒人节快乐，MM 成堆、情人成群！：D

老毛桃 · 发表于 2006-2-11 21:55:20

不错不错，楼主果然是高手

6618 · 发表于 2006-2-12 13:51:25

终天有时间在2000的网吧试一试了,最后一个版本还是像以前的版本出现一样的错误,也许是此网吧的制限所造成的吧?
[UploadFile=2_1139723483.jpg]

6618 · 发表于 2006-2-12 14:23:05

[这个贴子最后由6618在 2006/02/12 02:25pm 第 1 次编辑]

下面引用由emca在 2006/02/07 10:56am 发表的内容：
先顶一把!!!!!!!!!!!!!!!!!!!!!!
感觉 Wangsea 的东东越来越不错了,收录备用！反黑利器真是好东西！
近来一直在国外的安全相关论坛潜水，感觉外面的世界真的很精彩！相比之下，国内显得死气沉沉，要不是 Wangsea 兄等高手偶尔出来搅和一下，国内的安全界真的差劲的很！就连国内三大杀毒巨头也毫无新意，一切以商业利益为驱动，根本不把用户利益考虑一丁点，出的东西全都中看不中用！
尝试了老外的一堆工具，终于发现一个做得非常不错的东西：Ghost Security Suite，其注册表防护功能个人认为无人能出其右！其最大特色是以驱动方式工作，平时并不会扫描注册表的更改，只有当其他程序读写规则中指定的注册表键项时，它才会立即拦截，并且可以灵活地设置动作选项。因此，其系统资源占用极低（平时根本感觉不到其存在），拦截成功率极高（驱动方式，效果不象国内杀毒软件，提示注册表被修改时，修改动作已经完成，十足的马后炮作风）。另外，它的处理方式也可以设置为静默模式（全局或局部均可），从而减小太多的提示对用户的干扰。
有鉴于这个工具的优秀特性，本人花费三天时间，破解汉化并补充、修改了大量规则。这里我把所有对安全具有威胁的所有注册表位置贴出（规则支持通配符*），供大家参考：
自动运行
-------------------------
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run***
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run***
HKEY_LOCAL_MACHINE\System\*controlset*\Control\Session managerBootExecute
HKEY_CURRENT_USER\Software\Microsoft\Windows nt\Currentversion\Windowsload
HKEY_CURRENT_USER\Software\Microsoft\Windows nt\Currentversion\Windowsrun
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Explorer\Run*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Policies\Explorer\Run*
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Shell foldersStartup
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Runonce*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Runonce*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Runonceex*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Runservices*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Shell foldersCommon Startup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\User shell foldersCommon Startup
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\User shell foldersStartup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Inifilemapping**
驱动/服务相关
----------------------------
HKEY_LOCAL_MACHINE\System\*controlset*\Services\*
HKEY_LOCAL_MACHINE\System\*controlset*\Services\*imagepath
HKEY_LOCAL_MACHINE\System\*controlset*\Control\Safeboot***
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Shellserviceobjectdelayload**
文件关联
-------------------------
HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command*
HKEY_CLASSES_ROOT\Comfile\Shell\Open\Command*
HKEY_CLASSES_ROOT\Batfile\Shell\Open\Command*
HKEY_CLASSES_ROOT\Piffile\Shell\Open\Command*
HKEY_CLASSES_ROOT\.bat*
HKEY_CLASSES_ROOT\.cmd*
HKEY_CLASSES_ROOT\.exe*
HKEY_CLASSES_ROOT\.txt*
HKEY_CLASSES_ROOT\.pif*
HKEY_CLASSES_ROOT\Txtfile\Shell\Open\Command*
HKEY_CLASSES_ROOT\.com*
HKEY_CLASSES_ROOT\Comfile*
HKEY_CLASSES_ROOT\.reg*
HKEY_CLASSES_ROOT\Regfile\Shell\Open\Command*
HKEY_CLASSES_ROOT\.inf*
HKEY_CLASSES_ROOT\Inffile\Shell\Open\Command*
HKEY_CLASSES_ROOT\.hlp*
HKEY_CLASSES_ROOT\Hlpfile\Shell\Open\Command*
HKEY_CLASSES_ROOT\.chm*
HKEY_CLASSES_ROOT\Chm.file\Shell\Open\Command*
网络保护
-----------------------
HKEY_LOCAL_MACHINE\System\*controlset*\Services\Winsock2***
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Network*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Policies\Network*
HKEY_LOCAL_MACHINE\System\*controlset*\Services\Tcpip\ParametersDataBasePath
HKEY_LOCAL_MACHINE\System\*controlset*\Services\Tcpip\Parameters\Interfaces***
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windowsupdate**
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windowsfirewall***
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Windowsupdate**
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windowsfirewall***
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Sharedaccess\Parameters\Firewallpolicy*
特殊注册表项目
-----------------------
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\WindowsAppInit_DLLs
HKEY_LOCAL_MACHINE\System\*controlset*\Control\Session manager*FileRenameOpe...
HKEY_CURRENT_USER\Control panel\Don';t load*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Control panel\Don';t load*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Policies\System*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\System*
HKEY_CURRENT_USER\Control panel\Desktopscrnsave.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Image file execution options***
HKEY_LOCAL_MACHINE\Software\Microsoft\Security center*
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Safer\Codeidentifiers\0\Paths*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Shellexecutehooks**
HKEY_CURRENT_USER\Software\Microsoft\Command processorAutorun
HKEY_LOCAL_MACHINE\Software\Microsoft\Command processorAutoRun
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies*
HKEY_CLASSES_ROOT\Clsid\{e6fb5e20-de35-11cf-9c87-00aa005127ed}*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Winlogon\Notify**
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Sharedtaskscheduler**
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Svchost**
浏览器保护
-------------------
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Extensions**                                                                   *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Extensions**                                                                   *
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Menuext                                                                         *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Toolbar                                                                            *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper objects*             *
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\styles                                                                               stylesheet
