[sysshield]系统安全盾

zts59 · 发表于 2006-11-24 19:01:09

如果在DOS下读不出NTFS卷序列号的话，就在WINDOWS下的回收站文件夹中，建立一个以卷序列号的文件。

从这个方法，可以想到，把删除列表文件也放在回收站文件夹中算了。

不过怕什么安全软件会阻止这个操作，看看可行吗？

zts59 · 发表于 2006-11-24 22:22:39

更新在下面...

[ 本帖最后由 zts59 于 2006-11-25 01:22 PM 编辑 ]

wang6071 · 发表于 2006-11-24 23:04:02

原帖由 zts59 于 2006-11-24 10:22 PM 发表
按上述方法判断盘符,
WINDOWS下程序TEST.EXE,主要是在C:\delfiles.tmp(删除文件列表).　其具体操作是将卷的序列号"-XXXX"成各盘回收站中建立一个字节的文件"-XXXX".然后再在生成　C:\DELFIL ...

dos下确实取不到分区卷标,在回收站中建立文件作为标志也不失为一个方法.

不过一般到dos下删除文件肯定是不太容易清除的文件了,所以在直接在各盘根目录下生成动态文件名.txt(其实就是delfiles.bat) 还是要好一些.因为一般难已清除的东西都在系统盘下,所以一般来说只会有一个delfiles.bat.

再通过EXTRACT.EXE传入镜像一个0字节的与动态文件名对应的文件,在批处理中将此文件名设为搜索文件的变量,就可以了.

好处是仍然使用了动态文件名,每次运行后生成的文件都不一样,这肯定能防住N多带监测功能的流氓．总归来说恢复ssdt的方法并非万能，有可能在某些情况下会失效，所以最好是动态文件名．当然用固定名也不怕，不能用了重新编辑一个不就成了，不过就需要看情况升级了．

可惜的是用EXTRACT.EXE动态加入的文件在使用dos命令时，似乎不太稳定，dir　*.tmp 可以找到，而ren *.tmp Killvir.bat却通不过，退出用winimage任意修改一下镜像，却又可以成功．而有时做的镜像却能一步成功，我想可能与初始镜像结构有关系，研究中．．．．．　

zts59 · 发表于 2006-11-25 08:09:37

我还考滤把删除列表也放在回收站去算了.这样会用户一般看不到这个多生成的文件了.

EXTRACT.EXE不稳定的话,可以用WINIMAGE整理更新一下镜像试试.(不知道它的命令行参数是什么)

[ 本帖最后由 zts59 于 2006-11-25 08:21 AM 编辑 ]

luxp · 发表于 2006-11-25 09:10:54

Wangsea兄，我用最新版的系统安全盾，在开启状态下安装QQ，但QQ被添加到了启动文件夹，而安全盾没有反映。后来下载了一个SQLSERVER绿色版也是如此（在注册表中设为自动启动），不知是何故。

951888888 · 发表于 2006-11-25 10:44:47

我来下载试用看看。谢谢。

zts59 · 发表于 2006-11-25 13:22:11

WINDOWS下程序TEST.EXE,主要是在C盘回收站delfiles.tmp(删除文件列表).　

其具体操作是将卷的序列号"-XXXX"保存在各盘回收站中"----"的文件.然后再C盘回收站里面生成DELFILES.TMP.(只在C盘生成)

在DOS镜像中自动获取各分区回收站的"----"这个文件内容为变量,值对应为各盘符.
然后找各分区回收站中的DELFILES.TMP.并执行.

TEST.EXE用易语言写的,太大了,呵呵水平问题,只能用这个写了.

功能基本都实现了.

考滤到以后的VISTA操作系统的问题.
没有作引启相关处理,请用GRUB手动引导镜像.

wang6071 · 发表于 2006-11-25 23:03:46

完成了基于各盘生成删除批处理的工作.

程序内置了grub引导,动态文件名生成,运行后自动生成boot.ini选项<删除顽固文件>
执行此项后删除在windows界面下加入删除列表中的文件,同时删除生成的各盘根目录下的批处理(动态文件名.tmp),同时也清除了加入的grub引导与磁盘镜像.

