[sysshield]系统安全盾

zhuhou18 · 发表于 2006-8-24 03:37:16

wangsea兄你好，感谢你的辛勤劳动给我们带来一款如此好的软件安全盾！使用了一段时间有一点不太明白，所以请教一下，就是安全盾是在文件创建后再删除，那么这段时间里如果文件是病毒的话会不会已经完成感染了，会不会有这个危险，因为最近试用了一下safesystem2006，发现它是在文件创建前就阻止了，所以请您指教！谢谢！

longwang · 发表于 2006-8-24 09:39:12

请教wang6071，在 XP+SP2的内核检查中能够探测到SafeReg.sys，在2000中怎么没有探测到？另外sysshield暂停后退出时，程序出错，待修正。

[ 本帖最后由 longwang 于 2006-8-24 11:28 AM 编辑 ]

wang6071 · 发表于 2006-8-24 13:08:21

to 6618
你报告的这个问题可能不一定能修复,因为Win已经检测出错了.(否则也不会是退出碟版但卷标不变).我尽力试试看能否修复.

to zhuhou18:
安全盾是在文件创建后再删除，那么这段时间里如果文件是病毒的话会不会已经完成感染了?你想想杀软的实时监督,是否也是文件生成后才查杀的呢?毕竟现在的感染性病毒(偶估计这类病毒目前不足1%,大部份都是后门木马及IE插件)已经很少了．当然，从创建时就阻止更有效一些．
　安全盾的注册表监视部份限制了大部份木马加载的地方(也就是说即使它运行，它也写不进启动项，下次开机无法启动自身，当然它也就无效了)，且删除文件时如果遇上文件已经执行还会杀除进程再删除文件，所以目前的方法看来还是有效了．

to longwang:
关于sysshield暂停后马上退出，程序出错,主要是没考虑到有人会这么做，这个小BUG下次修复．
关于在 XP+SP2的内核检查中能够探测到SafeReg.sys，在2000中怎么没有探测到?你是用什么程序探测的?换用其它的工具试试．

longwang · 发表于 2006-8-24 14:13:21

to wang6071:
syscheck对2000中的内核Hook检测无效，不能检测到SafeReg.sys对内核的ApiHook，对其它apihook也未能检测到。

6618 · 发表于 2006-8-24 14:24:25

原帖由 wang6071 于 2006-8-24 01:08 PM 发表
to 6618
你报告的这个问题可能不一定能修复,因为Win已经检测出错了.(否则也不会是退出碟版但卷标不变).我尽力试试看能否修复.

为何16以下的版本都没有这个现象？退出光盘但卷标还在好像是正常的现象(如果设定了光盘不自动动行，开机时就把光盘放进去的话）——光盘拿出来了，但图标不变——不知其他朋友有不有这样的现象？重启机子，这个卷标就消失了。

[ 本帖最后由 6618 于 2006-8-25 02:15 AM 编辑 ]

zxplhzlt · 发表于 2006-8-24 14:45:35

原帖由 6618 于 2006-8-24 02:24 PM 发表

为何16以下的版本都没有这个现象？退出光盘但卷标还在好像是正常的现象——光盘拿出来了，但图标不变——不知其他朋友有不有这样的现象？重启机子，这个卷标就消失了。

在我的系统中运行 syscheck2.exe 1.0.0.17版,未出现6618版主的错误.
我的系统是光盘放进去,卷标出现,光盘拿出来,卷标消失.

wang6071 · 发表于 2006-8-24 18:56:45

syscheck 1.0.0.18
修正Win2000无法检测内核HOOK函数的BUG
尝试加入代码修正6618报告的那个问题,请6618测试.

wang6071 · 发表于 2006-8-24 21:40:36

安全盾1.25更新说明:
  本次更新修正暂停监视时允许退出造成的一个错误。
  默认文件监视中加入Windows\temp为免检目录。如果你不需要这个设置，请手动删除。
  本次更新无重大变化，所以你可以在下一页弹出对话框时询问是否保留您原有Filter.dat选择保留。

这里提供的仅是覆盖升级文件,完整打包请到http://wangsea.ys168.com下载。

longwang · 发表于 2006-8-24 23:34:30

wang6071动作真快，明天再测试2000系统。

6618 · 发表于 2006-8-25 02:13:16

原帖由 zxplhzlt 于 2006-8-24 02:45 PM 发表
在我的系统中运行 syscheck2.exe 1.0.0.17版,未出现6618版主的错误.
我的系统是光盘放进去,卷标出现,光盘拿出来,卷标消失.

先多谢这位朋友的反馈，朋友你应该是系统默认光盘自动运行的，我是设了光盘不自动运行的，正因为这样，我只有在开机的时候放进光盘去才会有卷标，如果进入WINDOWS后再放光盘进去，是不会有卷标（不显示图标的），也不会自动运行的，我想如果设了光盘不自动运行，在开机时把光盘放进去，进到系统后再把光盘取出来，可能出会出现我遇到的情况。

zhuhou18 · 发表于 2006-8-25 02:13:30

感谢wang6071兄的解释，“且删除文件时如果遇上文件已经执行还会杀除进程再删除文件”我想知道的就是这句，哈哈！再次感谢您的好软件！！

6618 · 发表于 2006-8-25 02:27:00

原帖由 wang6071 于 2006-8-24 06:56 PM 发表
syscheck 1.0.0.18
修正Win2000无法检测内核HOOK函数的BUG
尝试加入代码修正6618报告的那个问题,请6618测试.

