[sysshield]系统安全盾

推士机

下面引用由wang6071在 2005/07/03 11:34am 发表的内容：
不多余，1图的启动后运行文件监视未选中则启动后文件监视未开启。但注册表监视的功能是开启了的。
2图中的启动时运行，是将注册表监视器写入注册表的启动项以便于在启动时就工作。
取消这个选项可以则自动清除它 ...

偶认为这个值得改进，不然有点“丈二和尚”之感，“√”侧加个文字说明（按钮）较好

wang6071

有说明的，估计是你的 显示属性/外观/方案 中选了白色底色的方案造成的。（说明的文字是白色，加上你选的白底的方案当然就看不到了。）

xubo1971

我提个建议，能否把软件搞成可选的两种模式，一种是监视模式，还一种是软件安装模式，这样更便于操作。

newnet

ApiHookDll.DLL;PluginENLOG.DLL;

ilkyf

下面引用由cyida在 2005/06/20 01:07pm 发表的内容：
为什么？？？我的威望不够，，想看看

我也想看看........Y.Y

推士机

[这个贴子最后由推士机在 2005/07/03 08:01pm 第 1 次编辑]

下面引用由wang6071在 2005/07/03 03:23pm 发表的内容：
有说明的，估计是你的 显示属性/外观/方案 中选了白色底色的方案造成的。（说明的文字是白色，加上你选的白底的方案当然就看不到了。）

的确如此，偶用的是Media Center 主题，部分外观/方案不过不知何时被人改了，谢谢老大！

wang6071

[这个贴子最后由wang6071在 2005/07/04 12:32pm 第 2 次编辑]

推土机兄弟发现了一个BUG,就是当本软件安装到系统盘下的话文件监视的自动功能会失效,
自定义功能也同时失效.
Bug原因可能是监视器不能位于被监视的目录或子目录下.(偶是全系统监视再过滤的),解决的方法是为各监视目录赋不同的线程(原来的仅有一个线程),考虑到多线程的资源占用及稳定性,故不准备修复这个BUG,所以请安装到非系统盘下使用.
下载软件是不需要威望值的,请到:http://free.ys168.com/index.aspx?wangsea下载
  

dstboxu

我下不了
增么增加威望值

王黎

回复一下，支持。

emca

好东西希望Wang';兄弟不要放弃！
再顶一把！
以下是个人用的最新Filter数据，添加了部分系统文件中经常容易被冒名顶替的文件名。供大家参考：
3721;VisionNet;APIHOOKDLL.DLL;Adcache;Ads;BaiDuBar.dll;Baidu;CNNIC;CdnIEHlp.dll;CnMinPK.sys;CnsMin.cab;Dudu;Dvldr32.exe;Exiorer.exe;Exp1orer.exe;Explorer.exe;IExplorer.exe;IdnMail.exe;NBar.exe;NetBar;Ntd11.dll;Ntd1l.dll;Ntdl1.dll;Ntdll.dll;PluginENLOG.DLL;Qyule.exe;Rund1132.exe;Rund1l32.exe;Rundl132.exe;Rundll32.exe;SERINIT32.EXE;Saga.sys;Sandai;SobarNetInstaller.exe;System32.exe;WORLD2;ahook.sys;ahook.sys;asbar.dll;asiesec.dll;asnoad.dll;assist.dll.adfilter.dll;aswipe.dll;autolive.dll;cdn.dll;cdnhook.sys;cdnprot.sys;cdntran.sys;contmenu.dll;dddupdate.exe;helper.dll;henbang.exe;hmcab.cab;hookdll.dll;meobjsdt.dll;miniddd.exe;msetup.exe;netpig;optimum.dll;rasvss.dll;repair.dll;softreg20.exe;softreg38.exe;softreg50.exe;tutuag32.exe;vml;webad.dll;windows.exe;winhtp.dll;wsearch;xpstyle.dll;yisou_znmq.exe;zunins.exe;visionnet.dll;17lele.ex_;Rundll32.exe;visionnet.dll;windcheck2.exe;NMWizardA14.exe;dhelp.dll;comime.exe;msinthk.dll;wmimgr.exe;EXPLORER.EXE;iexplore.exe;notepad.exe

