[sysshield]系统安全盾

wang6071 · 发表于 2005-7-17 16:21:14

偶决定给软件重新定个名,各位看:

  系统反击盾

  防黑安全盾

  系统天使哪个更好一点?

  主要是不想与现有的软件重名?当然也欢迎你给它取个更形象更通俗一点的名字.

推士机 · 发表于 2005-7-17 17:20:04

个人觉得第二个较好，也许楼下的有更靓的

yanwc · 发表于 2005-7-17 19:46:51

“QQ狂盗王”的几相关文件：
o.exe
Atzho.exe
Pttfigc.exe
Xolal.exe

emca · 发表于 2005-7-17 19:57:51

使用中的一点体会：
如果我们用黑名单的方式使用，则由于安装程序、上网、杀毒升级等操作时，需要在临时目录TEMP中生成带有数字的临时文件，则黑名单中如果设置了对数字的过滤，就会干扰正常的使用；而如果取消数字的过滤，则防护效果大打折扣（比如3721的文件名都不能设置，否则带有 2 1等的临时文件都无法生成）。
因此，个人认为“黑名单状态”最好的方案是：临时目录TEMP与其他目录区别对待，，即允许按严格匹配的方式过滤、不支持通配符匹配。如此一来，系统操作中生成的临时文件就不受影响，而类似网络猪的Softreg50.exe等文件名由于有精确匹配规则，就不能生成。实现了两全其美的目的。
而使用白名单方式过滤时，由于临时目录是被列入白名单的，因此那些汉化程序中捆绑的、同时在黑名单中的垃圾插件（如3721.exe、Dudu.exe等）就可以被解压到临时目录并实现安装，这是我们最不愿意看到的！
因此，白名单情况下，最好的方案是也对临时目录采取特别对待，即支持TEMP白名单目录中一般性文件的创建，但不允许生成黑名单中指定的严格匹配的文件（TEMP
此时不不支持通配符）。
上述想法供 Wang 兄弟斟酌！
另，程序名称，我也凑个热闹：
系统黄金盾
5个字，比较上口，“系统”＋“盾”反映了程序的基本功能；“黄金”二字既通俗又能够反映出程序的先进性，并具有一定的煽动性。如嫌不够牛，再添加“超级”二字，不少菜鸟用户见到“超级”、“大师”、“王”、“霸”、“星”、“万能”、“黄金”之类的字眼就兴奋得两眼放光的，推广起来更加容易（当然也流俗一点）。
仅供Wang兄参考。

sansa520 · 发表于 2005-7-17 20:08:39

我不懂编程。。。顶一下

mzszwh · 发表于 2005-7-18 10:07:40

自动添加的白名单中并没添加Program Files这个目录，会造成某些软件部份功能不能正常使用，比如速达软件，他在打印时会在软件目录产生一个临时文件，给删除后不能打印。
[UploadFile=sd_1121652423.jpg]

xdg3669 · 发表于 2005-7-18 17:57:24

当使用1.23加强版监视系统后，重启会引起C:\WINDOWS\system32\drivers\SKNFW.sys文件错误，无法进入系统！

pyqkgd · 发表于 2005-7-18 19:14:33

系统天使守护者 ^-^

wang6071 · 发表于 2005-7-18 19:20:28

谢谢各位兄弟的支持,看来要完善系统监视的路还长．
红叶兄的建议不错，对监时目录确实要分别对待．
mzszwh 兄弟反映的也确实是个问题，白名单默认未开放program files是目的就是要求使用者根据自已的需要来定义．但仅仅因为一个临时文件而开放整个目录好象有点得不偿失．
xdg3669 反映的问题偶不知道是何原因造成的，估计也是临时文件造成的(据名字来看好象是一个桌面主题的程序)，偶用的win2003没这个问题(也可能是偶的系统没用主题的原因)．
总结大家的观点，要做到比较好用而又不引起正常程序故障一定要在监时文件上下功夫．可能不得不分析文件名，只处理.exe .dll .inf 等文件的创建．同时，最好做成黑白名单兼顾应用的形式才能更全面的防备．
关于如何将黑白名单统一起来，红叶兄提出了一个初步的设想，但估计还不够，如 mzszwh 和 mzszwh 兄弟反映的情况．所以，估计删除面不能做得太广，只能针对可执行文件来进行．希望各位兄弟提出您的设想，共同打造一个更全面的方案．

l78z · 发表于 2005-7-18 20:41:15

我还一直在用1.1版呢
功能是很强了,不过有时候王了关是引起不少麻烦
把我好多东西删了
偶再给个建议,重复一下,把黑白名单做成跟天网防火墙一样的统一管理接口,另外对于规则里没有的提供跟防火墙类似的对话框让用户选择,一个好的软件也必须做到易用才能发扬广大,强烈建议参考天网的优点.
关于名字我认为就叫"无敌神盾" 得了,有霸气,什么"系统"就不要了
加进去老土,不保护系统保护什么
所以直接叫 "无敌神盾"
短的名字更好记