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet explorer\Toolbars\Restrictions                                  *
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet explorer\Infodelivery\Restrictions                               *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Main                                                                                  Start Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Main                                                                                  Default_Page_U...
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Main                                                                                  Local Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Main                                                                                  Start Page_bak
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Main                                                                                  HOMEOldSP
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Main                                                                                  Search Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Main                                                                                  Default_Search_...
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Main                                                                                  Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Main                                                                                  Default_Page_U...
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Main                                                                                  Local Page
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Main                                                                                  Start Page_bak
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Main                                                                                  HOMEOldSP
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Main                                                                                  Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\MainUse Custom Sea...
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\MainSearch Page
HKEY_USERS\.default\Software\Microsoft\Internet explorer\MainSearch Page
HKEY_USERS\.default\Software\Microsoft\Internet explorer\MainSearch Bar
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\SearchCustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\SearchSearchAssistant
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\SearchDefault_Search_...
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Ranges***
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Ranges***
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settingsMinLevel
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settingsSafety Warning L...
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settingsTrust Warning Le...
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settingsSecurity_RunActiv...
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settingsSecurity_RunScri...
HKEY_USERS\.default\Software\Microsoft\Windows\Currentversion\Internet settingsMinLevel
HKEY_USERS\.default\Software\Microsoft\Windows\Currentversion\Internet settingsSafety Warning L...
HKEY_USERS\.default\Software\Microsoft\Windows\Currentversion\Internet settingsSecurity_RunActiv...
HKEY_USERS\.default\Software\Microsoft\Windows\Currentversion\Internet settingsSecurity_RunScri...
HKEY_USERS\.default\Software\Microsoft\Windows\Currentversion\Internet settingsTrust Warning Le...
HKEY_CLASSES_ROOT\Protocols\Filter***
HKEY_CLASSES_ROOT\Protocols\Handler***
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Searchurl**                                                                   *
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Urlsearchhooks**                                                          *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Advancedoptions                                                          *
HKEY_LOCAL_MACHINE\Software\Microsoft\Active setup\Installed components*                                                       *
HKEY_LOCAL_MACHINE\Software\Microsoft\Code store database\Distribution units*                                                 *
流氓及恶意程序保护
------------------------------------
HKEY_CLASSES_ROOT\Cns*                                                                                                                                     *
HKEY_CURRENT_USER\Software\3721                                                                                                                   *
HKEY_LOCAL_MACHINE\Software\3721                                                                                                                   *
HKEY_LOCAL_MACHINE\Software\Classes\Cns*                                                                                                 *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run\Helper.dll                                  *
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Menuext\!搜一搜                                              *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Advancedoptions\!cns                                     *
HKEY_LOCAL_MACHINE\System\Controlset*\Enum\Root\Legacy_cnsmink                                                    *
HKEY_LOCAL_MACHINE\System\Controlset*\Services\Cnsminkp                                                                      *
HKEY_CLASSES_ROOT\Assist*                                                                                                                                  *