xyh1218

还不懂，先谢了。

tingyuqian

强烈建议这个帖子顶置

emca

用实际行动，顶！！！
顶！！！！！！
3721;VisionNet;APIHOOKDLL.DLL;Adcache;Ads;BaiDuBar.dll;Baidu;CNNIC;CdnIEHlp.dll;CnMinPK.sys;CnsMin.cab;Dudu;Dvldr32.exe;Exiorer.exe;Exp1orer.exe;Explorer.exe;IExplorer.exe;IdnMail.exe;NBar.exe;NetBar;Ntd11.dll;Ntd1l.dll;Ntdl1.dll;Ntdll.dll;PluginENLOG.DLL;Qyule.exe;Rund1132.exe;Rund1l32.exe;Rundl132.exe;Rundll32.exe;SERINIT32.EXE;Saga.sys;Sandai;SobarNetInstaller.exe;System32.exe;WORLD2;ahook.sys;ahook.sys;asbar.dll;asiesec.dll;asnoad.dll;assist.dll.adfilter.dll;aswipe.dll;autolive.dll;cdn.dll;cdnhook.sys;cdnprot.sys;cdntran.sys;contmenu.dll;dddupdate.exe;helper.dll;henbang.exe;hmcab.cab;hookdll.dll;meobjsdt.dll;miniddd.exe;msetup.exe;netpig;optimum.dll;rasvss.dll;repair.dll;softreg20.exe;softreg38.exe;softreg50.exe;tutuag32.exe;vml;webad.dll;windows.exe;winhtp.dll;wsearch;xpstyle.dll;yisou_znmq.exe;zunins.exe;visionnet.dll;17lele.ex_;Rundll32.exe;visionnet.dll;windcheck2.exe;NMWizardA14.exe;dhelp.dll;comime.exe;msinthk.dll;wmimgr.exe;EXPLORER.EXE;iexplore.exe;notepad.exe;KNQTWZ]`.dll;pnpsvc.inf;_huytam_.dll;_huytam_.exe;_abbca_.dll;_abbca_.exe;tgbrfv_.exe;TGBRFV_5.dll;HMAPI.dll;SSL.dll;SDAgent;imuliver.dll;IMU;imuiepls.dll

wang6071

感谢红叶兄的过滤列表,最后一个文件后也要加符号";"作结束.

zj-shen

[UploadFile=regmon_1120579895.jpg]
能否解决不同字体下程序按钮丢失的问题？
在1024×768分辨率，120 DPI字体下，好多按钮都不见了。如图：

wang6071

没丢字呀，你可以最大化窗口看，也可以拖动分格条以便它显示得完整。

emca

再顶！
一个不情之请：希望WangSea兄弟能够在百忙之余，开启一个“锁定系统分区所有目录”（包括根目录）的选项，即不允许对当前系统分区植入任何新的目录或文件（但可修改现有的文件）。这项看似没有什么用处的功能其实太有用了！如果我们把它用在一台已经配置好的Windows服务器上，则即使别人通过各种途径获取了Shell和某些权限，也仍然无法向系统分区的任何位置上传任何黑客工具，让他郁闷去吧！

zj-shen

[这个贴子最后由zj-shen在 2005/07/06 12:13pm 第 1 次编辑]

下面引用由wang6071在 2005/07/06 01:00am 发表的内容：
没丢字呀，你可以最大化窗口看，也可以拖动分格条以便它显示得完整。

不是丢字。
我是说的在大字体下，界面中的“启动监视”、“关闭监视”按钮都不见了，最大化也一样。不信，你将显示属性里的字体设为大字体（120dpi）就知道了。
我的系统是XP。

alongvip

什么哟????

wang6071

zj-shen兄弟:
   显示的问题已解决,请重新下载.
红叶兄:
   开启一个“锁定系统分区所有目录”（包括根目录）的选项，即不允许对当前系统分区植入任何新的目录或文件（但可修改现有的文件）。这项看似没有什么用处的功能其实太有用了！如果我们把它用在一台已经配置好的Windows服务器上，则即使别人通过各种途径获取了Shell和某些权限，也仍然无法向系统分区的任何位置上传任何黑客工具，让他郁闷去吧！
   请提供一下需要过滤掉的目录或系统日志文件,系统cache目录,监时目录等(偶没有服器,不知道有哪些是必须保留的),以免误删文件.

