[sysshield]系统安全盾

wang6610 · 发表于 2006-12-14 07:45:57

乱改其他硬盘上的BOOT.INI，即乱改没有“删除顽固恶意文件”启动项的BOOT.ini

lf968 · 发表于 2006-12-14 08:43:38

原帖由 wang6071 于 2006-12-13 10:16 PM 发表
安全盾1.49更新说明
调整一下代码,避免偶尔发生的在信任模式下自动退出的现象(或手动退出时发生的异常现象)。
修改网页监控代码,也许可以解决Opear有迟钝反映的问题。

这里仅提供1.48版的升级文件,完整 ...

OPERA又快了，谢谢：）

nantian · 发表于 2006-12-14 12:24:02

Mydelfile.exe我今天使用它删除文件，系统盘为NTFS格式，结果删完了系统就无法启动了，提示找不到NTLDR文件，用深山红叶的工具光盘启动后，发现C盘文件全部丢失了，只有重新安装系统。
老大，怎么会这样呢？

namejm · 发表于 2006-12-14 12:35:17

原帖由 wang6071 于 2006-12-13 11:11 PM 发表

关于Dos下修改boot.ini,其Autodel.img的相关语句是:
Autoexec.bat中是:
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do If Exist %%i:\boot.ini call DelItem %%i:\boot.ini

delitem ...

　　if #%Item=# goto end 一句，似乎少了一个百分号，从而导致此句始终得不到执行。

sysfxg · 发表于 2006-12-14 13:22:01

求助：安全盾开起，无法使用avant brower浏览器。

wang6071 · 发表于 2006-12-14 18:58:18

原帖由 sysfxg 于 2006-12-14 01:22 PM 发表
求助：安全盾开起，无法使用avant brower浏览器。

刚才测试了这款浏览器,因它每次启动都要写:
Microsoft\Active Setup\Installed Components
Microsoft\Internet Explorer\Main
Microsoft\Internet Explorer\Explorer Bars
Microsoft\Internet Explorer\Extensions
Microsoft\Internet Explorer\Toolbar
Microsoft\Internet Explorer\MenuExt
Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
如果不让写则该软件就会锁死在启动界面。

要放开这些键的保护将会有很大的安全隐患,所以决定不对该浏览器做支持。
建议用Maxthon代替该浏览器，没看出这款浏览器比Mathon有何优点！

原帖由 nantian 于 2006-12-14 12:24 PM 发表
Mydelfile.exe我今天使用它删除文件，系统盘为NTFS格式，结果删完了系统就无法启动了，提示找不到NTLDR文件，用深山红叶的工具光盘启动后，发现C盘文件全部丢失了，只有重新安装系统。
老大，怎么会这样呢？

看看楼上的贴子，因使用的dos下支持ntfs的IFS不能使用软件重启，必须关闭电源，所以在做完删除后要关闭一下电源，再重新开机就可以，不必重新安装。

原帖由 wang6610 于 2006-12-14 07:45 AM 发表
乱改其他硬盘上的BOOT.INI，即乱改没有“删除顽固恶意文件”启动项的BOOT.ini

if #%Item=# goto end 修改为 if #%Item%==# goto end即可,少了一个%号与=号,谢谢 namejm 兄弟的提醒

6610兄试试将ifs换成ntfspro,看是否更稳定一些

[ 本帖最后由 wang6071 于 2006-12-14 11:07 PM 编辑 ]

wang6071 · 发表于 2006-12-14 23:50:10

修改了一下镜像,采用NTFSPRO的NTFS支持.

longwang · 发表于 2006-12-15 22:24:00

IFS不能用restart重启是因为磁盘缓存没有写入磁盘，但用软件模拟按下CTRL＋ALT＋DEL可以将缓存写入磁盘，避免出错。

[ 本帖最后由 longwang 于 2006-12-15 10:27 PM 编辑 ]

wang6071 · 发表于 2006-12-16 11:23:34

原帖由 longwang 于 2006-12-15 10:24 PM 发表
IFS不能用restart重启是因为磁盘缓存没有写入磁盘，但用软件模拟按下CTRL＋ALT＋DEL可以将缓存写入磁盘，避免出错。

