[sysshield]系统安全盾

wang6071 · 发表于 2006-9-1 23:40:00

红叶兄:
  你说的:有★为普通模式下可能无法替换的项目，必须以System权限执行
  ★exe关联1
  HKEY_CLASSES_ROOT\.exe
  这些似乎用regedit可以导入的,难道在某些xp系统下不行吗？

longwang ：
　syscheck结束进程和服务程序的确不太好用,不好用在哪里请指出来呀！最好举例说明，应用syscheck中所有手段后有哪些结束不了哪些进程？哪些删除不了哪些服务？

syscheck过段时间更新，以实现红叶兄的想法．

emca · 发表于 2006-9-1 23:57:17

谢谢Wangsea的指点！！！！

我是发现使用 reg restore 命令无法替换EXE关联等键值。提示拒绝访问。而双击REG格式的文件则可行（但此时不是替换覆盖而是修改）。
另外，有些Run键项在干净的Windows XP当前用户HKCU下面可能并不存在，但如果存在则仍然可以生效，如RunServicesOnce/或RunOnceEx等，因此或者无条件以空白键项覆盖，或者直接删除[这些默认情况下并不存在的键项。

个人认为针对流氓病毒而言，最关键的一是IE相关，二是服务相关。其他的处理起来都容易些。

我不太清楚编程覆盖注册表内容的实现，因此可以试试以编程方式将原始备份覆盖到带有★的键项，也许不存在不能覆盖的问题。

另外，Syshield 仍然得加强白名单功能，因为流氓病毒层出不穷，而且还有变种，因此白名单方式以及其规则设计到位后也是一个不错的防护方案——我们可以把所有已知系统文件及位置设置好白名单，除此之外一律删除：）

快速自动还原注册表各可能被恶意利用的键项，在处理时可以极大地提高效率。

wrmfw · 发表于 2006-9-1 23:58:16

SysShield v1.28的加壳软件不好，McAfee把它当作病毒直接杀掉了。

yht · 发表于 2006-9-2 00:00:29

2006.9.1优化后的Filter.dat似乎丢掉了c:\windows\ 这一条???

[ 本帖最后由 yht 于 2006-9-2 12:15 AM 编辑 ]

wang6071 · 发表于 2006-9-2 00:27:42

原帖由 emca 于 2006-9-1 11:57 PM 发表
谢谢Wangsea的指点！！！！

我是发现使用 reg restore 命令无法替换EXE关联等键值。提示拒绝访问。而双击REG格式的文件则可行（但此时不是替换覆盖而是修改）。
另外，有些Run键项在干净的Windows XP当前用户 ...

明白了,您的意思是先删除原KEY再做恢复.

SysShield v1.28的加壳软件不好，McAfee把它当作病毒直接杀掉了。
============================================
看来还是不加壳的好了,反本打包下来大小差不多.下在的附件是不加壳的,这次不会再误杀了吧?

2006.9.1优化后的Filter.dat似乎丢掉了c:\windows\ 这一条???
=========================================
似乎没有呀!,你用记事本打开看看.

本楼附件确有问题,使c:\windows\设置丢失,用楼下的附件升级

[ 本帖最后由 wang6071 于 2006-9-2 09:07 AM 编辑 ]

xdg3669 · 发表于 2006-9-2 00:35:35

2006.9.1优化后的Filter.dat似乎丢掉了c:\windows\ 这一条???
=========================================
似乎没有呀!,你用记事本打开看看.

复盖启动，确实如此！但原Filter.dat有c:\windows\ 不知为什么？

[ 本帖最后由 xdg3669 于 2006-9-2 12:46 AM 编辑 ]

yht · 发表于 2006-9-2 00:46:13

原帖由 xdg3669 于 2006-9-2 12:35 AM 发表

复盖启动，确实如此！但原Filter.dat有c:\windows\ 不知为什么？

是的!完全如此!我用记事本看Filter.dat有c:\windows\ . 复盖启动,却发现没有此项.........:lol:handshake

xdg3669 · 发表于 2006-9-2 01:08:11

我的C:\Program Files\设置如下：图1. 为什么会有图2？

[ 本帖最后由 xdg3669 于 2006-9-2 01:12 AM 编辑 ]

wang6071 · 发表于 2006-9-2 09:04:03

原帖由 xdg3669 于 2006-9-2 01:08 AM 发表
我的C:\Program Files\设置如下：图1. 为什么会有图2？

哈哈,用的是强设置,表示C:\Program Files\及其子文件夹不允许创建任何文件,除非你将qq目录单独给个设置,否则qq目录也使用其父级目录的设置.