HKEY_CLASSES_ROOT\Autolive*                                                                                                                               *
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Main\Cns*                                                          *
HKEY_CLASSES_ROOT\Adkiller*                                                                                                                               *
HKEY_LOCAL_MACHINE\Software\Classes\Adkiller*                                                                                           *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Activex compatibility\{1b0e7716-898e-4... *
HKEY_CLASSES_ROOT\Coolbar*                                                                                                                               *
HKEY_LOCAL_MACHINE\Software\Classes\Coolbar*                                                                                           *
HKEY_CURRENT_USER\Software\Yahoo                                                                                                                *
HKEY_LOCAL_MACHINE\Software\Yahoo                                                                                                                *
HKEY_CLASSES_ROOT\Zschkfile                                                                                                                               *
HKEY_CLASSES_ROOT\Ebay*                                                                                                                                     *
HKEY_USERS\S-1-5-**\Software\Microsoft\Internet explorer\Menuext\*ebay*                                                    *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run\Ebay*                                        *
HKEY_CLASSES_ROOT\Applications\Pig*                                                                                                                *
HKEY_LOCAL_MACHINE\Software\Classes\Applications\Pig*                                                                            *
HKEY_LOCAL_MACHINE\Software\Miranda                                                                                                             *
HKEY_USERS\S-1-5-*\Software\Bcgp appwizard-generated applications\网络猪                                           *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run\Pig*                                           *
HKEY_CLASSES_ROOT\Pig*                                                                                                                                        *
HKEY_CURRENT_USER\Software\Pig*                                                                                                                   *
HKEY_LOCAL_MACHINE\Software\Classes\Pig*                                                                                                    *
HKEY_CLASSES_ROOT\Filetransferprogressbar*                                                                                                 *
HKEY_CLASSES_ROOT\Gif89.gif89*                                                                                                                         *
HKEY_LOCAL_MACHINE\Software\Classes\Gif89*                                                                                                 *
HKEY_CLASSES_ROOT\360*                                                                                                                                     *
HKEY_CLASSES_ROOT\Hugi*                                                                                                                                     *
HKEY_LOCAL_MACHINE\Software\360so                                                                                                                *
HKEY_LOCAL_MACHINE\Software\Classes\360main*                                                                                        *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run                                                    360Main*.exe
HKEY_LOCAL_MACHINE\Software\Baidu                                                                                                                *
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Menuext\百度*                                                 *
HKEY_CLASSES_ROOT\Baidu*                                                                                                                                  *
HKEY_CURRENT_USER\Software\Baidu                                                                                                                *
HKEY_LOCAL_MACHINE\Software\Classes\Mimefilter*                                                                                        *
HKEY_CLASSES_ROOT\Mimefilter*                                                                                                                            *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper object... *
HKEY_LOCAL_MACHINE\Software\Blogchina                                                                                                          *
HKEY_CLASSES_ROOT\Bocai*                                                                                                                                  *
HKEY_LOCAL_MACHINE\Software\Classes\Bocai*                                                                                              *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Toolbar\{4da2ee61-6399-4c39-aeb9-0d... *
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Cdn*                                                                   *
HKEY_CURRENT_USER\Software\Cnnic                                                                                                                *