唯一未清的就是boot.ini中的菜单项,我想不必清除,因为清除了引导器及镜像,此选项已成空项无法引导了.下次运用仍然后使用相同的引导菜单,但引导镜像会不一样.也就是说即是重复多次执行本软件,也只生成一个菜单项,所以我想为安全起见就不用清除啦.

再次提醒,本软件已内置了所有的镜像与引导文件,单独使用即可.
使用文件拖放加入文件是最方便的,支持同时加入拖入的多个文件.

-------------------
luxp:安全盾默认是不监视快捷方式的启动菜单的启动的,你可以在文件监视设置中将启动菜单加入到自定义目录监视中.

[ 本帖最后由 wang6071 于 2006-11-25 11:07 PM 编辑 ]

6618 · 发表于 2006-11-25 23:58:36

第一个下载了WANG兄楼上上传的MYDELFILE，试用后反馈和疑问：
1、我的是SATA硬盘，160G，C盘是FAT32格式，我在C盘建根目录下建了一个123.EXE的文件，并设为只读、隐藏，用MYDELFILE能成功删除。
2、删除后重启机子，发现C盘目录下留有ATUODEL.BAT，内容如下：
Attrib -s -h -r %08E6%123.exe
Del %08E6%123.exe
照理这个AUTORUN.BAT WANG兄应该删除了才对的，不知为什么不删？
3、发现BOOT.INI中“C:\QWTLN=删除顽固文件”这一项没删掉，而要用到的IMG文件和QWTLN都已删了，所以这项是不可用的，建议WANG兄清除顽固病毒重启前把BOOT.INI改回原样。——所有都恢复原样，除了删除了病毒外，其他都像原来一样，好像什么事都没发生似的。

wang6071 · 发表于 2006-11-26 00:05:01

原帖由 6618 于 2006-11-25 11:58 PM 发表
第一个下载了WANG兄楼上上传的MYDELFILE，试用后反馈和疑问：
1、我的是SATA硬盘，160G，C盘是FAT32格式，我在C盘建根目录下建了一个123.EXE的文件，并设为只读、隐藏，用MYDELFILE能成功删除。
2、删除后重启机 ...

删除后重启机子，发现C盘目录下留有ATUODEL.BAT，内容如下：
Attrib -s -h -r %08E6%123.exe
Del %08E6%123.exe
照理这个AUTORUN.BAT WANG兄应该删除了才对的，不知为什么不删？
-------------------------
这个应该是以前的版本的残留,新版批处理名是: xxxxx.tmp
另外文件内容上看也是上一版本留下的.

发现BOOT.INI中“C:\QWTLN=删除顽固文件”这一项没删掉，而要用到的IMG文件和QWTLN都已删了，所以这项是不可用的，建议WANG兄清除顽固病毒重启前把BOOT.INI改回原样
--------------------------
我是怕修改如果出现异常情况造成不能启动,所以留下了这个项目.此项如果再次运行mydelfile它会再次利用此项而不是新增另一个项目,所以我想影响不大,未做却除处理.

6618 · 发表于 2006-11-26 00:30:51

原帖由 wang6071 于 2006-11-26 12:05 AM 发表
、这个应该是以前的版本的残留,新版批处理名是: xxxxx.tmp
另外文件内容上看也是上一版本留下的.

应该是上一版留下的，我还没注意到。

原帖由 wang6071 于 2006-11-26 12:05 AM 发表
我是怕修改如果出现异常情况造成不能启动,所以留下了这个项目.此项如果再次运行mydelfile它会再次利用此项而不是新增另一个项目,所以我想影响不大,未做却除处理.

在C盘根目录下有个MYBOOT.INI，删掉修改后的BOOT.INI，再把MYBOOT.INI改成BOOT.INI应该不会出错吧。

longwang · 发表于 2006-11-26 01:27:33

还是希望将BOOT.INI中“C:\QWTLN=删除顽固文件”设为默认，运行后将“C:\QWTLN=删除顽固文件”自动清除，就像它不存在一样，感觉方便点。

另外grldr还需要修改一下，它还会自动搜索根目录下的menu.lst，如果menu.lst在根目录的话，程序会自动加载根目录的menu.lst，导致“删除顽固文件程序”的镜像不会被自动加载。

wang6610 · 发表于 2006-11-26 08:11:18

原帖由 wang6071 于 2006-11-25 11:03 PM 发表

程序内置了grub引导,动态文件名生成,运行后自动生成boot.ini选项<删除顽固文件>
执行此项后删除在windows界面下加入删除列表中的文件,同时删除生成的各盘根目录下的批处理(动态文件名.tmp),同时也清除了加入的grub引导与磁盘镜像.