--------------------------
关于c:\windows\这样的设置丢失的问题已更正,下面的覆盖升级包请大家测试.

emca · 发表于 2006-9-2 09:34:16

规则更新

本次按照Wangsea的规则进行了修订；同时添加了新流行的鸡毛信流氓病毒等几个新流氓的免疫功能。

哈哈！Wangsea 给大家提供枪炮，我给大家提供弹药！冲啊！杀啊！

[ 本帖最后由 emca 于 2006-9-2 09:35 AM 编辑 ]

sck · 发表于 2006-9-2 09:58:28

wang6071 ：
原你在SysShield v1.28中用哪个软件加壳？是不是(Win)Upack 0.39final中文版？我用它来加壳红叶工具箱中的很多文件和程序，在多款杀毒软件都没报毒（KV2006、卡巴、金山、瑞星），不过我从未用过麦咖啡，是果有这情况，则我再推荐另一款加壳软件——北斗程序压缩 V3.7 破解版，用它来加壳SysShield v1.28体积更小，应是加壳软件中压缩最大的。也大家试试是否再报毒！

sck · 发表于 2006-9-2 09:58:44

sck · 发表于 2006-9-2 10:00:35

经北斗程序压缩 V3.7 破解版压缩过的SysShield v1.28：

sck · 发表于 2006-9-2 10:05:20

加壳的好处，普通的人很难再修改程序，从而保护了软件版权及其它一些破坏。

luxp · 发表于 2006-9-2 10:09:58

感谢红叶的好东西。

wang6071 · 发表于 2006-9-2 10:51:18

原帖由 sck 于 2006-9-2 09:58 AM 发表
wang6071 ：
原你在SysShield v1.28中用哪个软件加壳？是不是(Win)Upack 0.39final中文版？我用它来加壳红叶工具箱中的很多文件和程序，在多款杀毒软件都没报毒（KV2006、卡巴、金山、瑞星），不过我从未用过麦咖 ...

就是(Win)Upack 0.39final中文版加的壳,真不知这些杀软的判断加壳文件的水平是这样差,记得上次写个小程序,一编译就被KV报毒删除了,检查后加入一行关闭打开的handle,居然又能过了.看来特殊码方式实有是有点......

再次感谢您提供的软件!

------------
给大家报告一下新版syscheck进度:

改进杀进程的方式，使其速度更快更有效。
放弃调用外部程序reg.exe备成注册表键导出Reg文件的方式,改为程序内部代码处理。

以上基础工作完成后就开始搞快速清理.

sck · 发表于 2006-9-2 10:56:52

期待着新的版本。

yht · 发表于 2006-9-2 11:25:44

加壳还是应该的,不能因局部及个案而影响大局!否则,难以权衡得位!........任何事物都有它的普遍意义与特殊性两个情况........
WANG先生辛苦了!!!!........

[ 本帖最后由 yht 于 2006-9-2 11:28 AM 编辑 ]

emca · 发表于 2006-9-2 11:31:48

快速清理注册表时，我提供的那些位置仅仅只是参考，处理方式上应当分为两种：一种是可有可无、必要时系统或应用程序会自动生成的（如RunOnce等，但Ctfmon.exe那个建议默认保留），可以直接强行删除；但删除时必须先解除流氓病毒对键值的可能的保护。另一种是恢复到系统的默认设置，如系统服务、IE全部设置等。我提供的几十个注册表原始键值数据应当是可以嵌入使用的（两种格式的都有），当然其中不少是空白键值。

有些病毒采用驱动保护，现场恢复是否绝对有效，这仍然是可问题？因此能否象ERDNT那样先把注册表导出，对导出的进行修改，然后再替换并让系统重启生效？

另外，建议在界面合适的位置添加一个调用 SFC 进行系统文件扫描的按钮“立即修复系统文件”（显示一下需要系统安装光盘的提示吧），这样，Wangsea 举手之劳，却方便不少菜鸟，毕竟不知道SFC是干什么并怎么调用的菜鸟不少，就算就手也免除了输入命令的麻烦：）

还有，能否设置一个生成系统快照、比较快照的功能？即生成一个Windows和Pro...目录的文本列表，以日期命名。这样方便查杀最近的木马时使用，而设计上难度不太大，只是添加点麻烦，嘿嘿，当然也得考虑到病毒隐藏文件的情况。

本人不太懂程序，如果说了太多外行话请大家勿见笑：）

emca · 发表于 2006-9-2 11:51:05

再提供一个修复线索：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
这个键值会被Roogoo病毒利用，与WInsock被病毒程序一样，同样可能导致无法上网。天网安全阵线和其他几个地方也都揭露了此键值。因此修复 Winsock/2 时，最好连同这个键值一并删除（默认其下面有个 Start 的Dword值1，删除这个路径可清除病毒的嵌入启动。删除对系统无影响）。下面信息显示果然与Winsock有关！

Sysshield 的关联键值检测建议也添加这个键值，如果有则清除！

相关信息：
http://www.bleepingcomputer.com/startups/ws2ifsl.sys-12029.html

This is an undesirable program.