HKEY_LOCAL_MACHINE\Software\Cnnic                                                                                                                *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Advancedoptions\Cdnclient                            *
HKEY_CLASSES_ROOT\Cdn*                                                                                                                                     *
HKEY_CLASSES_ROOT\Mailparsersvr*                                                                                                                   *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Extensions\{35980f6e-a137-4e50-953d... *
HKEY_LOCAL_MACHINE\System\*controlset*\Enum\Root\Legacy_cdnprot                                                    *
HKEY_CLASSES_ROOT\Applications\Dudu*                                                                                                          *
HKEY_CLASSES_ROOT\Ddd*                                                                                                                                     *
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Menuext\&使用dudu 加速器下载                   *
HKEY_LOCAL_MACHINE\Software\Dudu                                                                                                                   *
HKEY_USERS\S-1-5-*\Software\Microsoft\Internet explorer\Menuext\&使用dudu 加速器下载                         *
HKEY_CLASSES_ROOT\Xpwindow*                                                                                                                         *
HKEY_CLASSES_ROOT\Applications\Henbang*                                                                                                    *
HKEY_LOCAL_MACHINE\Software\Classes\Applications\Henbang*                                                                *
HKEY_CLASSES_ROOT\Downloadstart*                                                                                                                   *
HKEY_LOCAL_MACHINE\Software\Classes\Downloadstart*                                                                               *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper object... *
HKEY_CLASSES_ROOT\Monitor.urlmonitor*                                                                                                             *
HKEY_LOCAL_MACHINE\Software\Classes\Monitor.urlmonitor*                                                                         *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper object... *
HKEY_LOCAL_MACHINE\Software\World2                                                                                                                *
HKEY_LOCAL_MACHINE\Software\Classes\Hugi*                                                                                                 *
HKEY_CLASSES_ROOT\Yisou*                                                                                                                                  *
HKEY_CURRENT_USER\Software\Yisou*                                                                                                                *
HKEY_LOCAL_MACHINE\Software\3721\Yisou                                                                                                       *
HKEY_LOCAL_MACHINE\Software\Classes\Yisoubar*                                                                                        *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper object... *
HKEY_LOCAL_MACHINE\Software\Yisou                                                                                                                   *
HKEY_CLASSES_ROOT\Searchm*                                                                                                                            *
HKEY_LOCAL_MACHINE\Software\Classes\Searchm*                                                                                        *
HKEY_CLASSES_ROOT\Clsid\{141a5e19-bdcb-4e27-a3d7-9e16503bc05b}                                                 *
HKEY_CLASSES_ROOT\Clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}                                                 *
HKEY_CLASSES_ROOT\Clsid\{7ca83cf1-3aea-42d0-a4e3-1594fc6e48b2}                                                    *
HKEY_CLASSES_ROOT\Clsid\{9eb2b422-c9ee-46c4-a471-1e79c7517b1d}                                                 *
HKEY_CLASSES_ROOT\Clsid\{abec6103-f6ac-43a3-834f-fb03fba339a2}                                                       *
HKEY_CLASSES_ROOT\Clsid\{b83fc273-3522-4cc6-92ec-75cc86678da4}                                                    *
HKEY_CLASSES_ROOT\Clsid\{bb936323-19fa-4521-ba29-eca6a121bc78}                                                    *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{141a5e19-bdcb-4e27-a3d7-9e16503bc05b}                *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}                *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{38928d50-8a48-44c2-945f-d2f23f771410}                   *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{7ca83cf1-3aea-42d0-a4e3-1594fc6e48b2}                   *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{9eb2b422-c9ee-46c4-a471-1e79c7517b1d}                *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{abec6103-f6ac-43a3-834f-fb03fba339a2}                   *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{b83fc273-3522-4cc6-92ec-75cc86678da4}                *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{bb936323-19fa-4521-ba29-eca6a121bc78}                *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{57421194-58fb-49ae-9b4f-fd48869b9ad4}                   *
HKEY_CLASSES_ROOT\Clsid\{57421194-58fb-49ae-9b4f-fd48869b9ad4}                                                    *
HKEY_CLASSES_ROOT\Clsid\{406f94f0-504f-4a40-8dfd-58b0666abebd}                                                       *
