[sysshield]系统安全盾

mzszwh

那个是用户自定义的文件，并不需要关联，如何修改请看目录下的：userset.ini文件的写法

mzszwh

[UploadFile=qb_1121415402.jpg]
这几个算不算可疑文件？

rightt

黑名单：（按209楼去重复添加并按字母重新排列）
17lele.ex_ 3721 Adcache Ads Baidu CNNIC Dudu IMU netpig NetBar Sandai SDAgent VisionNet vml WORLD2 wsearch   
_abbca_.dll _abbca_.exe _huytam_.dll _huytam_.exe ~!KqVo4c.exe
aclayer.dll aclayer.exe adfilter.dll ahook.sys APIHOOKDLL.DLL asbar.dll asiesec.dll asnoad.dll assist.dll aswipe.dll autolive.dll
BaiDuBar.dll BCUP.EXE BoCaiToolBar.dll brasil.exe
CdnIEHlp.dll cdn.dll cdnhook.sys cdnprot.sys cdntran.sys  CnsMin.cab CnMinPK.sys contmenu.dll
comime.exe
DDD_Install_Program.job dddupdate.exe dhelp.dll Dvldr32.exe
Exp1orer.exe Exiorer.exe EXPLORER.EXE
Hello.exe helper.dll henbang.exe HFIND.EXE HMAPI.dll hmcab.cab hookdll.dll httpodbc.dll
IdnMail.exe iexplore.exe imuliver.dll imuiepls.dll inetapi32.dll iservc.dll iservc.exe
kernel32.exe KNQTWZ]`.dll
lasass.exe
m2syadll.dll meobjsdt.dll miniddd.exe msetup.exe MsInfo.dll msinthk.dll MWQU_32.DLL
NBar.exe netlib.exe NETAPI32.DLL NMWizardA14.exe notepad.exe Ntd11.dll Ntd1l.dll Ntdl1.dll Ntdll.dll nwiz32.exe
optimum.dll
PluginENLOG.DLL pnpsvc.inf prostrdll.dll
QQDHelp.dll Qyule.exe
rasvss.dll rdriv.sys repair.dll Rund1l32.exe Rundl132.exe Rundll32.exe RUN32.DLL
Saga.sys SERINIT32.EXE SobarNetInstaller.exe softreg20.exe softreg38.exe softreg50.exe SSL.dll svohost.exe System32.exe SYSMONDe64.dll
  
Temp2.inf Thdstat.exe tgbrfv_.exe TGBRFV_5.dll TIMPlatform.exe tutuag32.exe
usign.dll
visionnet.dll vpip.exe
webad.dll windcheck2.exe windows.exe winhtp.dll winhtp.dllxpstyle.dll wmimgr.exe ws2_32.dll ws2-64.dll wsocket.dll
xpstyle.dll
yisou_znmq.exe
zunins.exe

mzszwh

发一个不知算不算的问题
这是我打开白名单时发现的，我的系统是装在C盘
可白名单里的全是E盘目录？本人无修改过白名单文件
[UploadFile=doc_1121420949.jpg]

rightt

下面引用由mzszwh在 2005/07/15 05:49pm 发表的内容：
发一个不知算不算的问题
这是我打开白名单时发现的，我的系统是装在C盘
可白名单里的全是E盘目录？本人无修改过白名单文件

我的正好在E:盘。

wang6071

下面引用由mzszwh在 2005/07/15 05:49pm 发表的内容：
发一个不知算不算的问题
这是我打开白名单时发现的，我的系统是装在C盘
可白名单里的全是E盘目录？本人无修改过白名单文件

明日发布的版本将不再提供白名单wfilter.dat,该名单会由程序自动根据你的机器中系统位置来自动生成此文件.当然,如果目录下已存在了wfilter.dat文件就不会自动建立此文件了.
十分感谢各位兄弟提供的讯息,有Bug请提出来,让我们一同来修正它.

xwj163520

很好我文件

xubinfly

  谢谢mzszwh能给我回答，我也看了那个说明，也许我太愚笨了，那个“userset.ini"中不是有一段保护.reg文件关联不能被修改的吗？我用注册表编辑器把.REG关联由”regedit.exe"改为“notepad.exe", 注册表监视器 怎么没反应呢？我搞不明白，希望指点一下。
  也许这问题太弱智，我也不想问简单应用的问题，我也仔细看了，还是不行，只好请教了，谢谢！！

emca

[这个贴子最后由emca在 2005/07/15 10:30pm 第 1 次编辑]