This file has been identified as a program that is undesirable to have running on your computer. This consists of programs that are misleading, harmful, or undesirable.

If the description states that it is a piece of malware, you should immediately run an antivirus and antispyware program. If that does not help, feel free to ask us for assistance in the forums.
Name: Windows Socket 2.0 Non-IFS Service Provider Support Environment
Filename: ws2ifsl.sys
Command: %System%\drivers\ws2ifsl.sys
Description: Added by the Spyware.GuardMon surveillance software. Uninstall this software if it was not installed by yourself. Symantec considers this program to be a security risk.
File Location: %System%\drivers\ws2ifsl.sys
Startup Type: This startup entry is installed as a Windows NT, 2000, 2003, or XP service.
Service Name: WS2IFSL
Service Display Name: Windows Socket 2.0 Non-IFS Service Provider Support Environment

[ 本帖最后由 emca 于 2006-9-2 11:56 AM 编辑 ]

wang6071 · 发表于 2006-9-2 14:26:10

谢谢红叶兄的建议,复制粘贴下来慢慢看．

---------------
ERDNT那样先把注册表导出，对导出的进行修改，然后再替换并让系统重启生效
这样做得修改hiv文件,而hiv文件是一个链表,没仔细研究过断键表的方法.但比如说将驱动改为禁用倒是可以办到.但这样修改过的文件能否直接复制到WINDOWS\system32\config倒是没有试过.(EruNT貌似这么做的).

生成系统快照、比较快照的功能
这个功能syscheck的文件搜索功能可以完成呀,试试钩选<限制时间大于>,将时间调整为右侧红色提示的日期,再点搜索.....

目前已实现了前面偶楼上所讲的两个功能.
快速恢复的进度是:
1:用ssdt恢复
2:Kill掉非必要的进程
3:卸载余下进程中的外部dll
------------------
上面的3项应用后，测试中(实机测试)因第３步时我犯了个小错误，不仅卸载了dl，而且多了一个删除操作，结果将运行中的KV关闭后删除了KV的Lsp钩子dl
然后重启后无法上网，只得重装KV．．．
看来此法的清洁度还是很高的，余下是写删除恢复安全键值的注册表操作了，一个体力活路呀～～～

[ 本帖最后由 wang6071 于 2006-9-2 02:44 PM 编辑 ]

非常人 · 发表于 2006-9-2 15:08:35

提一个小小个感受，关于退出的，建议把验证码取消，改这个成一次确认吧！

：）

这东西，感觉有点怪，也不顺手（点一次鼠标，还得放手到键盘去输入，再确定，要是小键盘或是本本，天啊……），点两次鼠标确定比较适合。想起了帮人清理电脑，那些垃圾流氓软件，卸载时候还要输入这验证码，每次都得问候一下想出卸载还得验证这馊主意的！

呵呵，一点感觉，没啥其他意思，人性化一点，你好我也好;P

毕竟用这东西的，都是技术员，，，两次确定才退出一般可以有保障了！

[ 本帖最后由非常人于 2006-9-2 03:11 PM 编辑 ]

wang6071 · 发表于 2006-9-2 15:49:58

红叶兄请先检验一下这样分类合不合理,另外有补充的可以补充进去

另外,服务键做成删除后恢复可能不好,这样会无法加载声卡，显卡等用户的正常驱动，对此大键有点不太好办．可能只能做成覆盖恢复,而做成覆盖恢复还不如只恢复Windsock及防火墙，因为其它的键很少听说被黑过．不过这样对驱动级的木马又无效果，两难呀．虽说用户可以从备份的注册键中恢复驱动，但从那么多服务键中找到几个键来对熟手来说都不太容易．．．

感觉没必要备份文件关联及IE设置,因为我们要全部恢复默认值,备份的重点放到启动项及服务项上,因为那里才有用户的东西存在.