感觉不是这样的,因为restart是引导dos热启动,与使用CTRL+ALT+DEL功能是一样的。
也许是IFS本身的BUG，没环境测试，有条件的用镜像中的ifsdrv目录下的Unload卸载IFS驱动，现用Restart重启测试一下看能否成功．

longwang · 发表于 2006-12-16 18:31:38

测试很简单，将autoexec.bat中的restart删除，对比运行restart和按CTRL+ALT+DEL重启就知道了，我的测试结果是运行restart重启，即使dir看ntfs磁盘下的文件已经被删除，但运行restart重启后仍然会有问题，但按CTRL+ALT+DEL重启完全正常，restart.com是通过直接跳转到BIOS执行重启，和按CTRL+ALT+DEL，由DOS处理重启过程还是有区别。

重新测试了一下，看来主要是磁盘缓冲区刷新的问题，修改了一下restart.com，在我的机子上NTFS分区删除文件正常。

[ 本帖最后由 longwang 于 2006-12-16 09:06 PM 编辑 ]

wang6071 · 发表于 2006-12-16 21:48:43

原帖由 longwang 于 2006-12-16 06:31 PM 发表
测试很简单，将autoexec.bat中的restart删除，对比运行restart和按CTRL+ALT+DEL重启就知道了，我的测试结果是运行restart重启，即使dir看ntfs磁盘下的文件已经被删除，但运行restart重启后仍然会有问题，但按CTRL ...

期待更多的测试,其实还可以去掉smartdrv测试,这样应与缓冲无关了,感觉有可能是smartdrv与ifs的兼容问题造成的.
另外,有没有哪位兄弟再搞个写键盘缓冲的restart出来,不知道Ctrl+ALT+DEL的扫描码,查了半天写到缓冲区的东西总是不对.

[ 本帖最后由 wang6071 于 2006-12-16 09:51 PM 编辑 ]

jxyun99 · 发表于 2006-12-17 08:26:54

发现安全盾,对改动过的系统文件夹不能自动监视,我得电脑是把TEMP文件夹和Temporary Internet Files文件夹移到其他盘了,但是安全盾还是监视C盘的TEMP文件夹,当然可以手动设置,,只是能把软件完善成自动的话就好了,省的要再去设置一下

xubo1971 · 发表于 2006-12-17 09:13:17

安全盾1.49版仍然有莫名自动退出的问题.
安全盾与Mcafee杀毒V8.5好像不兼容,右下角Mcafee图标老是不能正常显示(用Mcafee杀毒V8.0没问题),添加免检目录后点击应用时出现自动退出,而且目录黑名单内容丢失.用其他软件时也出现过安全盾自动退出情况.
另外,安全盾的文件监控设置下面,"使用免检文件"是否应该为"设为免检目录"?看设置应该是这个意思.