HKEY_CLASSES_ROOT\Clsid\{fe3ecae7-0a37-4506-8a7d-3cc9a04d2ca8}                                                    *
HKEY_CLASSES_ROOT\Clsid\{38928d50-8a48-44c2-945f-d2f23f771410}                                                    *
HKEY_CLASSES_ROOT\Clsid\{17f1c8e8-b99b-4d85-927b-a0ee7290455a}                                                    *
HKEY_CLASSES_ROOT\Clsid\{af53d70e-29df-443a-92aa-9c314af5871e}                                                    *
HKEY_CLASSES_ROOT\Clsid\{22d8e815-4a5e-4dfb-845e-aab64207f5bd}                                                    *
HKEY_CLASSES_ROOT\Clsid\{92085ad4-f48a-450d-bd93-b28cc7df67ce}                                                    *
HKEY_CLASSES_ROOT\Clsid\{b7856497-7097-424a-b03c-557aca6477b4}                                                 *
HKEY_CLASSES_ROOT\Clsid\{bc0fa0e8-0e7a-4836-b6ea-6e6880f4522c}                                                    *
HKEY_CLASSES_ROOT\Clsid\{28d47530-cf84-11d1-834c-00a0249f0c28}                                                    *
HKEY_CLASSES_ROOT\Clsid\{4b946315-e88c-4fe9-9c51-d9277ba85acc}                                                    *
HKEY_CLASSES_ROOT\Clsid\{b580cf65-e151-49c3-b73f-70b13fca8e86}                                                       *
HKEY_CLASSES_ROOT\Clsid\{a7f05ee4-0426-454f-8013-c41e3596e9e9}                                                    *
HKEY_CLASSES_ROOT\Clsid\{fe14f22e-be14-4f08-a80f-f27bc3a67b2d}                                                       *
HKEY_CLASSES_ROOT\Clsid\{4da2ee61-6399-4c39-aeb9-0d990e610d29}                                                 *
HKEY_CLASSES_ROOT\Clsid\{461a86f7-a29d-460a-80d5-52979aa6c46d}                                                    *
HKEY_CLASSES_ROOT\Clsid\{9a578c98-3c2f-4630-890b-fc04196ef420}                                                       *
HKEY_CLASSES_ROOT\Clsid\{d449eb58-55af-4695-b216-895d546aed89}                                                 *
HKEY_CLASSES_ROOT\Clsid\{35980f6e-a137-4e50-953d-813bb8556899}                                                 *
HKEY_CLASSES_ROOT\Clsid\{8135ef31-fe8c-4c6e-a18a-f59944c3a488}                                                       *
HKEY_CLASSES_ROOT\Clsid\{915e63f4-4733-401e-8556-6559b30a4c5a}                                                    *
HKEY_CLASSES_ROOT\Clsid\{6bde1669-b490-48e3-b668-456314f2d6c3}                                                    *
HKEY_CLASSES_ROOT\Clsid\{ffd95f65-f5e4-4ab8-b7f9-f61f13878a04}                                                          *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Extensions\{3db9f45e-aa74-4373-a466... *
HKEY_CLASSES_ROOT\Clsid\{2d6f6bff-1796-4779-9ba3-5f20f17e5cea}                                                       *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{2d6f6bff-1796-4779-9ba3-5f20f17e5cea}                      *
HKEY_CLASSES_ROOT\Clsid\{616d4040-5712-4f0f-bcf1-5c6420a99e14}                                                       *
HKEY_CLASSES_ROOT\Clsid\{3ed9ffda-79db-4b2d-99b7-16ea3c4a3a92}                                                    *
HKEY_CLASSES_ROOT\Clsid\{f43bd772-abdd-43b7-a96a-3e9e61946ec0}                                                    *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{f43bd772-abdd-43b7-a96a-3e9e61946ec0}                *
HKEY_CLASSES_ROOT\Clsid\{115f6e46-fcbc-41ed-b3b5-3bddd4aab5e5}                                                    *
HKEY_CLASSES_ROOT\Clsid\{db4f72f5-fa97-4424-a8cd-758feae6861f}                                                       *
HKEY_CLASSES_ROOT\Clsid\{ef1d17a9-089f-40cc-8d64-7324cdeba0db}                                                    *
HKEY_CLASSES_ROOT\Clsid\{594be7b2-23b0-4fae-a2b9-0c21cc1417ce}                                                    *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{594be7b2-23b0-4fae-a2b9-0c21cc1417ce}                *
HKEY_LOCAL_MACHINE\Software\Stdup                                                                                                                *
HKEY_CURRENT_USER\Software\Stdup                                                                                                                *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Activex compatibility\{9a578c98-3c2f-46... *
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Universal disk manager                                  *
系统初始化及用户登录
---------------------------
HKEY_CURRENT_USER\Software\Microsoft\Windows nt\Currentversion\Winlogon                      GinaDLL
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Winlogon                      taskman
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Winlogon                      Shell
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Winlogon\Notify*          *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Winlogon                      System
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Winlogon                      Userinit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Winlogon                      VmApplet
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\Currentversion\Winlogon                      *
RunDll32 应用程序规则
--------------------------
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run                               *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run                               *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Runonce                      *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Runonceex                   *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Runservices                *
HKEY_USERS\.default\Software\Microsoft\Windows\Currentversion\Run                                     *
有了上述规则，还有多少漏洞可供病毒木马流氓们利用？哈哈！！