wh5288 · 发表于 2005-7-19 07:28:29

您没有权限看这个帖子，您的威望至少需要 1

mzszwh · 发表于 2005-7-19 08:26:31

众人拾柴火焰高，各人所装系统，所用软件，各人喜欢上的网站也尽不相同，
大家都把自己遇到的情况反映出来，以利于wang6071老大改进软件。

emca · 发表于 2005-7-19 19:14:55

顶啊！！！！！！！！！！！！

wang6071 · 发表于 2005-7-19 19:49:21

这个软件与防火墙不同，防火墙可以对每个对外连接的程序提示并阻止(而这样的
连网主程序通常并不多)，而偶的这个软件如果对每个新创建的文件都提示的话，
那用户将忙于点对话框而不能做其它事的(因为上网，安装软件等产生的新文件太
多了)．
白名单与黑名单合一来做判断，将损失一部功能．
白名单最大限度发挥功能时能让整个系统盘处于＂只读＂状态，对于服务器来说
，可能相当适用．但一般的机器上使用，肯定不能如此限制，所以偶给出了一个
基本的白名单，但现在看来还是得用户参与才能定制出适合自已的白名单．如
mzszwh兄弟，可以在白名单中仅加入
速达软件监时文件产生的目录即可，将目录最小化是白名单的添加规则．（因为
监视目录是连同子目录的，所以不要做添加已包含的目录）
而黑名单适用面较强一点，但功能，反应速度不及白名单，黑名单可以通过定制
屏蔽的文件或目录名来不允许它创建．用户也可通过交换黑名单来加大自已怕防
御范围．但如果不采用模糊方式判断文件，则该名单势必越做越大，对于可能产
生的危险文件的过滤就无法办到．
所以现在有个两难的问题:
要么放弃现有的对所有文件创建的监测,只监测主要的执行文件(这要系统中可
能会留下些垃圾,但处理起来也简单些,可只做文件过滤而不必做目录过滤.)这也
是通常杀软常用的做法.
要么让用户参予定制规则(就如上面讲的白名单目录的问题一样),这样可能会
让一些朋友因为对系统不太了解而不知如何定制.
  从偶个人的喜好上看,偏爱白名单多一点,因为可以定制得很强.但从易用性上来
说,使用黑名单又容易普及一点.所以,是以白名单为主做一些调整,还是以黑名单
为主作调整确实不好选择.按现在的方式同时提供两种方式又容易引起误解,还是
大家共同来考虑软件下一步的方案吧.
关于软件的命名偶乱点评一下,不许生气哦
系统黄金盾    //黄金两字似乎有点落俗了
系统天使守护者  //天使有点让觉得弱的感觉
无敌神盾       //不小心有可能叫做无敌神棍
偶新想了一个: 系统安全盾 ,英文名SysSheild  各位也乱弹一下.
反正方案现在还没定下来,偶先改改界面,优化一下结构,请各位兄弟畅所欲言.

rightt · 发表于 2005-7-19 20:55:56

好名子，赞一个。老大辛苦了。

emca · 发表于 2005-7-19 21:14:41

1、上述问题比较复杂，是否可以设置几个简单的保护方案供用户方便地选择？
2、本人感觉主要是必须针对临时目录做特别考虑，这样既不失保护功能的强大，又可以做到对正常使用的影响的最小化。
以下是几点对细节的建议：
3、另，启动项显示窗口中，方便的话能否将它们按位置进行分类显示？或者在当前的窗口中添加一项位置列表字段（目前仅一个以路径方式表示的记录字段）？如果能够添加右键菜单，以支持“立即运行”、“临时禁用”、“添加新的运行项目”的功能，则传统的所有启动管理工具也都可以下岗了。
4、进程监视的各项字段，能否设计为支持点击顶行的字段按钮进行排序？
5、本人在黑名单切换到白名单后，向系统等不在白名单目录中的位置复制可执行文件时，程序不能实现可靠删除，是不是BUG？
英文名称 SysShield 比较不错！中文名，再给个参考：系统无忧盾 ——这个可有双重含义哟：）