关于WS2IFSL键我的机器上没有,哪位机器上有导一个给我?不然只能做成删除,因为不知道会正常的及改写的会成什么样,无法检测.

[ 本帖最后由 wang6071 于 2006-9-2 05:55 PM 编辑 ]

6618 · 发表于 2006-9-2 18:20:36

原帖由 wang6071 于 2006-9-2 03:49 PM 发表
关于WS2IFSL键我的机器上没有,哪位机器上有导一个给我?不然只能做成删除,因为不知道会正常的及改写的会成什么样,无法检测.
...

我的XPSP2是这样的，不知别人的是不是这样。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL]
"Start"=dword:00000001

推士机 · 发表于 2006-9-2 18:49:18

原帖由 6618 于 2006-9-2 06:20 PM 发表

我的XPSP2是这样的，不知别人的是不是这样。

Windows Registry Editor Version 5.00

"Start"=dword:00000001

偶的也一样。

yht · 发表于 2006-9-2 19:14:51

原帖由 6618 于 2006-9-2 06:20 PM 发表

我的XPSP2是这样的，不知别人的是不是这样。

Windows Registry Editor Version 5.00

"Start"=dword:00000001

偶的

"Start"=dword:00000004(4)

emca · 发表于 2006-9-2 19:15:38

关于服务驱动

彻底恢复到系统默认的服务状态确实存在部分用户驱动不能启动的情况。但我想对于硬件驱动应当是没有太大问题的：因为我们的操作并没有删除用户的驱动程序文件和信息文件，只要重启系统，理论上Windows会扫描INF并自动重新加载硬件的。因此对硬件一般性使用应当没有太大问题。

唯一不太好办的是类似 Apache 之类的需要以服务方式启动的程序会受到影响。但对于类似问题，我想还是值得清除的，因为一方面我们有服务的键值备份；另一方面对于大多数普通人来说需要以服务方式加载的程序并不太多（通常普遍一点的是杀毒软件，但我说过，杀毒软件不杀毒，它的存在与否已经无足轻重了），就算不会自己修改备份注册表并重新导入，也可以通过重装这些有限个数的应用程序来轻松解决，这些麻烦比起流氓病毒难以清除来说，是小巫见大巫的，代价也是合算的。

不少木马以伪装的服务方式实现自动运行，作为一个有一定反病毒经验的用户，有时也难以一眼看出它的存在，因此彻底还原系统默认服务仍然是有原则上的意义的！

毕竟我们的出发点是快速修复。

快速修复的目的一方面是为了节省大量时间，另一方面是避免某些情况下中毒种类太多时不得不重装系统。而一次性还原默认设置，可以让所有木马和流氓病毒全部缴械，此后已经成为静态文件的的病毒垃圾文件清理起来就是小菜一碟。这样，杀毒问题就简化为两种情况：针对自动加载执行的病毒的清除和针对文件感染型病毒的清除，而后者才是当前杀毒软件的责任（前者似乎所有杀毒软件都不负责！）。

当然了，如果能够自动识别一些最常用的有用服务并保存则更理想，但这势必会大幅度增加编程难度，工作量极大且效果也不一定能够全面覆盖，因此我想这个路子基本可以不考虑了。不过，如果可能，把当前市面典型的若干种杀毒软件的服务键值能否纳入不清除之列？如KV、牛皮瑞星、金山、Norton、Macfeee、Anlab、Nod32等最常见的几种？如果编程上有难度，我想就可以作为后一步再考虑。

再者，快速修复作为Syscheck的可选功能，是否采用这个功能的决定权也完全在用户手中，如果系统本来就没有太多东西（多数没有特殊要求的普通用户可能都这样），无论是手工修复或一次性还原默认设置，都没有什么影响；如果是有大量服务驱动的用户，则他们往往也有一定的动手能力，采取哪种方式就更好说了。

因此，无论从实用性、方便性、功能性而言，Wangsea兄弟都可以放开手脚开发快速修复系统这项划时代的功能的。同时，也只有让大家试试这种做法，听取一些反馈后才可能进一步走向柳暗花明。要知道，这种做法确实是划时代的，严格而言是对Windows极端差劲的整体架构的一种批判——Kernel、UserInterface、Application胡乱交叉混杂在一起，无任何安全性可言！真不知道微软的产品经理是怎么当的，可能是世界上最大的白痴在做产品经理吧！

