[sysshield]系统安全盾

clwx · 发表于 2005-6-26 00:40:51

建议也监测system32目录.
1.监视添加和删除文件.
2.增加判断添加和删除的进程中止还是继续毕竟有些是自主的.例如安装一些软件. 不是自主安装的则杀之...

wang6071 · 发表于 2005-6-26 01:34:09

查看记录新增与删除原本是办到了的，但因为偶想要快速清除，所以就没做出显示来(做显示一是有影响删除速度，二是当删除文件太多时对线程的稳定性有一定影响。所以最后做成的是删除不了的文件才报告到日志上来。不过如确实需要可以改进这点，只需再开一个线程来显示就行了。
因为想把软件做得易用些，所以不打算采用用户交互的方式来决定新增文件的去留。怕影响软件的安装你完全可以关闭文件监视功能，待安装完毕后再打开。如果做成交互方式，提示对话框在正常软件安装时会很多(例如安装一个较大型的软件),同时也可能想杀木马时已经晚了(木马可能已经在等待回答提示框的同时已经执行了,正在执行的文件是不可能删除的).
system32目录的监视问题我再考虑一下，有朋友试过目录权限吗？目录权限有何不足，望告之。

lj858155 · 发表于 2005-6-26 09:11:27

很多人系统盘都使用FAT32格式，以方便维护、ghost等，我认为应该加入系统子目录文件监视功能

ffppee · 发表于 2005-6-27 15:29:56

看不到哈

wang6071 · 发表于 2005-6-27 18:59:01

考虑了几天，觉得反正都锁定windows了，再加个system32的监视也不会有多少不便，所以本次更新增加了system32的锁定.其它目录暂不监视(偶觉得可以手动删除的就必要自动删除,大家最怕的是文件被锁定无法删除）,视兄弟们使用后的反馈而决定.
本次代码已经优化,实际监视的是系统盘上所有新增(含子目录),只不过偶做了一个小小的过滤,所以目前只开放了windows及windows\system32下的新增自动删除.偶想如果你是先使用了监视功能再安装或上网,由于自动删除保护了你的这两个重要目录,注册表启动监视保护了你的启动项,应该很少有程序能够在这种条件下复活了.所以即使留有垃圾文件,手动清除应该项没问题了.
在文件监视页你可看到被监视目录下的文件新增及程序执行后删除的情况.由于偶改变了一下删除的方式,所以不会再有漏删情况(上一版在安装文件子目录结构很复杂时可能会漏删一部份文件).如果左边的新增中有某个文件则表明是无法删除的文件,这种情况是那个文件正在执行或使用着,根据文件名在杀进程页中杀了它,应该可以自动册除.(这仅是预防万一,一般不会发生这种情况)
当然,监视system32的后果是安装你需要的程序时得注意:
先关闭文件监视-->安装程序-->安完后再打开.
如果忘记了也不要紧,重新按上面说的步骤再次安装即可.
为了保护您的系统,这点不便想来大家都可接受吧.
虽然偶已经对程序做过了测试,但为慎重起见,请你在测试前备份好您的系统以免造成损失.
ps:有条件的朋友请在VM中做一下样本测试，找些木马及恶意软件安装看看，以便及时发现程序的不足。

sesmoonboy · 发表于 2005-6-27 19:40:23

好！！！！

emca · 发表于 2005-6-27 20:35:31

目前的目录监视已经不错了，但有个难以解决的问题：对于那些以捆绑方式安装的垃圾程序，如果不开放系统目录，则正常的程序安装可能受到影响；如果开放系统目录吧，则那些捆绑程序又会乘虚而入。因此仍然建议添加一个黑名单功能。

wang6071 · 发表于 2005-6-27 22:45:32

[这个贴子最后由wang6071在 2005/06/27 10:49pm 第 1 次编辑]

下面引用由emca在 2005/06/27 08:35pm 发表的内容：
目前的目录监视已经不错了，但有个难以解决的问题：对于那些以捆绑方式安装的垃圾程序，如果不开放系统目录，则正常的程序安装可能受到影响；如果开放系统目录吧，则那些捆绑程序又会乘虚而入。因此仍然建议添加 ...