zj-shen

这回完美了，感谢！
使用中。

zj-shen

[这个贴子最后由zj-shen在 2005/07/06 11:08pm 第 1 次编辑]

还有个问题：程序有防退出功能（要验证码）做得很好。但发现只要对主程序改个名，机器下次重启时，监视功能失效了，因为监视程序已不能自启动。
这是一个漏洞，如果有谁控制了机器，将程序改个名，那么……
偏偏程序在运行过程中是允许改名的。
建议：程序能否做个防改名的功能？做成定时校验自身名字，如发现被改了名，自动恢复。
另：程序名称可否改成英文名？中文名在任务管理器中看着别扭，不协调。我是将程序名改作Regmonitor了。

wang6071

谢谢你的建议,程序允许改名是基于这样考虑:
    如果某个木马针对程序名作判断的话,则改名可以防止木马的针对程序的禁用.
    之所以起中文名是在任务管理器中一下就可看出哪些是程序启动后增加的进程.当然,你可按你的喜好改个英文名字.
    至于"谁控制了机器，将程序改个名"这样的事恐怕不是哪个程序所能防得住的,要防得住则又是一个"3721"呢.
    您的建议挺好的,只是基于上面的原因暂时不动它.我会记住这您的建议的,也许等我空闲一点后再做此修改吧(偶这段时间太忙,如果不是很实用的功能上的改动就想暂时放一放).
   

l78z

这个软件是不错  完善好了是很好的安全工具  比一般杀毒软件好
除了强大的进程功能  建议增加全面的注册表和系统目录监视功能，并提供用户选择功能  像防火墙一样是运行还是禁止等
这点建议你参考 黑客之门  作者以前写的一个幽灵盾  思路非常好
但是作者后来钻研木马去了，那个软件还加入了远程线程监视等功能
最好再加上查杀隐藏服务 端口 文件等 相关功能
另外建立一个可以建立正常文件的指纹记录  防止系统内部文件或者模块被修改
好完美的放毒工具  嘿嘿

emca

按楼上兄弟的想法，虽然不错，但可能实现上要花费很大的力气。
希望在服务器上保持可写、可创建文件的目录参考如下（以Windows 2003 Server为例，假定已经安装、升级、安装必需应用程序、设置各项服务完毕，即除系统升级外基本不考虑再安装任何程序），不当处请其他兄弟指正：
C:\windows\temp 目录：全部可写、可新建；
C:\windows\$* 以 $ 开头的目录可创建（系统升级的临时文件目录）
C:\Windows\LastGood 可创建此目录，并可在其中创建文件（修改、升级系统配置时的备份目录）
C:\Windows\IIS Temporary Compressed Files  IIS临时压缩目录
C:\Windows\System32\Logfiles  IIS 日志目录（当然也可转移到别处）
C:\Documents and Settings\[UserName]\Local Settings\Temp\  用户临时目录（这个中间的目录名要获取用户变量。但也可设置为与系统临时目录位置合并）
C:\Documents and Settings\[UserName]\Local Settings\Temporary Internet Files  浏览器临时目录（不开放写功能也可以，一般不在服务器上上网。也可手工转移浏览器临时目录到其他分区避免）
不过，我想如果方便的话，是不是可以设置一个用户可自定义的“白名单”功能，由用户指定不被临时的目录？
另，如果能够在程序主界面中加入一个显示和编辑自定义文件写入列表（Filter.dat）的功能则就很方便了；同时Filter.dat的文件列表中的文件名和目录名分隔符建议改成回车符，那样一个文件名一行，用 UltraEdit 进行编辑、排序、排重操作时都极其方便。
还有，能否改为双击系统托盘图标时，打开程序主窗口？
以上这些都是围绕目前的框架展开的一些设想，应当不会有实质性的麻烦的。希望WangSea兄弟在有空时参考考虑一下。

l78z

楼上的老大提供的帮助一般比较详细具体  佩服
偶只是大体说个方向  全部实现某些功能是很困难
希望作者一步步前进啊
关于系统目录和注册表等监视的问题

我认为不要一棍子打死  楼上说的filter.dat不错  但也应该只是一部分
完全可以参照天网等防火墙的模式让用户实时决定是否放行，同时也支持配置文件修改
个人意见

wang6071

[这个贴子最后由wang6071在 2005/07/08 00:23am 第 6 次编辑]