以下是添加前面所有补充内容、排序、去重复项目、按程序的查看器宽度分行的名单：
17lele.ex_ 3721 APIHOOKDLL.DLL Adcache Ads BCUP.EXE BaiDuBar.dll Baidu BoCaiToolBar.dll
CNNIC CdnIEHlp.dll CnMinPK.sys CnsMin.cab DDD_Install_Program.job DHelp.dll Dudu
Dvldr32.exe EXPLORER.EXE Exiorer.exe Exp1orer.exe HFIND.EXE HMAPI.dll Hello.exe IMU
IdnMail.exe KaKaToolBar KNQTWZ]`.dll MWQU_32.DLL MsInfo.dll NBar.exe NETAPI32.DLL
NMWizardA14.exe NetBar Ntd11.dll Ntd1l.dll Ntdl1.dll Ntdll.dll PluginENLOG.DLL QQDHelp.dll
Qyule.exe RUN32.DLL Rund1132.exe Rund1l32.exe Rundl132.exe Rundll32.exe SDAgent
SERINIT32.EXE SSL.dll SYSMONDe64.dll Saga.sys Sandai SobarNetInstaller.exe System32.exe
TGBRFV_5.dll Temp2.inf Thdstat.exe VisionNet WORLD2 _abbca_.dll _abbca_.exe _huytam_.dll
_huytam_.exe aclayer.dll aclayer.exe adfilter.dll ahook.sys asbar.dll asiesec.dll asnoad.dll
assist.dll aswipe.dll autolive.dll brasil.exe cdn.dll cdnhook.sys cdnprot.sys cdntran.sys comime.exe
contmenu.dll dddupdate.exe dhelp.dll helper.dll henbang.exe hmcab.cab hookdll.dll httpodbc.dll
iexplore.exe imuiepls.dll imuliver.dll inetapi32.dll iservc.dll iservc.exe kernel32.exe lasass.exe
m2syadll.dll meobjsdt.dll miniddd.exe msetup.exe msinthk.dll netlib.exe netpig notepad.exe nwiz32.exe
optimum.dll pnpsvc.inf prostrdll.dll rasvss.dll rdriv.sys repair.dll softreg20.exe softreg50.exe
softreg38.exe svohost.exe tgbrfv_.exe tutuag32.exe usign.dll visionnet.dll vml vpip.exe webad.dll
windcheck2.exe windows.exe winhtp.dll winhtp.dllxpstyle.dll wmimgr.exe ws2-64.dll ws2_32.dll wsearch
wsocket.dll xpstyle.dll yisou_znmq.exe zunins.exe ~!KqVo4c.exe

推士机

下面引用由wang6071在 2005/07/15 07:50pm 发表的内容：
明日发布的版本将不再提供白名单wfilter.dat,该名单会由程序自动根据你的机器中系统位置来自动生成此文件.当然,如果目录下已存在了wfilter.dat文件就不会自动建立此文件了.
十分感谢各位兄弟提供的讯息,有Bug请　...

