[sysshield]系统安全盾

wang6071

[UploadFile=syscheck20060219_1140363957.rar][UploadFile=syscheck20060219_1140363966.rar]
又修改了一下
谢谢emca的建议,考虑到http://virusscan.jotti.org/服务器往往太忙,且又是E文,再加上仅凭文件名来判断的方式不是太好.另外,又不知直接发送检测的地址如何带上文件名以避免进入后还得输入文件名.所以本次仍未加入此功能.

emca

感谢Wangsea带给我们的好东东！
可见好的程序并非一定要非常复杂的，而必须是实用的。
近在开源软件站点 http://sourceforge.net/index.php 中的http://sourceforge.net/forum/forum.php?forum_id=539323 看到一款好开源软件，Winpooch Watchdog，它与 Wangsea 兄的 SysShield 有异曲同工之妙，其原理是采用 Hook 技术，对各种威胁操作进行拦截处理，我想 WangSea 兄也可以参考一下它的设计思想，非常不错的！而且由于是开源，当然也就有更方便的学习价值了！
个人觉得，Wangsea 兄弟前期发布的 Sysshied 程序和源码不如放到开源组织中去，一来丰富了本来就为数不多的Windows开源项目，二来也让好东西供更多的人评测，能够收到更多的创意和建议。
其实，Wangsea 兄弟完全可以在此时做出一个像样的软件了：SysShield 的实时监视模块 + SysCheck 的处理模块，在此基础上丰富、协调一下，红遍全国、全世界并非没有可能！注册方式发布也可以（我第一个注册），免费方式推广也不错（其造成的知名效应带来的间接效益可能并不会比注册差），或者如果自己懒得经营，也可以与第三方合作。

推士机

现在正常了，不再显示乱码。

luxp

我用的Windows server 2003 SP1.现在syscheck可以正常工作了。

ly001

谢谢wang6071 ！但WIN2KSP4下出现如图错误，烦请查证。[UploadFile=Snap1_1140412885.bmp]

wang6071

谢谢红叶兄的建议,偶的程序其实也就是网上代码的整理,偶只是这些代码的整理者,并没有发现什么值得大家研究的东西。所以也就没胆量放到http://sourceforge.net/index.php这些组织去献丑。
另外，因为软件的特殊性，有些东西一旦公布了则软件就失去了效果。比如syscheck的反hook代码，其实就是绕了一个很简单的弯子，一旦知道了这个做法则syscheck会死得很难看。再比如sysshield的文件监控，知道其作法的编程爱好者都能轻易绕过其检测。所以偶想还是让这些反黑程序的生命力长一点，暂不公布源码。
至于做出一个像样的软件了来大力推广，思路确实不错。只是偶的时间不是太多，且人又懒散，觉得sysshield还有很多不足，条件似乎还不太成熟。目前唯有尽力在各位兄弟的帮助下完善它，待觉得比较满意时再说吧。
ly001反映的问题和6618兄弟反映的问题一样,原因是端口检测中使用的api函数在win2000下不存在造成的,解决的办法一是去掉端口检测部份,二是寻找在win2000下的端口检测方法.偶先从第二个方面努力一下,实在不行再出一个去掉端口检测的syschek.   

ly001

谢谢wang6071 的精益求精态度！在此表示崇高的敬意！辛苦了！

wang6071

[UploadFile=syscheck20060221_1140528644.rar][UploadFile=syscheck20060221_1140528656.rar]
请测试一下win2000 sp4下的兼容性(判断了一下是否是win2000 sp4,若是则不加载不兼容的api.win2000下显示端口与进程关联的程序虽可办到,但程序加入后有某些不稳定因素存在,所以端口监测不对win2000支持.请单独使用下面的程序来看端口与进程的关联)
[UploadFile=PortAnalyzer_1140528688.rar]

kaibiao

支持。很不错的软件。。

ly001

[这个贴子最后由ly001在 2006/02/22 01:32pm 第 1 次编辑]