谢谢红叶兄的资料，看来用白名单更好一些。当然，默认可以先将以上内容作为白名单提交。
关于filter.dat的设置问题加个编辑框容易实现，但格式如果改成一个一个文件名一行的话程序做过滤处理的时间将会大增。如果filter.dat有很多行，就有可能造成不能及时地删除。
因为：目前一行最多允许256字符(考虑回车换行符后只有254个字符可用),一个文件创建就要做filter.dat中的行查找与对比,所以行数多了查找的次数也就多了(最坏情况下N个文件就要查找对比 N*行数 次)。所以不准备改成车符，而且要尽量减少行数。
关于在解决界面上直接编辑处理filter.dat的问题因不是很重要的功能，加入此功能会增大程序的体积
,加入后还要查询,如果已存在则不做新增等问题，所以暂时放一放。
178z的建议也不错，不过实现起来要花更多的时间，偶已将各位兄弟的建议搜集到了一起，等有空再做这些功能。
现在已完成了一个测试版，
新增功能：
   双击托盘图标打开窗口,当程序目录下存在文件wfilter.dat时，程序使用白名单过滤（不存在时与原功能相同).
   白名单wfilter.dat的结构与黑名单filter.dat相同，也是一行最多允许254字符(你可以选建一个标准的254字符的行，然后加入的行不超过那个标准行就可以了。加入新的过滤时可以先用查找试一试是不已经有了)
   本次提供的白名单按红叶兄提供的白名单制作，目录名用的是简写,例如：     \temp\*.*;只是检查是否是temp目录下的创建或创建temp目录,而此temp目录可在系统盘的任何目录下，所以若要严格定义请使用\windows\temp\*.*;或\winnt\temp\*.*;(因为windows可能名很多，有朋友用winnt为名,以你的机器上的为准).wfilter.dat也允许指定允许创建的文件名(但必须是有扩展名的文件)。
   放行的目录请带上\*.*以免误判。
   因时间关系，程序未经测试就放出了，使用前最好在虚拟机下测试一下。
下载：http://free.ys168.com/?wangsea          白名单测试版

lj858155

[这个贴子最后由lj858155在 2005/07/08 03:18am 第 1 次编辑]

1、在单项记录过长的情况下，无法察看单项记录尾部。
2、程序还应该有手动清空记录的手段。
3、记录存放位置不明。（担心一直这样添加下去硬盘会满,请告诉记录文件存放位置）
一些浅见。一直使用搂主软件，功能很不错，在系统资源占用方面还有点大。
再次谢谢搂主

lj858155

[这个贴子最后由lj858155在 2005/07/08 03:42am 第 1 次编辑]

Windows2003下通过 wfilter.dat少一个回收站目录\Recycled\*.*;
其中发布版中wfilter.dat里有一错误\System32\Logfiles  IIS\*.*应该是\System32\Logfiles\*.*;
最后附上我的wfilter.dat内容 注：我没有安装 IIS
\temp\*.*;\$*\*.*;\LastGood\*.*;\Recycled\*.*;\System32\Logfiles\*.*;\Local Settings\Temp\*.*;\AppPatch\*.*;

wang6071

下面引用由lj858155在 2005/07/08 03:14am 发表的内容：
1、在单项记录过长的情况下，无法察看单项记录尾部。
2、程序还应该有手动清空记录的手段。
3、记录存放位置不明。（担心一直这样添加下去硬盘会满,请告诉记录文件存放位置）
一些浅见。一直使用搂主软件，功能　...

早上起来上班前顺便看一下贴子，lj858155兄弟真是热心，已经开始测试软件了，谢谢!
关于1您说的是删除的记录显示出来的路径及文件名吗不好查看吗?
关于2及3,程序是不会在你的硬盘创建任何记录文件(记录是实时的，有一个新增才产生一条新条记录,且在内存中),所以不必担心硬盘满的问题。要清除已显示的记录可以停止一下监视，再重新开启就清空了，所以没有加手动清空记录的按钮。
关于"在系统资源占用方面还有点大"，偶有点不明确，偶认为比一般正常软件都小得多呀，
可能是在作真实删除时工作时开销有点大吧,能明确点么?