昨晚试了红叶提供的Ghost Security Suite，其注册表防护功能确实是无人能出其右！在此首先感谢红叶的无私分享,我在试用的过程中,发现有两方面需要加强:
1、程序不能防护开始菜单的启动项，把任意一程序的快捷方式拖到开骀菜单的启动项，Ghost Security Suite一点反应都没有。
2、程序没有完全防护HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
这一项的，红叶不防以下的注册表选项导进去试试，注销、运行等很多项都给禁用了。加上防护这一项的规则，安全性就更强了。
windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
"NoNetConnectDisconnect"=dword:00000001
"NoRun"=dword:00000001
"NoFind"=dword:00000001
"NoSetFolders"=dword:00000001
"NoSMMyDocs"=dword:00000001
"NoRecentDocsMenu"=dword:00000001
"NoSMMyPictures"=dword:00000001
"NoSMHelp"=dword:00000001
"NoSetTaskbar"=dword:00000001
"NoNetHood"=dword:00000001
"NoFileMenu"=dword:00000001
"NoFolderOptions"=dword:00000001
"NoManageMyComputerVerb"=dword:00000000
"NoChangeStartMenu"=dword:00000000
"NoDrives"=dword:00000000
"NoViewOnDrive"=dword:00000000

Robertzao · 发表于 2006-2-12 14:48:50

顶先!!!
我后下载!!!!!!!!
谢谢!!~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
哈哈哈哈哈哈

emca · 发表于 2006-2-12 15:21:06

这里特将本人最新修改优化后的规则以及主程序一并上传，供大家交流。已经解决了楼上兄弟所说的问题，同时比起上次共享的内容，这次的规则还更新了好多！
共5个包：
[UploadFile=GhostSecuritySui_1139728770.rar][UploadFile=GhostSecuritySui_1139728784.rar][UploadFile=GhostSecuritySui_1139728795.rar]

emca · 发表于 2006-2-12 15:21:57

接上帖——
[UploadFile=GhostSecuritySui_1139728880.rar]
[UploadFile=GhostSecuritySui_1139728904.rar]
共 5 个包。完毕！

6618 · 发表于 2006-2-12 19:24:24

多谢红叶！顶一帖。

xdg3669 · 发表于 2006-2-12 20:05:15

多谢emca兄的无私分享！祝emca及无忧兄弟节日快乐！

wang6071 · 发表于 2006-2-12 21:43:06

谢谢红叶兄,祝大家元宵愉快！

推士机 · 发表于 2006-2-14 19:37:37

[这个贴子最后由推士机在 2006/02/14 08:24pm 第 2 次编辑]