emca · 发表于 2006-12-17 09:19:36

关于赞助Wangsea兄弟的倡议

Wangsea 兄弟给我们付出了无数艰辛的劳动，也给我们提供了非常好用的大量工具，夏日炎炎，冬夜漫漫，作者的辛勤劳动在得到大家的承认的同时，更应当得到应有的回报。无数版本的升级，及时的BUG响应，热情的问题回复……无论哪方面，Wabgsea 兄弟都不比那些“大师”差，人品方面更是那些依靠写流氓病毒赚黑心钱的人所无法企及！不少人在众多的流氓病毒入侵大赚其黑钱的同时，宁可花费200元购买中看不中用的某某某杀毒软件，却不愿意破费十分之一 ——20元 ——去赞助像Wangsea这样无偿提供反黑反流氓的免费安全工具的作者！
我相信，不少人是有心也有力，关键是赞助渠道不畅。我看到Sysshield的赞助方式中，一种是在淘宝花低价购买这些软件，另一种是通过工行。因此我希望兄弟们在能够向Wangsea兄弟赞助一点“暖心费”的同时，也希望Wangsea兄弟多提供几种方式，比如邮政银联卡等（比如我要到工行就得打车跑N公里），以方便我们略表微薄的心意！
网络信息安全任重道远，安全实施的受益者是我们大众，付出者当然不应当是诸如Wangsea这样的个体，我们的微薄支持本质上并不是支持象Wangsea兄弟这样的个人，而是支持正义，你、我都负有支持正义的责任！因此，我倡议大家行动起来，在这个美好的圣诞前夕、在新年即将到来之际，为了净化我们的网络、净化我们的系统，也为了净化我们的心灵，向Wangsea、也建议向其他更多让您受益的原创免费作者，送上一丁点的圣诞和新年礼物！
为此，本人将正式索要Wangsea兄弟的其他赞助方式或通信地址，届时将在本帖公布。大家可以多少不限，甚至是一张祝福的贺卡载去一份心意也行，并将相关底根在此跟帖贴出！

倡议人：深山红叶
2006年12月17日

戏耍 · 发表于 2006-12-17 10:35:48

原帖由 emca 于 2006-12-17 09:19 AM 发表
关于赞助Wangsea兄弟的倡议

Wangsea 兄弟给我们付出了无数艰辛的劳动，也给我们提供了非常好用的大量工具，夏日炎炎，冬夜漫漫，作者的辛勤劳动在得到大家的承认的同时，更应当得到应有的回报。无数版本的 ...

第一个支持:)
不够希望有农行的
我这里找有工行的地方最近要80公里....

askai · 发表于 2006-12-17 11:06:32

支持王兄,辛苦的为大家作出这么有用的软件
不过本人也是学生,只能尽棉薄之力.
希望渠道简单,有建行帐号就好了
工行我也试试.在网上买过两次东西
都用的是建行汇款

[ 本帖最后由 askai 于 2006-12-17 11:19 AM 编辑 ]

wang6071 · 发表于 2006-12-17 11:26:37

首先感谢红叶兄的倡议。从最早的注册表监视器到系统安全盾，从syscheck到syscheck2，每个版本的发展都离不开论坛各位兄弟的建议与支持。新年将至，在此对论坛各位兄弟说声谢谢！

软件开发时间长了，难免有所疲惫，N多次想放弃软件的开发，但新BUG发现又不由自主地想解决它。由于个人水平有限，每个大点的改动都需要花费更多的时间去解决。为谋求家人的支持及探寻中国共享软件的发展之路，同时也想了解安全盾的使用范围，所以安全盾搞了个捐助。

论坛中的各位兄弟大多数是以研究为主的，对安全盾的使用大多基于对反流氓反病毒软件的研究，作者并不希望捐助的人群是这些推动中国网络信息安全而努力的人们。因此也就不提供其他赞助方式与通信地址了。

现在看来，更多的人们需要的是大公司的软件防护，以确保软件的后续支持，而这些是共享软件所做不到的。共享软件的使用群体只能定位到喜欢尝新和DIY系统的用户上，所以这必将是个失败的发展模式，下一版的安全盾会取消捐助支持，仍将安全盾作为个人探索系统防护的位置。

------------------
关于安全盾1.49版仍然有莫名自动退出的问题.,试试用升级一下安全盾主文件,感觉应比上一版稳定性好.另外修正了应用设置是丢失监控名单的bug.

