[sysshield]系统安全盾

wang6071

syscheck(1.0.0.61)
  仅修正了在ssdt检出项上定位文件不成功的Bug。
安全盾(1.47)
  调整了一下删除算法,优化了一下webmon代码.

emca

前面的那个 MyDelFile 确实不错，但今天发现http://www.tommsoft.com/有一个DOS版的恶意软件清理助手，它支持对目前 145 种典型恶性流氓病毒的自动清除。其清除程序和数据库很小，我想能否把它抽取用于MyDelFile？由于MyDelFile是内嵌的软盘映像，因此我不方便改造这个映像。希望 Wangsea 把这个映像单独作为一个文件，以便于大伙改造，如何？

附提取的DOS版的自动清除流氓病毒的程序和数据库（文本，开放式！）：

[ 本帖最后由 emca 于 2006-12-6 08:25 AM 编辑 ]

sck

试用新版的安全盾，不再引起资源管理器冲突的问题了，完全正常了。

ah1283328

原帖由 sck 于 2006-12-6 08:53 AM 发表
试用新版的安全盾，不再引起资源管理器冲突的问题了，完全正常了。

前几天偶经常遇到explorer自动出现重启现象，甚至有时出现explorer错误提示，昨天我重装了系统，现装了安全盾1。47，就在刚刚又出现上述问题，请各位大侠抽空答复一下。
谢谢。

flyingsand

原帖由 emca 于 2006-12-6 08:19 AM 发表
前面的那个 MyDelFile 确实不错，但今天发现http://www.tommsoft.com/有一个DOS版的恶意软件清理助手，它支持对目前 145 种典型恶性流氓病毒的自动清除。其清除程序和数据库很小，我想能否把它抽取用于MyDelFile？ ...

呵呵，没想到红叶也注意到DOS版的恶意软件清理助手了，不知你有没想过要加入你的盘的DOS模块里。虽然其清除程序和数据库很小，但对DOS98映像的可用空间来说还是大了一点，更何况还有NTFS格式的支持问题。

sck

我在单位安装了最新版1.47，还是与1.46版一样，与explorer冲突，在点击文件夹或其它程序，就跳出explorer错误。如果退出安全盾就没事了。

ctsren

原帖由 sck 于 2006-12-6 02:34 PM 发表
我在单位安装了最新版1.47，还是与1.46版一样，与explorer冲突，在点击文件夹或其它程序，就跳出explorer错误。如果退出安全盾就没事了。

我的也是一样，经常是操作资源管理器或IE时就可能出现（不是每次都出现），关闭错误窗口后又重新启动桌面。现在只好换回1.45版，就没这样的问题。

xdg3669

原帖由 sck 于 2006-12-6 02:34 PM 发表
我在单位安装了最新版1.47，还是与1.46版一样，与explorer冲突，在点击文件夹或其它程序，就跳出explorer错误。如果退出安全盾就没事了。

这个是否跟系统或者其他什么有关系？

wang6071

原帖由 emca 于 2006-12-6 08:19 AM 发表
前面的那个 MyDelFile 确实不错，但今天发现http://www.tommsoft.com/有一个DOS版的恶意软件清理助手，它支持对目前 145 种典型恶性流氓病毒的自动清除。其清除程序和数据库很小，我想能否把它抽取用于MyDelFile？ ...

现将Mydelfile中内置的镜像单独出来供大家修改。
提醒注意的是，如果仍保留原有删除功能请修改镜像后另存一下，用另存的那个镜像以保证镜像文件的连续，否则可能Mydelfile自动修改镜像时会出现找不到文件的错误。

有点小错误，先前下载的重新下载一下

--------------------------------------------------------------------------
to flyingsand :
NTFS格式下的删除操作是支持的。目前Mydelfile所用镜像实际占用不到720K，所以增加新内容是可以的。

--------------------------------------------------------------------------
关于安全盾与与explorer冲突可能是与您所用的杀软监视(比如卡巴)冲突造成的。
请关闭杀软监视试验一下。