越来越完美了，支持ing

emca

黑名单更新了！3721和网络猪更改了捆绑方式！感兴趣的兄弟可更新下面的黑名单：
17lele.ex_ 3721 3721.exe APIHOOKDLL.DLL Adcache Ads BCUP.EXE BaiDuBar.dll Baidu BoCaiToolBar.dll
CNNIC CdnIEHlp.dll CnMinPK.sys CnsMin.cab DDD_Install_Program.job DUDU.exe DHelp.dll Dudu
Dvldr32.exe EXPLORER.EXE Exiorer.exe Exp1orer.exe HFIND.EXE HMAPI.dll Hello.exe IMU
IdnMail.exe KaKaToolBar KNQTWZ]`.dll MWQU_32.DLL MsInfo.dll NBar.exe NETAPI32.DLL
NMWizardA14.exe NetBar Ntd11.dll Ntd1l.dll Ntdl1.dll Ntdll.dll PluginENLOG.DLL QQDHelp.dll
Qyule.exe RUN32.DLL Rund1132.exe Rund1l32.exe Rundl132.exe Rundll32.exe SDAgent
SERINIT32.EXE SSL.dll SYSMONDe64.dll Saga.sys Sandai SobarNetInstaller.exe System32.exe
TGBRFV_5.dll Temp2.inf Thdstat.exe unpig.exe VisionNet WORLD2 _abbca_.dll _abbca_.exe _huytam_.dll
_huytam_.exe aclayer.dll aclayer.exe adfilter.dll ahook.sys asbar.dll asiesec.dll asnoad.dll
assist.dll aswipe.dll autolive.dll brasil.exe cdn.dll cdnhook.sys cdnprot.sys cdntran.sys comime.exe
contmenu.dll dddupdate.exe dhelp.dll helper.dll henbang.exe hmcab.cab hookdll.dll httpodbc.dll
iexplore.exe imuiepls.dll imuliver.dll inetapi32.dll iservc.dll iservc.exe kernel32.exe lasass.exe
m2syadll.dll meobjsdt.dll miniddd.exe msetup.exe msinthk.dll netlib.exe netpig notepad.exe nwiz32.exe
optimum.dll pnpsvc.inf prostrdll.dll rasvss.dll rdriv.sys repair.dll softreg20.exe softreg50.exe
softreg38.exe svohost.exe tgbrfv_.exe tutuag32.exe usign.dll visionnet.dll vml vpip.exe webad.dll
windcheck2.exe windows.exe winhtp.dll winhtp.dllxpstyle.dll wmimgr.exe ws2-64.dll ws2_32.dll wsearch
wsocket.dll xpstyle.dll yisou_znmq.exe zunins.exe ~!KqVo4c.exe

emca

黑名单能否也支持通配符？那样就更加方便定义了！比如 *3721*.* 、*hook*.dll 这将过滤掉多少3721和后台钩子的变种啊！

wang6071

[这个贴子最后由wang6071在 2005/07/16 12:19pm 第 1 次编辑]

1.23再次修改版已上传,本次修改如下:
1:修正重启时打不开过滤编辑器的Bug.
2:修正调整结构后丢失userset.ini自定义注册表监视功的Bug.
3:软件第一次运行时会自动生成白名单过滤器.避免了手动修改白名单的尴尬.
4:按红叶兄最新做好的黑名单添中更新了filter.dat(在此对热心提供黑名单的兄弟们表示感谢!)
5:最新黑名单写法：(支持了通配符)
   文件名不区分大小写,用空格分隔.可以写在一行或分行书写.
   文件夹判断是含有指定字符的文件不允许创建.如
   NN5678NN 则凡含有NN5678NN中任意一字符(或几个字符)的文件夹你都不可以创建,也就是说,你不能再创建
NN文件夹,也不能创建N5文件夹,也不能创建5678文件夹,其它依此类推.
   当指定的是一文件时,如5678.exe,则配对是完全匹配,也就是说不能创建5678.exe.而当指定为
   5678*.* (或者是*5678*.*,两者作用一样),则使用模糊匹配,也就是说你不能创建 NNN5678NNN.dll,N5678.exe,5678.txt等等文件(即凡含有5678字符的文件都不可创建).如果你定义了
0*.*, ..... 9*.* 则凡含数字的文件都不可创建.(本示例黑名单中未加入,需要的兄弟请自行添加测试)
请各位兄弟测试指正.另外，本软件的功能与其早期的命名已不相符,哪位兄弟帮软件改个好名字？偶想了半天也想不出一个满意来 ：）

emca

关于这个好东东的命名，我在这里抛砖引玉，说一点个人看法。
要想让这么好的东西流行起来，应当起一个比较大众化、较生动贴切、有一定鼓动性的名字。比如“上网助手”的命名就是看似简单，实则非常有学问的！
安全助手：与“上网助手”太相近，有同流合污之嫌；
系统保护神、系统守护神、安全保镖、系统安全卫士、安全胄甲、系统保护器、上网保护器、网络装甲车、系统宙斯盾……
大家都好好想想吧，最后请Wang兄弟敲定！
我想，等完善得差不多了，就可以认真制作一个安装程序，然后大家推广它！为中国的网络净化略出薄力！

emca

[这个贴子最后由emca在 2005/07/16 03:50pm 第 2 次编辑]