[ 本帖最后由 wang6071 于 2006-12-17 12:43 PM 编辑 ]

askai · 发表于 2006-12-17 13:46:01

最近没发言,是因为安全盾越来越完善.目前的病毒,流氓软件都不能攻破安全盾的防护
真佩服王兄的人品和技术

小木头 · 发表于 2006-12-17 15:50:27

原帖由 askai 于 2006-12-17 01:46 PM 发表
最近没发言,是因为安全盾越来越完善.目前的病毒,流氓软件都不能攻破安全盾的防护
真佩服王兄的人品和技术

同上！并向付出了无数艰辛的劳动给我们提供了非常好用的安全工具的Wangsea 兄弟表示敬意！

gdlgh · 发表于 2006-12-17 22:02:34

支持红叶兄的倡议，明天行动。

开户行:中国工商银行(牡丹灵通卡)
户名：王伟卡号：6222 0244 0200 0298517

今天去工行汇，工作人员说卡号不对。

[ 本帖最后由 gdlgh 于 2006-12-18 09:59 AM 编辑 ]

xdg3669 · 发表于 2006-12-18 10:37:00

昨天帮一同事处理电脑，这台电脑中毒已相当深，原来准备用Syscheck2.exe手动处理，在资源管理器中想查看隐藏的文件和文件夹时，却发现了下图现象，不管如何选择均无效，无法在资源管理器显示隐藏的文件和文件夹，无奈机子中毒太深，用了Syscheck2.exe查看活动文件部分加载项太多，运行一会Syscheck2.exe后，也不断被HOOK，生成了两个Syscheck2.exe进程，当时不管3721启动了快速净化功能，净化重启后，其他加载都已清除了，但是仍然无法选择查看隐藏的文件和文件夹！

[ 本帖最后由 xdg3669 于 2006-12-18 10:40 AM 编辑 ]

longwang · 发表于 2006-12-18 11:11:51

sysshield默认规则bug：
如下图：
c::\documents and settings\Administrator\local settings\temp\|e
c::\documents and settings\Administrator\local settings\temporary internet files\|d
另外系统经过多次安装后可能Administrator已经变成Administrator.001，all users也有相应变化，程序没有进行检测。

[ 本帖最后由 longwang 于 2006-12-18 11:14 AM 编辑 ]

longwang · 发表于 2006-12-18 12:07:06

呵呵，不好意思，双点号的问题1.49已修正，好久没更新了。

wang6071 · 发表于 2006-12-18 18:20:27

原帖由 xdg3669 于 2006-12-18 10:37 AM 发表
昨天帮一同事处理电脑，这台电脑中毒已相当深，原来准备用Syscheck2.exe手动处理，在资源管理器中想查看隐藏的文件和文件夹时，却发现了下图现象，不管如何选择均无效，无法在资源管理器显示隐藏的文件和文件夹， ...

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

检查CheckedValue是否为Dword型,不是则删除它,重建一个dword型的CheckedValue,并设其值为1

系统经过多次安装后可能Administrator已经变成Administrator.001，all users也有相应变化，程序没有进行检测。

如果是Filter.dat中指定的
[SysSheild_UserDir]
Computer=1111111111111111111111111111111111111111111111111111111111
不同于您的计算机名,则安全盾启动时会做Administrator=当前用户的转换.all users未做处理,我不知道这个会不会变化.

另外,前面有兄弟希望Temp也转为移动后的Temp,这个也是未处理,转移后的Temp全局路径写在注册表的哪里,望知道的兄弟提供一下注册表路径.

[ 本帖最后由 wang6071 于 2006-12-18 06:30 PM 编辑 ]

jxyun99 · 发表于 2006-12-18 19:38:25

这个是把TEMP等文件转移到D盘Personal下的注册表文件

longwang · 发表于 2006-12-18 20:39:48

原帖由 wang6071 于 2006-12-18 06:20 PM 发表

如果是Filter.dat中指定的
[SysSheild_UserDir]
Computer=1111111111111111111111111111111111111111111111111111111111
不同于您的计算机名,则安全盾启动时会做Administrator=当前用户的转换.all users未做处理,我不知道这个会不会变化.
...