确实如此，如果要安装一个捆绑方式的软件，而这个干净的软件又不太好找时会遇到这个问题。下一版将增加黑名单方式，多一种选择总是好的。
各位兄弟能否帮忙搜集一下进入的黑名单软件的文件列表(有文件名就可以了不需要具体的安装路径),以便下一版推出时随软件一起发布。
注意的是：黑名单软件的文件列表应指仅是恶意软件的主程序，dll等，不要包含正常软件所需要的辅助文件。

emca · 发表于 2005-6-27 23:58:00

路径最好要考虑进去。如果恶意程序弄个与系统文件相同的名字但路径不同，是否会被删除？还是系统文件也被误删除？这个得慎重考虑。
恶意程序的黑名单程序随后我整理一些提供。
另外，还可以考虑试图将含有某些特定字符串的文件名视为恶意文件，如含有数字 1 、0 等的程序文件和动态链接库文件。因为绝大多数情况下极少有程序会这样命名，但恶意程序经常冒充，如 expl1rer.exe rund1132.exe ntdll.dll ……

wang6071 · 发表于 2005-6-28 00:18:17

[这个贴子最后由wang6071在 2005/06/28 00:51am 第 3 次编辑]

下面引用由emca在 2005/06/27 11:58pm 发表的内容：
路径最好要考虑进去。如果恶意程序弄个与系统文件相同的名字但路径不同，是否会被删除？还是系统文件也被误删除？这个得慎重考虑。
恶意程序的黑名单程序随后我整理一些提供。
另外，还可以考虑试图将含有某些特 ...

不用考虑路径是因为偶的监测是全系统盘监测(是盘符级，比如你的xp安装到D盘则是D:全盘的监测，目前只提取出windows目录及system目录的新增而已，实际上添加系统盘的其它目录已经非常容易），所以只对比新增的文件名不会误删(新增的一定是系统中没有的)。
我不打算采用定时目录查询方式，这种方式可能会造成造成误删除。而且不如目前这种方式实时和资源占用小（目前的方式是api消息级的，文件未创建完已经知道了）。
至于expl1rer.exe这样的太多了,定义名单搞不过来(当然，已发现的可以定义它几个)，变体还是交结杀毒软件去处理吧。或者直接采用现在的傻瓜式新增杀除方法也可以。
如果仅将自动删除定义为windows及system32等系统目录的话，则含有数字1等易混淆的的文件作为删除对象也未尝不可（如果是系统盘及的查就可能会删掉安装的正常程序，比如program files下的含有数字的正常程序。）到底匹配到哪一级大家可以探讨一下。

lj858155 · 发表于 2005-6-28 21:06:58

全盘的这个设想不错希望能全盘监视现在垃圾太多了

lj858155 · 发表于 2005-6-28 21:12:55

坚决不能让它掉下去顶希望有清理列表的功能

jyssysz · 发表于 2005-6-28 21:56:33

一直在关注着进展。

cchhmm · 发表于 2005-6-29 08:15:42

让我看一下

emca · 发表于 2005-6-29 15:13:40

wang6071 · 发表于 2005-6-29 19:08:11

等了几天也没有哪位朋友提供禁用的数据，结论可能是该功能不很适用吧。不过偶还是完成了它，想下的朋友就下吧。
如果你使用自定义功能，请用文本工具打开filter.dat文件，添加你要禁止增的文件或文件夹。(仅windows,windows\system32,及program files\有效。)另外，有朋友提出windows在win2000下是winnt,程序会自动获得系统目录的，所以win2000也适用此程序。
filter.dat目前定义如下
3721;Baidu;CNNIC;Dudu;CnMinPK.sys;Explorer.exe;Exp1orer.exe;Exiorer.exe;IExplorer.exe;Rundll32.exe;Rund1132.exe;Rund1l32.exe;Rundl132.exe;Ntdll.dll;Ntd11.dll;Ntdl1.dll;Ntd1l.dll;System32.exe;ahook.sys;SERINIT32.EXE;Dvldr32.exe;wsearchahook.sys;
说明，每个文件或文件名后接符号";"结束,不区分大小写。请自找资料添加吧。
注意，虽然偶上面的定义中有Explorer.exe，程序不会误删你的Explorer.exe,只会删除新增的Explorer.exe。你可以在program files\下新建一个3721的目录，因为你的操作实际上是两步，新建文件夹，重命名文件夹,这样的操作程序不会删除你的3721目录。但是，当你在其它地方复制一个3721目录直接放到program files\下时，程序将发现文件夹的创建并删除它。
因为本人所在单位要求偶搞一个全面管理的平台方案(类似于ERP)，时间很紧，找不到合适得还得自已做，偶得查资料做调查。所以这个版本的注册表监视器将是终结版，除非有大的BUG,一般来说将不再有更新。顺便说一句，偶空间上的seeip也做了一个更新（加了两个功能），需要的朋友下吧。http://free.ys168.com
再次谢谢各位兄弟对本软件的关注与支持，以后一段时间上无忧的时间将少了。所以有问题请在我的空间给我留言。