wang6071 · 发表于 2005-7-19 23:46:54

re 红叶兄:
  1、上述问题比较复杂，是否可以设置几个简单的保护方案供用户方便地选择？
  要兼容不同层次的需要可能这是最好的方案.
  2、本人感觉主要是必须针对临时目录做特别考虑，这样既不失保护功能的强大，又可以做到对正常使用的影响的最小化。
  临时目录的范围也不小,因为某些软件是自设的监时目录,需要用户干予,所以还不如在某个标准方案中只针对执行文件的黑名单过滤.
  3、另，启动项显示窗口中，方便的话能否将它们按位置进行分类显示？或者在当前的窗口中添加一项位置列表字段（目前仅一个以路径方式表示的记录字段）？
  是指显示注册表中的位置吗?偶只是将它们列到一起,以避免显示的杂乱.目前提供的也非仅是路径,=号前的即是主键名.可以考虑分开显示,但具体注册表位置还是不显示地好,因为有些同一键值可能出现在machine,也可能出现在user下,重复显示几个可能有兄弟会搞昏.
如果能够添加右键菜单，以支持“立即运行”、“临时禁用”、“添加新的运行项目”的功能，则传统的所有启动管理工具也都可以下岗了。
可以实现,不过与绿色软件不太相符,可做为一个选项提供.
4、进程监视的各项字段，能否设计为支持点击顶行的字段按钮进行排序？
目前的顺序是其加载的顺序,目的是好看出哪些是最后添加的,排序后则不易发现哪些进程是其后加载的(目前通常杀最后的几个进程通常对系统影响不大),排序好象没多大用处.
5、本人在黑名单切换到白名单后，向系统等不在白名单目录中的位置复制可执行文件时，程序不能实现可靠删除，是不是BUG？
偶这边切换没问题,查看一下白名单的路径设置是否已包含并pass通过了所建文件的路径.

"系统无忧盾"我考虑过，但在google中"系统安全盾"好象更好一点．

xdg3669 · 发表于 2005-7-20 06:51:52

顶＝＝＝＝＝＝＝＝＝＝＝

紫狐 · 发表于 2005-7-20 09:45:47

系统安全盾 ,英文名SysSheild 这个名字不错。

ctiger · 发表于 2005-7-20 09:57:40

非常感谢。最好能下载试试。

mzszwh · 发表于 2005-7-20 11:30:22

楼上的不会不知道下载地址吧

powel888 · 发表于 2005-7-20 17:25:29

这么好的帖子岂能不支持

lj858155 · 发表于 2005-7-21 07:12:37

[这个贴子最后由lj858155在 2005/07/21 07:23am 第 1 次编辑]

“1.23加强版”在2003下系统重新启动后，文件保护功能失效，然关闭“1.23加强版”一次然后重新启动“1.23加强版”则文件保护功能又能恢复正常。望测试修复为感，谢谢！

wang6071 · 发表于 2005-7-21 12:42:08

下面引用由lj858155在 2005/07/21 07:12am 发表的内容：
“1.23加强版”在2003下系统重新启动后，文件保护功能失效，然关闭“1.23加强版”一次然后重新启动“1.23加强版”则文件保护功能又能恢复正常。望测试修复为感，谢谢！

偶的系统也是2003,我这里测试过没问题呀!是否用成了上一个版本了?不确定的话重新下载试一下.

emca · 发表于 2005-7-22 20:33:02

大家没良心啊！只有我来顶一把……
小日本的四岛可以沉，但这种好帖子怎么能够沉呢？

rightt · 发表于 2005-7-23 17:19:05

完全支持emca、wang6071大大，大家行动起来吧！
也顶

wang6610 · 发表于 2005-7-23 18:01:30

再顶

wang6071 · 发表于 2005-7-23 21:38:54

谢谢大家支持,偶正改进算法,拟采用如下方式处理:
1:方式一：文件黑名单(黑名单是完全匹配)，适用一般用户,此为默认方式．
2:方式二：自定义监测目录方式.
每个目录可单独设置规则：
a:选择包不包含子目录
b:设置排除于监测之外的文件．（此名单目录监测通用）
c:设置使用模糊算法．（此名单目录监测通用）
d:设置允许只监测的文件类型(用户指定，目录监测通用）
　 e：设置目录采用黑名单完全完全匹配方式(用于监时文件目录)．
以上选项可以单选或组合多选等．(另外，将判断是否对包含了的子目录已单独设置了规则，如设置则采用设置的规则，否则换其父目录的处理规则)
　其它将做的改变：不再采用白名单wfilter.dat,而是第一次运行后自动加入监时目录设置在filter.dat中(监时目录采用黑名单完全完全匹配),其它的监时目录自已定义．(如果你不设置就使用自定方式，将只有监时目录的黑名单监视效果).
　不再做目录删除(删除了恶意文件仅留下它的垃圾目录对系统没有影响),这样可以简化一些算法．
这个是基本设想，还未完成．欢迎各位兄弟讨论．
完成的有代码的重新整理(去掉了某些冗余与不必要的算法),选项关联事件方式的保存．编辑器添加时的防重复输入处理,自动排序等．
　　本来拟打算用数据库方式做filter.dat，但试用各种方法后觉得效果不太理想(文件大小，内存占用等),所以在这上面浪费了不少时间．最后还是决定自定义．

yanwc · 发表于 2005-7-23 22:55:10

期待新版本！！！

mzszwh · 发表于 2005-7-24 09:54:10

顶上去，好帖子不能沉

		自动登录	找回密码
密码			注册