WIN2KSP4系统下“服务函数”项下空白；点出“端口查看”后再点击其他项目显示如图[UploadFile=Snap1_1140586362.bmp]

zj771018

谢谢楼主分享！！

xubo1971

[这个贴子最后由xubo1971在 2006/02/22 04:34pm 第 1 次编辑]

不好意思，发错了。

zhangcz

顶起来

xubo1971

我在同事的机子上一用Syscheck就出现蓝屏，不知何故。
机子配置为：闪龙2800＋（64位）CPU、富士康k8M800（6100芯片组）主板、512MB DDR RAM、120GB IDE硬盘，声、显、网卡主板集成，刚刚重装的系统，驱动程序全部是下载的公版。

lj858155

哈哈 现在功能越来越多了

yht

还是顶一下还是顶一下!!

xubo1971

在系统安全顿的启动栏里面不能显示开始菜单启动组里的自启动项目，能否修正一下。

wang6071

最近实在太忙,所以没多少时间学习并引入新的东西到安全盾.暂且更新如下:
  1:杀进程采用了双杀机制,以增强杀进程的速度。
  2:启动项目中分类了注册表及[程序-启动组]的内容。
  3:本程在进程检测前还原了NtOpenProcess函数，以防止win32级的程序对此函数的Hook，从而导致检测不到进程。(注意：从兼容性上考虑,仅仅还原了这一个函数)
  4:模块卸载采用了新的方式(模块卸载采用的是注入进程方式工作，所以某些模块不一定能卸载，这种情况下还是采用杀进程方式吧)
  5:进程项目的模块列表右键菜单加入了"定位到文件"功能，以方便手动分析文件。
另外啰嗦一句,要取得好的预防效果,最好采用自定义方式。
同时，最好将IE的->Integer选项->高级->启用第三方浏览器扩展 选项前的勾取消掉。
偶的空间
http://wangsea.ys168.com
上偶做了一张偶使用的自定义方式图，供大家参考。
[UploadFile=s1_1141984494.rar][UploadFile=S2_1141984510.rar]

wang6071

接上面:
[UploadFile=S3_1141984546.rar][UploadFile=S4_1141984561.rar]
合并不来的朋友也可到偶的空间下载.

ly001

谢谢，还真是辛苦您了

yht

辛苦您了!顶起来!!     

lj858155

谢谢 试用后没有什么问题

gdlgh

wang兄，系统安全盾更新了！顶上去！！！

4896f05c

兄弟是最好的原创者之一，佩服！佩服！佩服技术也佩服人品！

xdg3669

谢谢新版！！

lj858155

新版不错 谢谢

haobing

谢谢提供。

xubo1971

我最近帮别人装系统时，仅仅下载安装了一个紫光拼音4，结果捆绑安装了不少垃圾（预先已经安装红叶的“网络流氓插件免疫”，安全顿设为暂停监视），启动速度超慢。用SysCheck查看，发现有好多服务函数被HOOK。一一定位原始文件－恢复－删除文件，弄了好大一会才搞定。
    感觉这个SysCheck确实好用！同时，也感觉到纯净软件的珍贵。

xubo1971

建议把“播霸网络电视”相关文件及文件夹列入黑名单。
另外安全顿的锁定启动组功能好像对播霸网络电视无效，各位试一下看。

冰上人

    用以前到现在的最新版，我一直用，感觉好极了！
    决定按图自定义，有三个小问题：
    1，请问，自定义时，类型 过滤及模糊定义是这样设置么？
        0-9.exe;0-9.dll;yes.exe;yes.dll;（yes.exe;yes.dll;是什么意思啊？
        *.exe;*.inf;*.vbs;*.sys;*.bat;*cmd;*.dll;*.cab;
    2，我的自定义设置如下，有无问题？
    3，我看你的设置图，上面是E盘。我现在用2K4，系统在C盘；我E盘装的是XP，我若进入XP系统，在E盘系统下自定义时，用不用选上C盘？  
[UploadFile=89_1142752320.jpg]