[ 本帖最后由 wang6071 于 2006-12-6 07:42 PM 编辑 ]

wang6071

安全盾与Explorer发生冲突(我还是怀疑是与其它杀软的监视冲突所致)用下面的补丁替换安全盾安装目录下同名文件。
这个补丁基本还原回1.45版，损失部份功能：如果安全盾处于窗口状态的话，在任务管理器中可以杀掉安全盾。所以没有问题的可以不必做替换。

sck

谢谢，我用的杀软正是卡巴，现用回1.45版的WebMon.dll，这时完全正常了。

sck

我发现用1.47版的安全盾，当我运行光盘自运行菜单时，CPU占了100%，不能运行其它的软件。这个菜单是我自己自制的，是用AutoPlay Menu Builder软件制作。

wang6071

原帖由 sck 于 2006-12-6 08:48 PM 发表
我发现用1.47版的安全盾，当我运行光盘自运行菜单时，CPU占了100%，不能运行其它的软件。这个菜单是我自己自制的，是用AutoPlay Menu Builder软件制作。

我发现附图是安全盾与卡巴并用，请将两者分别暂停监视观察才能确定是否是安全盾的监视造成的。理论上安全盾应该不会影响到光盘程序的CPU占用。

Phexon

贴上一点东西让wang6071过目

    随着杀毒软件功能的日益强大，木马病毒已经不再局限于设置文件属性来达到隐藏自身的目的。一种更为隐蔽，危害更为巨大的文件隐藏方式正逐渐被木马所利用，通过这种方法，木马可以在系统中“隐形”，甚至躲过绝大多数杀毒软件的查杀，这种方法就是利用NTFS数据流隐藏木马。NTFS数据流本是NTFS文件格式中的一种正常功能，但是却可以被一些木马病毒所利用，而杀毒软件对NTFS数据流文件的检测能力十分薄弱，很多木马病毒就趁此机会，利用NTFS数据流将自己完全隐藏在系统中。下面，就让我们和NTFS数据流木马来一次“亲密接触”。

什么是NTFS数据流？

    在介绍NTFS数据流之前，我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定，更安全，功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统，可以在“命令提示符”中输入“convert 分区盘符: /fs:ntfs”，即可将该分区的文件系统转换为NTFS。
    NTFS交换数据流（alternate data streams，简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流，就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息，虽然我们无法看到数据流文件，但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单，命令为“宿主文件：准备与宿主文件关联的数据流文件”。
    那么为什么我们无法看到系统中的数据流文件呢，是Windows为了防止我们误删数据流文件而故意设置的障碍吗？答案是否定的，我们之所以无法在系统中看到NTFS数据流文件，是因为Windows中的很多工具对数据流文件的支持并不是很好，就像“资源管理器”，我们无法在“资源管理器”中看到有关数据流文件的变化。这种缺陷让木马有机可趁，通过NTFS数据流将自己隐藏起来，从此就从“资源管理器”中消失了。例如Rootkit木马中的文件隐藏功能，就是利用了NTFS数据流。