还是会出错，经过wangsea兄的解释，我觉得这好像是MS的BUG，不是这个工具的BUG？
情况是这样，我的系统有两个光驱，一个是明基的DVD光雕刻录机，一个是SONY的普通光驱，我是设了光盘不自动运行的，当我在WINDWOS下把一张自动运行的XP光盘放进去DVD光驱的时候，是不会自动运行的，也不会出现卷标（图标）的，就算把光盘拿出来，18版也不会出错。如果我在开机的时候就把光盘放进去，进入WINSDOWS系统后，就会出现卷标（图标），但不会自动运行，当我把光盘拿出来后，卷标（图标）不会随着消失（如果系统默认光盘自动运行的话，是会随之肖失的），这样就导致18版出错——wangsea兄说的windows检测出错。我想wangsea兄也不用再花时间去修正这个了。

[ 本帖最后由 6618 于 2006-8-25 02:40 AM 编辑 ]

zxplhzlt · 发表于 2006-8-25 08:04:41

原帖由 6618 于 2006-8-25 02:13 AM 发表

先多谢这位朋友的反馈，朋友你应该是系统默认光盘自动运行的，我是设了光盘不自动运行的，正因为这样，我只有在开机的时候放进光盘去才会有卷标，如果进入WINDOWS后再放光盘进去，是不会有卷标（不显示图标的） ...

我的系统是XP SP2,在组策略中已设置为关闭自动播放,光盘为不自动运行.

xubo1971 · 发表于 2006-8-25 09:42:53

6618版主，你在XP下打开自动刷新试试。

longwang · 发表于 2006-8-25 11:24:57

文件检测还是有些小问题，sptd.sys在运行，确报告文件丢失。

wang6071 · 发表于 2006-8-25 12:16:53

to longwang:
在运行中输入Regedit,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到sptd项,将该项导出为sptd.reg,传上来.

xdg3669 · 发表于 2006-8-25 12:26:50

原帖由 wang6071 于 2006-8-25 12:16 PM 发表
to longwang:
在运行中输入Regedit,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到sptd项,将该项导出为sptd.reg,传上来.

一看确有这项！
我的附件：

longwang · 发表于 2006-8-25 12:54:50

那是deamon tool 的驱动，用“定位文件”都能找到该文件。上面的兄弟传了，我就不传了。

[ 本帖最后由 longwang 于 2006-8-25 12:58 PM 编辑 ]

6618 · 发表于 2006-8-25 13:45:12

原帖由 xubo1971 于 2006-8-25 09:42 AM 发表
6618版主，你在XP下打开自动刷新试试。

我试了，不管用。

6618 · 发表于 2006-8-25 13:52:35

原帖由 zxplhzlt 于 2006-8-25 08:04 AM 发表

我的系统是XP SP2,在组策略中已设置为关闭自动播放,光盘为不自动运行.

我不是在组策略中设的，我是在注册表中禁用的，如下图，难道只是我的机子的问题？不管它了，也不想再去深究了。

emca · 发表于 2006-8-25 15:40:01

我怎么也无法重现上述问题。

longwang · 发表于 2006-8-25 15:49:04

刚才用syscheck杀一个进程，居然杀不死，内存模块检测和ICESword比较还有很大差距，看来syscheck还需要加强。

wang6071 · 发表于 2006-8-25 18:58:37

奇怪,用 xdg3669 提供的Reg文件测试,可以正确显示sptd.sys的情况呀. xdg3669 的机器上能否显示sptd.sys的情况呢?

syscheck杀一个进程，居然杀不死
-------------------------------------------
这个不用奇怪,syscheck当然杀不死如IcesWord这样的用驱动保护的进程.

模块检测和ICESword比较还有很大差距
--------------------------------------------------
syscheck只检出修改了的部份,不是全部显示,需要对比一下IceSword检出的修改了的部份才能得出syscheck是否漏检.

xdg3669 · 发表于 2006-8-25 19:38:57

的确不能正常显示：

[ 本帖最后由 xdg3669 于 2006-8-25 11:08 PM 编辑 ]

longwang · 发表于 2006-8-25 20:51:59

我曾经用sreng试图删除sptd服务程序，但删除失败了，重新启动后sptd运行状态不明，但文件存在状态能显示，之后就没能恢复原状。因此将该服务完全删除后，重新安装了deamon tools，文件存在状态又显示丢失。而且它本身进行了一些内核hook，没仔细看，可能有关系。现在在家里没装deamon，忘了hook了哪些API。

[ 本帖最后由 longwang 于 2006-8-25 08:57 PM 编辑 ]

emca · 发表于 2006-8-25 21:02:32

能够上百页、上千个回复的帖子，建议坛主设置为专帖吧，这样更加方便大家，同时也是对Wangsea的尊重！大家意见如何？

wang6071 · 发表于 2006-8-25 21:06:57

改进了下,看看对sptd的显示是否正常了.

红叶兄的那个建议我看没必要,现在已经是很方便了.

[ 本帖最后由 wang6071 于 2006-8-25 09:10 PM 编辑 ]

xdg3669 · 发表于 2006-8-25 21:20:09

原帖由 emca 于 2006-8-25 09:02 PM 发表
能够上百页、上千个回复的帖子，建议坛主设置为专帖吧，这样更加方便大家，同时也是对Wangsea的尊重！大家意见如何？

早应如此了，毕竟这样的(........)不多！

回家再试下，现在在办公室里！这台机没有这个服务！

[ 本帖最后由 xdg3669 于 2006-8-25 09:24 PM 编辑 ]

forct · 发表于 2006-8-25 21:49:31

确实是好东西！

xdg3669 · 发表于 2006-8-25 23:07:08

已经正常了，在我的机子。

		自动登录	找回密码
密码			注册

[sysshield]系统安全盾

:)