lj858155 · 发表于 2005-6-29 22:59:51

谢谢

emca · 发表于 2005-6-30 07:26:21

以下是我收集整理的黑名单，供大家参考，基本上覆盖了目前绝大部分已知恶意程序代表性文件或其安装目录。用记事本打开注册表监视器目录下的FILTER.DAT文件并全部替换原有内容即可（以下已经包含所有原有内容）：
3721;CnsMin.cab;Baidu;CNNIC;CdnIEHlp.dll;cdn.dll;cdnhook.sys;cdnprot.sys;cdntran.sys;meobjsdt.dll;IdnMail.exe;zunins.exe;Dudu;CnMinPK.sys;msetup.exe;miniddd.exe;hmcab.cab;Explorer.exe;Exp1orer.exe;Exiorer.exe;IExplorer.exe;Rundll32.exe;Rund1132.exe;Rund1l32.exe;Rundl132.exe;Ntdll.dll;Ntd11.dll;Ntdl1.dll;Ntd1l.dll;System32.exe;ahook.sys;SERINIT32.EXE;Dvldr32.exe;wsearch;ahook.sys;Sandai;NetBar;hookdll.dll;henbang.exe;webad.dll;winhtp.dll;BaiDuBar.dll;PluginENLOG.DLL;WORLD2;rasvss.dll;tutuag32.exe;netpig;dddupdate.exe;Qyule.exe;Adcache;Ads;windows.exe;softreg50.exe;softreg20.exe;softreg38.exe;SobarNetInstaller.exe;NBar.exe;yisou_znmq.exe

天风 · 发表于 2005-6-30 08:15:10

我再提供一个APIHOOKDLL.DLL，这个家伙非常顽固。
好多朋友机子上应该都有它了，不妨大家查一下。

中国菠萝 · 发表于 2005-7-1 09:32:53

经典的好东东,谢谢

wang6071 · 发表于 2005-7-2 00:14:09

本说未发现大的BUG不再更新了的，可偏偏又发现了一个，还是更新一下：
这个BUG是重启机器后因文件路径未找到造成自定义设置选项不能保存.如果你是每次启动后再手动执行注册表监视则不会发现这个BUG.
另外,自动功能中将windows\AppPatch目录屏蔽了,以免每次启用自动功能删除其下的东西.
现在的自动功能是:删除一切windows及其子目录下所有新增的文件及子目录(仅不含apppath目录).
自定义功能是用过滤列表来删除window及program files目录及其子目录下所有在列表中的目录或文件(当然,也仅是对新增有效).

medi · 发表于 2005-7-2 08:55:34

Tsao · 发表于 2005-7-2 09:40:43

???????????
看不到```

Tsao · 发表于 2005-7-2 09:52:39

[Hidden Post: Rating 1]
（您没有权限看这个帖子，您的威望至少需要 1）

为什么就看不了源码呢??

jyssysz · 发表于 2005-7-2 10:31:34

怎样才能有权限呢？？？？

newnet · 发表于 2005-7-2 11:31:27

确实不错！

微笑一刀 · 发表于 2005-7-2 12:16:02

看看～不知道怎么样～

微笑一刀 · 发表于 2005-7-2 12:19:09

支持一下．看看效果如何

推士机 · 发表于 2005-7-3 09:59:22

老大，图示的东东好像是多余的吗？[UploadFile=20050703_093026_1120355938.jpg][UploadFile=20050703_092927_1120355952.jpg]

wang6071 · 发表于 2005-7-3 11:34:51

不多余，1图的启动后运行文件监视未选中则启动后文件监视未开启。但注册表监视的功能是开启了的。
2图中的启动时运行，是将注册表监视器写入注册表的启动项以便于在启动时就工作。
取消这个选项可以则自动清除它写入的键值（相当于卸载）。
锁定启动组则每次重启仍按上次保存的注册表启动组的内容检查是否改变。未选中则每次重启后自动生成新的set.ini(比如你想安装一个在启动组中启动的程序时要用到)

		自动登录	找回密码
密码			注册