NTFS数据流的创建实例

    相信不少看了上文介绍的读者朋友还是对NTFS数据流一头雾水，没有关系，下面我们通过实例来深入了解一下NTFS数据流。
    创建宿主文件
    宿主文件在这里指的就是普通文件，是在Windows中可以正常显示、运行、编辑的任何类型文件。我们先来创建一个txt格式的文本文档，把它作为宿主文件。运行“记事本”，随意输入一些内容，例如“测试——宿主文件”，然后将其保存为C:\test\suzhu.txt。接着我们在suzhu.txt上点右键，选择“属性”，可以发现其文件大小为16字节。
    关联数据流文件
    宿主文件创建完成后，我们再来创建一个数据流文件，将其与宿主文件关联，看看宿主文件会发生什么变化。点击“开始”→“运行”，输入cmd运行“命令提示符”，切换到C:\test\目录中，输入命令“echo "测试——数据流文件" > suzhu.txt:shujuliu.txt”。这样我们就创建了一个名为shujuliu.txt，内容为“测试——数据流文件”的数据流文件，并与宿主文件suzhu.txt进行了关联。
小贴士：在“命令提示符”中输入创建数据流命令后，不会有提示，但数据流文件已经成功创建了。
图1.创建一个数据流文件
    让我们回到C:\test\目录中，可以发现在该文件夹中只有一个suzhu.txt，而没有数据流文件shujuliu.txt，即使在“命令提示符”中使用“dir”命令也找不到shujuliu.txt。既然宿主文件suzhu.txt和数据流文件shujuliu.txt进行了关联，那么是不是shujuliu.txt的内容合并到suzhu.txt中了呢？我们打开suzhu.txt，其中的内容并没有改变，仍然是“测试——宿主文件”，而文件大小仍是16字节。
    那么数据流文件shujuliu.txt哪去了呢？还是用“命令提示符”让它现形吧，在“命令提示符”中输入命令“notepad suzhu.txt:shujuliu.txt”，在弹出的记事本程序中就会出现数据流文件shujuliu.txt的内容。而我们在“命令提示符”中使用type、edit等命令对数据流文件进行编辑时，将会出现错误，这是因为“命令提示符”还不能很好地支持数据流文件。记事本虽然能够打开数据流文件，但并不表示它能完全支持NTFS数据流，这一点我们在“另存为”数据流文件的时候就会发现。
图2.记事本也不能完全支持数据流
    创建数据流文件
    我们除了能将数据流文件和宿主文件进行绑定外，还能够创建单独的数据流文件。在“命令提示符”中输入“echo "测试——数据流文件" > :shujuliu2.txt”，这样就创建了一个名为shujuliu2.txt的数据流文件，而这个文件无论是在“资源管理器”还是在“命令提示符”中使用“dir”命令，都是无法看到的。可以说，这个文件已经在系统中隐身了，我们只能通过输入命令“notepad :shujuliu2.txt”得知它的存在，而即使知道它的存在，我们也无法删除，因为命令提示符中“del”命令已经失去了作用。唯一能将之删除的办法，就是删除其上一级目录，如果单独的数据流文件存在于磁盘根目录，那么删除它将是一件很痛苦的事。
    上文中的数据流文件我们都是以文本文档举的例子，而数据流文件是不局限于文本文档的，任何文件都可以作为数据流文件，包括可执行程序，图片，声音等等。这就至少造成两个隐患：一是黑客入侵后可能将黑客工具通过数据流隐藏起来，当然也有病毒发作后将病毒文件进行隐藏的；二是通过某些途径，让数据流文件可以自动执行，起到隐藏木马的效果。说了那么多，黑客到底是如何利用NTFS数据流进行攻击的呢？接着往下看。

利用NTFS数据流进行攻击

    NTFS数据流原理看似很复杂，但是利用起来却很简单，这里我们要用到一款使用率极高的软件Winrar，用它将NTFS数据流打造成最恐怖的黑客武器。
    首先创建一个文件夹test，将我们准备好的木马程序muma.exe放到这个文件夹中。进入“命令提示符”，输入命令“type muma.exe:muma.exe”，这样就为muma.exe创建了一个数据流文件，完成后将test文件夹中的muma.exe删除。返回到上一级目录，在test文件夹上单击右键，在出现的菜单中选择“添加到test.rar”。
小贴士：如果没有该选项，表示你没有安装Winrar。
    双击刚才创建的test.rar，点击Winrar工具栏上的“添加”按钮，浏览选中test文件夹。在出现的“压缩文件名和参数”面板中切换到“高级”选项卡，选中其中的“保存文件数据流”选项，点击“确定”即可。
图3.Winrar可以保存数据流
    在Winrar中选中test文件夹，点击Winrar工具栏上的“自解压格式”按钮。在“自解压格式”标签的“自解压模块”中选中“Default.SFX”，然后点击“高级自解压选项”按钮。出现高级自解压面板后，在其“常规”标签的“解压后运行”中填入“test:muma.exe”。切换到“模式”标签，勾选其中的“全部隐藏”。全部设置完成后点击“确定”，这样就创建了一个极为隐蔽的自解压木马，甚至可以躲过杀毒软件的查杀，当用户双击这个自解压文件后，就会运行里面的数据流木马。
图4.数据流木马运行设置