把这几个垃圾：downloadPig.exe；mUin.exe；100841.exe；cdnns.dll；down.exe；down120.exe；kubao.exe；bind_8329.exe列入SysShield黑名单

luxp · 发表于 2006-2-16 10:55:16

下面引用由推士机在 2006/02/14 07:37pm 发表的内容：
把这几个垃圾：downloadPig.exe；mUin.exe；100841.exe；cdnns.dll；down.exe；down120.exe；kubao.exe；bind_8329.exe列入SysShield黑名单

谢谢推土机！

luxp · 发表于 2006-2-16 11:03:34

我是WIN 2003 server.刚在Wangsea空间下载最新的syscheck20060210.exe。一运行就重启。

wang6071 · 发表于 2006-2-16 12:25:38

下面引用由luxp在 2006/02/16 11:03am 发表的内容：
我是WIN 2003 server.刚在Wangsea空间下载最新的syscheck20060210.exe。一运行就重启。

原因是:您的系统是win2003 sp1,偶的这个只适用用于未打sp1的win2003,对win2003 sp1还有几个系统内存偏移未知,所以暂不支持

hhuuu · 发表于 2006-2-16 21:33:06

学习中，谢谢楼主

wang6071 · 发表于 2006-2-17 18:08:07

有win2003 sp1的兄弟帮忙测试一下现在syscheck能否运行在win2003 sp1下
[UploadFile=Syscheck20060217_1140170872.rar][UploadFile=Syscheck20060217_1140170882.rar]

emca · 发表于 2006-2-19 09:47:48

好东东，顶啊！
现在如果能够支持同时结束多个进程，就基本完美了，比起国外的那些做了几年的　Autoruns等不知道要好多少倍！
当然，希望如果能够支持检测更多的注册表自动加载位置就更好了，那样将是极品反黑工具箱！倚天屠龙集于一身，只有一个字：牛！

Robertzao · 发表于 2006-2-19 11:53:55

大家辛苦了，！！！！！！！！！
你们的东东实在太好了！
不错，不错，是VVGGDD

wang6071 · 发表于 2006-2-19 18:25:07

按emca的建议,修改了一下程序.
以下是处理过的注册表启动键,不是很全,因为考虑某些键值可能生手会误删系统键,所以未收入.
某些位置或不能正确定位的也未列入(主要是不知其是主键还是键值)
如果有哪些重要键漏了,请帮忙指出其路径(请注意是主键还是键值)
下面的键位置是简写,不过相信大家都清楚其位置
Machine_RunServices
Machine_ShellExecuteHooks
Machine_RunOnce
Machine_RunServicesOnce
Machine_RunOnceEx
Machine_ExplorerRun  //实际为Explorer\Run
Machine_WindowsLoad  //实际为windows\ 键值Load
Machine_WindowsRun //实际为windows\ 键值run
Machine_Userinit    //实际为windows\ 键值Userinit
Machine_Notify    //实际为Winlogon\  键值Notify
Machine_Shell       //实际为Winlogon\  子键Shell
Machine_Scripts
USER_Run
USER_RunServices
USER_RunOnce
USER_RunServicesOnce
USER_ExplorerRun //实际为Explorer\Run
USER_WindowsLoad //实际为windows\ 键值Load
USER_WindowsRun //实际为windows\ 键值run
USER_Shell       //实际为Policies\System\Shell子键
USER_Scripts
USER_FoldersStartup
[UploadFile=NewRing0_1140344641.rar][UploadFile=NewRing0_1140344650.rar]

推士机 · 发表于 2006-2-19 19:32:14

有一处显示乱码：
[UploadFile=20060219_191639_1140348729.jpg]

emca · 发表于 2006-2-19 22:23:09

一个突然的好主意：
对于启动项目对应的程序和路径，可以在后面添加一个“提交在线检测”的功能：
即把检测出来的启动项目对应的路径和文件名提交到 http://virusscan.jotti.org/ 这个网站，就能够知道可疑对象是否有威胁了！
当然，有时启动项中没有写明绝对路径，此时可获取系统注册表中的默认搜索路径变量，按系统搜索路径Path变量中的顺序定位这些程序。
非常实用，但实现起来说不是特别复杂，供 Wangsea 兄弟参考：）

		自动登录	找回密码
密码			注册