再次提醒,本软件已内置了所有的镜像与引导文件,单独使用即可.
使用文件拖放加入文件是最方便的,支持同时加入拖入的多个文件.

[ 本帖最后由 wang6071 于 2006-11-25 11:07 PM 编辑 ]
...

grub还是不兼容多硬盘(其他硬盘若安装过GRUB的话)。

我改了一个支持从任意硬盘启动的情况，且阉割了grub自动搜索MENU.LST的功能。

另外：
启动正常了，但要删文件并没删除。

说明一下,我挂接三块硬盘。

[ 本帖最后由 wang6610 于 2006-11-26 11:54 AM 编辑 ]

wang6071 · 发表于 2006-11-26 22:24:02

由于VISTA操作系统目前Grub还不能支持,所以将重启后删除设为默认的话可能会造成不能登陆的情况,进不了Dos也就无法还原菜单.故保留新增一个<删除顽固文件>的菜单选项方式.同时本版的MydelFile在进入Dos后删除文件完成后会删除新增的启动项目(还原菜单)

对Grub默认Menu.lst优先的问题进行了屏蔽,这样就不与您的其它Grub启动项相冲突了.

---------------------------------------
另外,关于 wang6610 说的不能删除文件的问题我测试中没有发生,请留意一下.如发生未删除情况,则应该镜像文件还在您的c:\,名为任意文件名.tmp 将此文件改名为 *.img,然后打开分析一下是何原因.(屏蔽重启,打开输出,再改回原名,重启后试一试看提示出现了什么错误)

[ 本帖最后由 wang6071 于 2006-11-26 10:28 PM 编辑 ]

longwang · 发表于 2006-11-26 23:11:58

测试了一下新版，有点问题，删除多个文件，批处理里只能生成一个删除命令，就是说只能删除一个文件。

6618 · 发表于 2006-11-26 23:33:56

我也试了，我在C：下建了123.exe和456.exe及在c:\windows下建了abc.exe结果C盘下的123.exe和456.exe都删除了，但C:\windows下的ABC.EXE却没有删除，问题和longwang 朋友说的类似。

[ 本帖最后由 6618 于 2006-11-26 11:35 PM 编辑 ]

longwang · 发表于 2006-11-26 23:41:44

另外，含有空格和汉字长文件名好像也删除不了，当然实际应用中可能不会遇到这个问题，不是是否通过GetShortPathName全部转换为短文件名，可能避免这个问题。王兄测试一下。

wang6071 · 发表于 2006-11-27 00:14:17

原帖由 longwang 于 2006-11-26 11:41 PM 发表
另外，含有空格和汉字长文件名好像也删除不了，当然实际应用中可能不会遇到这个问题，不是是否通过GetShortPathName全部转换为短文件名，可能避免这个问题。王兄测试一下。

含空格的长文件名被doslfn转换后与windows下长文件名不一样,所以删除不了,8.3格式也许能行,考虑一般不会出现删除这些东西,所以未处理.可以试一下转成8.3格式

生成的批处理是在要删除文件的根目录下,名为 xxxx.tmp
生成的镜像也是c:\ xxxx.tmp
生成的引导文件是c:\xxxx ,都是动态文件名

大家试一下先不重启,查看一下相关文件看生成的批处理,镜像处理是否正确.(偶测试未出现加入多个文件却只能生成删除一个文件的批处理,所以请打开相关文件查看一下,描述一下如何操作会产生这个现象,具体指明一下是拖动加入,还是输入框输入还是选择文件方式加入的)

[ 本帖最后由 wang6071 于 2006-11-27 12:15 AM 编辑 ]