NTFS数据流木马的查杀

    到目前为止，很多杀毒软件仍然不能较好地查杀本机上的NTFS数据流文件和利用数据流制作的木马，不过在查杀NTFS数据流文件方面做的比较好的杀毒软件还是有的，例如卡巴斯基，McAfee等。如果你装的不是这些杀毒软件，也没有关系，我们可以使用一些专业的NTFS数据流检查工具，找出隐藏在系统中的恶意文件。
    专业检测NTFS数据流文件的工具有Sfind.exe、Streams.exe、lads.exe等，这里我们以lads.exe为例进行介绍。lads.exe是一个命令下的工具，需要在“命令提示符”中使用。在“命令提示符”中运行lads.exe，程序会自动检测当前目录中的NTFS数据流文件，如果要检测子目录中的数据流文件，可以在lads.exe运行的同时添加一个参数“/s”，这样就可以检测到子目录中的数据流文件了。对指定文件夹进行检测时，可以使用“lads.exe 文件夹路径”命令。
图5.用lads.exe检测数据流
    对于上文中介绍的那种利用NTFS数据流制作的木马自解压文件，也是可以防范的。首先当我们下载到一个自解压文件时，不要双击运行，可以在自解压文件上点击鼠标右键，选择“用Winrar打开”，如果发现其中的文件夹是空的，那么就要留个心眼了，很可能这就是一个数据流木马陷阱。其次，不管杀毒软件是不是能查杀NTFS数据流木马，木马程序运行后，在内存中还是会还原出来的，一般的杀毒软件都带有内存监控功能，可以将木马程序在内存中拦截下来。因此，勤升级杀毒软件也是防范NTFS数据流木马比较有效的办法。

希望这篇文章能对wangsea有益。我刚才测试了一下IceSword，IceSword也看不到NTFS数据流文件。

sck

如果我关闭安全盾（WebMon.dll已用回1.45版的），则没问题，用回1.45版也没问题，所以应是1.47版的原因，不是卡巴的原因。

ah1283328

原帖由 sck 于 2006-12-6 10:24 PM 发表
如果我关闭安全盾（WebMon.dll已用回1.45版的），则没问题，用回1.45版也没问题，所以应是1.47版的原因，不是卡巴的原因。

我的机器也出现这个问题，我没装杀软，现已用了那个补丁，测试中。谢谢wangsea。

zts59

不知道如果对整盘的NTFS文件数据流进行清除，会不会影响NTFS的权限呢？

ah1283328

昨天一同事电脑中了spoolsv的木马，系统一起来，spoolsv。exe进程就占了cpu近100％，各种杀软查不到。用syscheck快速净化没起作用，进安全模式该进程不启动，也不知该删除那个文件。在syscheck界面下，没用微软认证前spool。exe进程显示正常，但一用微软认证，系统就死了。从网上搜索了一些解决方法，但都不起作用，而且没有他们所说的spoolsv的文件夹。现在只好将注册表里有关spoolsv的项目全部删掉，将硬盘里的spoolsv。exe全部删掉，现系统正常，但不能打印。一将spoolsv。exe复制到system32下，将注册表相关信息加上，就又和从前一样。不知无忧论坛的朋友遇到过没有？如何彻底解决，使打印能正常进行。
谢谢！

ctsren

原帖由 sck 于 2006-12-6 10:24 PM 发表
如果我关闭安全盾（WebMon.dll已用回1.45版的），则没问题，用回1.45版也没问题，所以应是1.47版的原因，不是卡巴的原因。

我的机子（P4 3.0GHz，XP，杀软是诺顿，没装卡巴）安装1.47版不行，今天早上打了WebMon.dll补丁后，用到现在没发现问题，应是好了，真是感谢wang6071兄的无私奉献。

xubo1971

我用安全顿1.46版时，多次出现任务栏显示错误，表现为安全顿关闭以后任务栏上仍然有安全顿的框框，点击它不能显示安全顿主界面，点击叉叉也不能关闭，但是可以用右键关闭它。用1.45版无此情况。

6618

原帖由 ah1283328 于 2006-12-7 04:27 PM 发表
昨天一同事电脑中了spoolsv的木马，系统一起来，spoolsv。exe进程就占了cpu近100％，各种杀软查不到。用syscheck快速净化没起作用，进安全模式该进程不启动，也不知该删除那个文件。在syscheck界面下，没用微软认 ...