晕，我直接安装1.49版，在我的2000系统中从“监控设置”中没发现“Administrator=当前用户的转换”的变化，另外多次安装后系统中的all users的确也发生了相应的变化。

另外，对于多用户环境，安装时能不能自动枚举系统用户，生成\local settings\temp\和\local settings\temporary internet files\的监控，而不只是当前用户，这样更便于使用，对于大多数用户默认设置已经足够了。

ok-gao · 发表于 2006-12-18 21:13:25

syscheck（关于“活动页面”显示）：

很长时间也看不习惯syscheck的“活动文件”的显示，感觉很杂乱。密匝匝地看起来很乱眼。一方面，是因为我比较菜，另一方面，我觉得这个项的显示布局我觉得真的不算好。

首先，我以为分类和项目两个的次序颠倒了。应该是先以分类为导航，再看可能要查看的项的，起码我是这样做的。如果看现在的第一列，也就是文件名，因为俺菜，竟有好些都不认得：（，要结合是否启动项和文件存放目录才能判断。实际上，也就是说，第一列为项目是没什么效率的。就象下围棋，次序倒了不一样就是不一样。

第二，同类的，没必要重复标记，看得又密又碍眼。打个比方，我们如果看启动项，第一个到下一个类别之前，都是的，没必要注得密匝匝的，很难看。就标一次就可以了，空着点，一目了然，不也很好吗。
autoruns就很好，同类的只注一次，并在第一个的横向上以浅色背记，在视觉上就可以直观的分类（第一个浅色背记到第二次背记间的文件为同一类），不妨借鉴一下。

活动项目显示上，我觉得注册表显示很冗长，甚至还要拖后察看，真的没必要。真的很乱，又不会有多少看的价值。我想，一般７０％的人，看所要察看的文件在哪文件夹，是哪个软件的，就基本可以初步判断是否正常。
而且，如果要进一步察看，本来已有定位注册表功能了，这不重复了吗，而且当前显示的效果也真的很差。
其实，察看注册表，所有察看如果转到注册表，效果更好也更全面，所以都去掉，留给下一步转到注册表功能比较好。

有时，我觉得显示得太多会冲淡主要察看的项目的，功能重复就更没必要了。我希望syscheck“活动项目”显示简捷有效，看到一个清爽的表，也会更有效率些。

希望能看到一个清爽的活动文件的显示！

另外，解压打开syscheck时，分类中的“explorer加载”中的“加载”两字不能全显示出来，我觉得分类中，所有项目最好一次都显示全，不必手工再去拉，察看比较好。

呵呵，一个关心和喜欢此软件的门外汉瞎聊几句，再次向王先生道一声辛苦了！

wang6071 · 发表于 2006-12-18 21:15:42

原帖由 longwang 于 2006-12-18 08:39 PM 发表

晕，我直接安装1.49版，在我的2000系统中从“监控设置”中没发现“Administrator=当前用户的转换”的变化，另外多次安装后系统中的all users的确也发生了相应的变化。

另外，对于多用户环境，安装时能不能 ...

sorry,刚才看了看代码,原来在win2000中忘了处理用户变换了,非win2000系统没有问题,下一版修正它.

mmzz2688 · 发表于 2006-12-19 11:14:53

原帖由 wang6071 于 2005-6-11 01:19 PM 发表

软件下载请到:
http://free5.ys168.com/?wangsea

一般来说,如果上面更新地址下到的是比较稳定的版本.如果软件更新,一般是在本贴最后先给出主程序测试,稳定后再上传到
http://free5.ys168.com/?wangsea
...

好软件，非常支持，不断的在更新，支持！

jxyun99 · 发表于 2006-12-19 12:02:19

有点建议，希望能加上允许运行不明程序时的密码功能，有时别人用自己的电脑，浏览网页时自动下载到系统的病毒会被安全盾提示允许还是禁止，但是菜鸟不管3721，一般都是点允许，可能他认为只有允许才难打开网页，所以希望能再这个地方加个密码功能，要输入密码才能允许程序允许，这样就是被别人用了电脑也不怕中毒了

		自动登录	找回密码
密码			注册