6618 · 发表于 2006-11-27 01:28:58

我是用选择文件方式加入的，我看了一下，发现了问题所在（看下图）
DelVir /Y \123.EXE
DelVir /Y \456.EXE
DelVir /Y \FRXWXBL.TMP
删除了123.exe和456.exe后就把镜像给删了，所以删不了ABC.EXE？？

longwang · 发表于 2006-11-27 09:53:14

重新测试了一下，加入两个文件1.exe、plot.exe，不管采用哪种方式操作，批处理里始终没有1.exe。

[ 本帖最后由 longwang 于 2006-11-27 11:39 AM 编辑 ]

zts59 · 发表于 2006-11-27 11:53:34

NTFS慎用DEL命令,这个内部命令不能真正删除文件.
要用DELTREE.EXE.

wang6610 · 发表于 2006-11-27 14:13:54

原帖由 6618 于 2006-11-27 01:28 发表
我是用选择文件方式加入的，我看了一下，发现了问题所在（看下图）
DelVir /Y \123.EXE
DelVir /Y \456.EXE
DelVir /Y \FRXWXBL.TMP
删除了123.exe和456.exe后就把镜像给删了，所以删不了ABC.EXE？？

您说的不对,因为此时镜像已读入内存中。

要删的文件还是删不了,问在第二硬盘NTFS文件系统.

[ 本帖最后由 wang6610 于 2006-11-27 02:25 PM 编辑 ]

6618 · 发表于 2006-11-27 14:48:17

正如wang6610朋友所说，按理镜像是读入了内存的，但我手动换了一下删除的顺序，把要删除的病毒文件放到要删除的镜像前面，却能成功删除，暂不明是什么原因，我的C盘是FAT32格式来的。按下面的顺序删能成功删除：
DelVir /Y \123.EXE
DelVir /Y \456.EXE
DelVir /Y \WINDOWS\ABC.EXE
DelVir /Y \LQIPJIK.TMP
DelVir /Y \WTYYU

[ 本帖最后由 6618 于 2006-11-27 02:51 PM 编辑 ]

longwang · 发表于 2006-11-27 16:59:33

基本上找到问题，如果我的文件1.exe和plot.exe在c:盘。那么能够正确产生批处理，如果不是，那么批处理里面只有一条删除命令。

[ 本帖最后由 longwang 于 2006-11-27 07:10 PM 编辑 ]

wang6610 · 发表于 2006-11-27 19:43:08

我也找到问题了:

DelVir /Y \MYDELFILER\MYDELFILE\新建波形声音.exe

没有把文件名转为8.3格式.

wang6071 · 发表于 2006-11-27 20:16:13

Mydelfiel 1.5版

修正了1.4版删除非C盘文件时出现的文件漏加现象，对加入的文件进行了短文件名转换。

--------------------------
关于6618所述的删除镜像顺序问题反复试验仍然无法重现此问题,请用新版再做测试.

wang6071 · 发表于 2006-11-27 20:19:23

syscheck(1.0.0.58)
  修正验证签名后服务页厂商为空的Bug。
  修正在文件搜索中使用厂商特征字(不区分大小写,允许取部份字串比较)及限制文件大小无效的Bug。
  内置文件浏览器默认方式为只显示隐藏文件,使其查找木马更加方便。

wang6610 · 发表于 2006-11-27 20:33:34

原帖由 wang6071 于 2006-11-27 20:16 发表
Mydelfiel 1.5版

修正了1.4版删除非C盘文件时出现的文件漏加现象，对加入的文件进行了短文件名转换。

--------------------------
关于6618所述的删除镜像顺序问题反复试验仍然无法重现此问题,请用新版 ...

"DelVir /Y \MYDELFILER\MYDELFILE\新建波形声音.exe"

删除成功！
下一步可以考虑DOS下修复注册表了！

longwang · 发表于 2006-11-27 21:15:22

建议If Exist %%i:\%KillerBat% del %%i:\%KillerBat%中 del 也修改为delVir，不然在NTFS中容易失败，至少在我的系统中最后的批处理文件没有成功删除。

wang6071 · 发表于 2006-11-27 21:37:07

这个附件将If Exist %%i:\%KillerBat% del %%i:\%KillerBat%中 del 改为了 delVir

------------------------
Dos下修复注册表那个GhRegEdt.exe为何在Symantec Ghost 找不到资料呢?

[ 本帖最后由 wang6071 于 2006-11-27 09:40 PM 编辑 ]

		自动登录	找回密码
密码			注册