有朋友在系统维护区发过类似的问题，我帮他解决了，朋友你去看看能不能帮到你。

http://bbs.wuyou.net/forum.php?m ... ighlight=%2Bwanglei

[ 本帖最后由 6618 于 2006-12-7 11:48 PM 编辑 ]

wang6071

AutoDelfile 1.9版
     本版采用了Kol编写，缩小了一些程序体积，增加了一些容错处理代码。允许删除文件列表为空的情况下加载启动镜像，所以可以仅作为AutoDel.img的引导项添加器来使用。

----------------------
to sck:
   能否将你的autorun.exe发到我的邮箱（wang6071@sina.com.cn）,我测试一下。

紫狐

使用1.47加webmon补丁后正常使用出现explorer崩溃的次数少了，但是在使用信任程序安装的时候却频繁出现，请查一下。

戏耍

1.47还是出现explorer崩溃,昨晚到现在发生一次记得是在打开BT种子的时候出现

chujiafu

Wang6071兄：
        我用的是未打补丁的1.47版的安全盾。个人认为：把“暂停监视”也加上密码就更好了，防止别人安装程序。

ok-gao

王先生辛苦了！

这里反应一个小问题：
安全盾在提示是否信任程序（已有的安全的应用程序）时，点“确定”后，仍会在任务栏有个最小化似的图标，要再次“X”掉才没有。
如果正常的话，应该是点“确定”后，这个框没有了，不会最小化到任务栏里要再关一次。

yuhen

原帖由 ok-gao 于 2006-12-8 09:01 PM 发表
王先生辛苦了！

这里反应一个小问题：
安全盾在提示是否信任程序（已有的安全的应用程序）时，点“确定”后，仍会在任务栏有个最小化似的图标，要再次“X”掉才没有。
如果正常的话，应该是点“确定”后，这 ...

我这也有这个问题。。。

老顽童

用后不错！@

推士机

自定义病毒专杀工具 V1.0

作者chenhui530的说明：

关于使用方法我稍微说下。这个工具也是争对于懂电脑的技术员来使用的一般人员请不要使用。
这个工具的特点是扩展于灵活度只要大家能把病毒的特征搞清楚把病毒文件写齐就能清除病毒。我先把各个编辑功能块说一下。

1（进程模块编辑）一般病毒都有可能远程注入到其他系统常规进程中去做到无进程病毒
这个功能模块就可以让大家清除这些加载的DLL并且删除它。功能大的是就算注入到系统进程比如WINLOGO。EXE也一样可以正常清除此DLL
2（病毒文件路径编辑）这个是对于一些常见病毒它有自己的路径。比如威金它的病毒路径是c:\windows(winnt)\_logo.exe。只要指明它的路径程序会自动清除此病毒文件
3（病毒文件名编辑）这个比较灵活些。指明病毒文件名加上大小和创建日期这样就可以清除此类病毒
4（注册表编辑）因为病毒需要启动就需要在注册表中加载启动信息。这个功能可以让你清除病毒写入注册表的信息。但是需要注意的是有些病毒只是增加或者改写了注册表中的某个键值。你在“操作模式”上就不能删除了，因为有些注册表键值一但删除就会引起系统引导不了，这样你选择恢复在键值里输入原注册表路径即可

还特别值得一提的一但运行了本程序，程序会禁止你写入的病毒文件运行。
博客地址：http://www.chenhui530.com
http://chenhui.ylmf.cn

zts59

上面这个工具和kv定制专杀差不多。

不过KV定制专杀，一次只能取一个文件的特征码。如果能取多个的话，更好了。