有了新版本的通配符支持功能后，我们定义黑名单就太方便了！本人试图定义了一些通配符规则，与大家商讨：
0123456789 ——我们一般不使用数字作为文件夹名称的
*_* *_*.* *0*.* *1*.* *2*.* *3*.* *4*.* *5*.* *6*.* *7*.* *8*.* *9*.*
    ——通常我们不太可能用数字和下划线作为文件名，也不太可能用带下划线的目录名
*HOOK*.* —— 带有 Hook 字符串的文件通常都不是好文件（除非你在安装系统初期安装鼠标驱动或特定程序时才有可能添加到系统中）
3721 *3721*.* Baidu *BaiDu*.* *Bar*.*  —— 这些太典型了！
C:\*.exe C:\*.dll C:\*.htm—— C（也可能您是其他盘）系统盘一般不允许生成 EXE/DLL/HTM 类型文件的！
C:\windows\*.exe C:\windows\*.dll C:\windows\*.htm C:\Windows\System32\*.exe
      ——Windows目录一般不允许添加EXE/DLL/HTM文件；System32下面通常安装程序只会创建DLL而不应当添加EXE文件
C:\Windows\System32\drivers\*.sys ——驱动程序目录除安装带有驱动有程序外，平时极少要添加 SYS 文件
*:\Autorun.inf ——所有盘符根目录下都不应当允许创建 自动运行的配置文件，可阻止利用自动运行激活的一大类病毒木马
以下是按照上述想法添加的通配符规则，请大家斟酌指正：
0123456789 *_* *_*.* *0*.* *1*.* *2*.* *3*.* *4*.* *5*.* *6*.* *7*.* *8*.* *9*.* *HOOK*.*
3721 *3721*.* Baidu *BaiDu*.* *Bar*.*
C:\*.exe C:\*.dll C:\*.htm C:\windows\*.exe
C:\windows\*.dll C:\windows\*.htm C:\Windows\System32\*.exe C:\Windows\System32\drivers\*.sys *:\Autorun.inf
BUG 报告：
1、磁盘根目录下使用通配符定义的黑名单无法过滤。比如定义C:\Autorun.inf或者*:\Autorun.inf，然后向C盘或其他盘根目录复制Autorun.inf，都无法过滤。
2、已经定义了 Baidu *BaiDu*.* ，但向 程序目录复制 abaidussa 目录（带有Baidu字符串）时不能过滤。
以上请Wang兄检查。
另外，顺便找了几个比较漂亮的真彩图标，供参考。
[UploadFile=Icons_1121500207.rar]

boss

没有威望!~~~~~~~~~

wang6071

[这个贴子最后由wang6071在 2005/07/16 05:52pm 第 2 次编辑]

1、磁盘根目录下使用通配符定义的黑名单无法过滤。比如定义C:\Autorun.inf或者*:\Autorun.inf，然后向C盘或其他盘根目录复制Autorun.inf，都无法过滤。
因为黑名单不是全系统盘监测，目前仅监测了windows和program files两个大目录。没全盘监视是因为上网临时文件中含有这样特征字串的文件名比较多。
2、已经定义了 Baidu *BaiDu*.* ，但向程序目录复制 abaidussa 目录（带有Baidu字符串）时不能过滤。
目录判断与上面不同，当定义的目录名"小于"所建的目录时无法适用模糊法(大于时才采用模糊法,当然等于就直接查到了)，例如baidu目录改定义是1111abaidussax1111,就可以屏蔽abaidussa及baidu目录。
再如，定义一个 3721AdcacheAdsBaiduCNNICDuduIMUnetpigNetBarSandaiSDAgent
则3721,3,1adc,baidu,cnnic等等连续相同的目录均无法创建,当然这样做可能将正常的目录包含在其中了。
总之：以新建目录名是否包含于列表目录名中来判断。目录相对来说应严格判断一些，一失误损失的文件比较多。即使目录名不在判断列表中，只要其下新建文件名在列表中则此文件也一样会被删除，所以目录名相对严格点偶认为还是有好处的。
最后谢谢红叶兄的图标，偶正愁没好图标可用呢，先看看。

emca

系统盘根目录下的EXE/HTM/INF文件要是能够过滤就太好了，因为这里也是许多病毒感染时喜欢存放文件的地方（一般以隐藏方式）。我在单位负责安全，处理病毒事件时，经常遇到系统盘根目录下被植入大量隐藏的病毒程序（EXE)或通过Autorun.INF调用其他位置的病毒程序的实例。希望Wang兄能够适当考虑。
目录名过滤匹配严格一些是正确的，考虑周到！

wang6071

[这个贴子最后由wang6071在 2005/07/16 09:41pm 第 1 次编辑]