另，注册表的分类我待会再慢慢看。现在先饭饭。比较倒霉，家里的台式机主机坏掉了，幸亏还有两台笔记本可用。

[ 本帖最后由 emca 于 2006-9-2 07:25 PM 编辑 ]

wang6071 · 发表于 2006-9-2 19:49:19

先放个测试版大家看看杀进程性能上是否加强了
Syscheck 1.0.0.24

1:修正敏感键值页多次点刷新重复添加的问题。
2:改进杀进程的方式，使其速度更快更有效。
3:放弃调用外部程序备成注册表键导出Reg文件的方式,改为程序内部处理。
4:改进修复Winsock的步骤,可以不必关闭安全盾即可恢复。修复过程中增加删除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL键,正常系统无此键
(会被Roogoo病毒利用，与WInsock被病毒程序一样，同样可能导致无法上网)
5:增加一个<快速净化>按钮,可以快速购建一个安全环境并导出所有启动项及服务项.
大家不要管提示,试验下在各杀软运行的情况下能否构建安全环境.(没有病毒木马试,就用杀软来试试性能.)

---------------------------------------------------------
对于快速清理,我想能否这样:
1:对于启动项,参照Msconfig的工作方式,将其移出启动而不删除.
好象是转移到-run键下就可以了,这个测试一下就知道了.
2:对于启动组中的快捷方式,可以将其移到桌面一个文件夹中.
3:对于其它启动值,bho,ie工具栏等在活动文件中检测出的东东全部作删除处理.
对目录右键,盘符右键等不作处理.
4:对可检测的文件关联全部恢复处理,对磁盘关联,Windsock作恢复默认值处理.
(当然,要备份Windsock键,以便还原)
5:对敏感键值检测出来的全部修复.
6:对服务项中检测出来的第三方驱动全部禁用(不是删除).
7:对host文件清空处理.
8:删除windows,program files目录下所有*.com文件(xp以上系统中正常时好象没有.com文件)
删除各盘符根目录下的autorun.inf文件.

这样处理,对用户影响最小,不用备份,出现问题可以用msconfig恢复启动项,将启动组备份拖入启动中,
对服务可以在服务管理中重新开启.

这个想法大家看如何?

emca · 发表于 2006-9-2 20:11:32

几个看法：
1、Wangsea 思路总是比其他兄弟清晰，PF！
2、将可疑键值转移而不是删除，是个不错的主意！对于第三方服务采取禁用的方式也不错。只是最好能够在界面上允许直接删除被禁用的项目，当然用Msconfig也可行。
3、Hosts 文件清空前最好备份一下。
4、清除可疑 COM 文件可以有效防范文件名仿冒，但System32这个默认Path变量中的目录却没有处理，这是一大危险！其实System32目录中，一般应用程序是不可能安装COM文件到此处的，只有系统本身的 chcp,command,diskcomp,diskcopy,edit,format,graftabl,graphics,kb16,loadfix,mode,more,tree,win 等有限的几个。因此能否把除这几个之外的COM文件全部处理一下？System32目录不比其他位置，在系统默认的搜索路径设置中优先级非常高。
另外，Windows XP的默认环境变量中，Path的默认变量有：%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM。共三组。而System32目录恰恰处于第一位，优先级最高故危险性最大！因此，除Windows目录外，System32中的 COM 文件最好能够处理；同时，;%SystemRoot%\system32\WBEM 目录中的 COM 文件也可以无条件清除。

其他如 C:\Documents and Settings\ 及子目录、C:\RECYCLER\ 、C:\System Volume Information\、C:\Program Files\Common Files\ 等几个一般系统中都会存在的目录中的 COM 文件也可以无条件清除掉！

讲到PAth环境变量，这个键值也必须无条件恢复一下，因为病毒完全可以添加一个特定路径到Path环境变量的键值中，从而实现运行。比如添加一个特定的路径到此变量中后，病毒把自己命名为 ipxplore.exe等，这样也可能被误启动病毒的。
Path变量位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
键名 Path，键类型 REG_EXPLAND_SZ，键值 %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM

现在我开始测试清理效果！

[ 本帖最后由 emca 于 2006-9-2 08:32 PM 编辑 ]

6618 · 发表于 2006-9-2 20:23:47

原帖由 emca 于 2006-9-2 08:11 PM 发表
几个看法：
将可疑键值转移而不是删除，是个不错的主意！对于第三方服务采取禁用的方式也不错。只是最好能够在界面上允许直接删除被禁用的项目，当然用Msconfig也可行。

支持红叶的说法，希望允许直接删除被禁用的项目，个人认为要么不杀，要杀就杀得彻底一些，我喜欢直接删除。

		自动登录	找回密码
密码			注册