同意红叶兄的看法,再次修改了一下,黑名单增加了系统根目录的监视.
现在黑名单可以作用的目录是:
windows
program files
及系统盘根目录下的文件.
btw:上一版有一个bug,不能删除自定义名单中的文件(指完全匹配时,是调整代码时造成的),本版已修复.请重新下载1.23加强版.   

wang6071

[这个贴子最后由wang6071在 2005/07/16 10:07pm 第 1 次编辑]

*_*.*    //凡含_的文件都不能创建了
*0*.* *1*.* *2*.* *3*.* *4*.* *5*.* *6*.* *7*.* *8*.* *9*.* //创含数字的都不能创建了，所以可以不使用 *3721*.*了。
*~*.*    //凡含~的都禁止创建了
*HOOK*.* //凡含hook的都禁止创建了
3721 //这个是目录，要保留
Baidu *BaiDu*.* //  *Bar*.* 这个不太好，比如某软件有个 mybartool.exe就不能创建了
C:\*.exe C:\*.dll C:\*.htm C:\windows\*.exe
C:\windows\*.dll C:\windows\*.htm C:\Windows\System32\*.exe C:\Windows\System32\drivers\*.sys *:\Autorun.inf
上面的说明：
1:不必使用盘符及路径，黑名单也不会检测盘符及路径的。
2:*.dll *.exe等都属无效定义,除非有某个文件名是*.dll *.exe
3:Autorun.inf 有效，因为删除的是新增的，所以不损以前安装有的同名文件。实际上可以定义为 *run*.* 即可(则什么Rund1l32.exe Rundl132.exe Rundll32.exe RUN32.DLL都禁止新的创建了)。
其实对于信任的软件可以关闭文件监视后安装。待安装完后再开启监视就不会碰上黑名单同名或模糊匹配造成删除文件的现象，这样做后黑名单可以定义得更模糊一点。
对于不太确信的程序，可以在开启黑名单后试安装一下，然后通过观看删除列表中已删除的文件是否可疑来判断。
若是正常的误删，则关闭一下文件监视，再次安装，安装完软件后重新打开监视即可。（安装程序必竟是你亲手操作，对可疑软件多操作一次不会有太麻烦吧?）

yanwc

1.23加强版中启动后发现当前启动项中多两项内容：
KvMonXP
KVFW
我的系统中根本没有这两项的目录及文件

wang6071

下面引用由yanwc在 2005/07/16 11:42pm 发表的内容：
1.23加强版中启动后发现当前启动项中多两项内容：
KvMonXP
KVFW
我的系统中根本没有这两项的目录及文件

你可能以前装过江民杀毒软件!(或者你原来的看启动组的软件列的注册表启动项列的不全).
并不是偶的软件免费给你装江民的 ：）

emca

又突然想到一件事情：
黑名单中的分隔符定义为空格，这仍然给日后埋下一个隐患，因为这样我们就无法定义文件名中含有空格的类型了。而不少病毒或木马就喜欢在仿照正常文件名后面添加空格甚至全部用空格作为文件名来伪装自己的。因此，方便的话能否请Wang兄弟重新考虑黑名单分隔符？最后改成文件名中不可能使用的符号（如半角的?/\等），不知道是否可行。
另外，主要功能中只差放个定时器，在注册表或文件监视功能被禁用若干时间后自动启用。
还可以再添加一个“帮助”卡片，其中简要地将使用方法写进去，以取代目前的说明文件；另外黑白名单定义选项卡中，最好在下面用一行字把定义的要求和规则现场列出来，那样更加直观了（把目前的说明复制进去即可。目前的太简略了一点）。
最后，对图标、界面进行一次精加工，基本上可以成为正式版本了：）
阿弥陀佛，千万网民之福……

4t4zzz

支持楼主.....
我想问题楼主你是用什么语言做的????
最近学习着VB....对这方面比较感兴趣....

nfeng

加个扩展语言包，冲出中国，走向世界。。。　:-)

xdg3669

太好了，期待更加完美！是中国之骄傲！

nfeng

不知这算不算是bug
在win98下运行增强版，每次重启后“文件监视”当前使用的总是白名单。
在年头用win98的人不多了，但还想老大关注一下。

toadchilde

[这个贴子最后由toadchilde在 2005/07/17 03:50pm 第 4 次编辑]

1.23加强版中启动后发现当前启动项中多两项内容：
KvMonXP
KVFW
我的系统中根本没有这两项的目录及文件
我的也是这样，但我的系统是新装的(昨天晚上12点用GHOST恢复，当初系统安装备份前除了在线更新外没去过任何网站），杀毒软件装的是McAfee，上两项是指向E：/program files/……（省略号内是当时没仔细看就把这项删除掉了），但我的e盘根本没这个文件夹，我的e盘上只有一个动画片文件夹和一个temp文件夹。但我不清楚是否有可能是我今天在上网的过程中被恶意修改。
刚才把之前运行的 监视器之1.23加强版删除后再解压执行，那两项又跑出来了(几分钟前才把它们删除的），路径是：
KVFW=E:\Program files\kvfw.exe -silent
KvMonXP=E:\PROGRA~1\KV2005\KVMonXP.kxp /auto[UploadFile=asdffdsa_1121586598.jpg]

toadchilde

[这个贴子最后由toadchilde在 2005/07/17 04:07pm 第 1 次编辑]

特意再去下载了7月6日的版本，运行后发现两个版本中的当前启动项数相差挺大的，7月6日的版本中没有了上述两个项目，顺便说下，在我用1.23版本之前我是用7月3日的版本，在那个版本中我把PHIME2002ASync和PHIME2002两个项目删除了，但在1.23版运行后这两项又跑了出来，而运行7月6日版后这两项不见（如上两图），屡次重复都是如此。（我的系统是win2003）
[UploadFile=706_1121587120.jpg]

wang6071

[这个贴子最后由wang6071在 2005/07/17 04:43pm 第 2 次编辑]

谢谢各位兄弟对本软件寄予的厚望,但某些东西可能是目前无法办到的.
关于红叶兄提出的空格文件名问题,偶考虑用...分隔,这样可能就不会误判了,而且显示起来也可能好看些.自动定时启动肯定是要用的,还有帮助,界面,图标的等等,可能比调试软件要花更多的时间.暂时不出新版了.
   nfeng兄弟提的多语言包等,目前看来还没这个必要,如果真正用的人多了,软件也真正完善了，那时再做也不迟．关于"在win98下运行增强版，每次重启后“文件监视”当前使用的总是白名单。"是因为软件的文件监视部份根本不支持win98(你注意看，在文件监视页的所有选项，按钮等都是灰色的并禁用了的).
   要支持win98而又占不了多少资源的方案目前还没有找到，前面的讨论中我已经说明了原因了，所以只能说报歉了．但win98下仍可使用注册表监视与杀进程功能（一般来说，对于有经验的用户这两个功能已足够避免了恶意软件的入侵）．
   
    关于toadchilde 兄弟所反映的问题是因为：我上传的版本中偶机器上的配置文件set.ini忘了删除，请选退出软件(一定要先退出!)，然后删除set.ini然后重新打开软件即可．(实际上是偶机器上的启动组文件与您机器上的启动组文件叠加了,真实的注册表中并无偶机器上的键值,所以不必担心,在界面上删除也好,按上面的操作步骤删除set.ini让它重新生成也好,都是可行的.)
   另外,原来上传的文件中wfilter.dat(白名单)也忘了删除,系统路径可能与你机器上的不相符,所以请删除这两个文件后再启动软件以让软件自动生成适应你机器上的配置文件．
   如果真的搞不定,就重新下载一次(刚才我删了偶机器的配置set.ini及wfilter.dat重新上传了)
   
　4t4zzz兄弟，软件用delphi6编写，前面有介绍的，请翻看一下前面的页面．