远离溢出,远离病毒木马,不再反复重装系统
看到不少朋友和论坛的网友在讨论看来这个东西应该让更多的朋友和网友使用。这个程序设置的时候完全是为了娱乐或者说是验证一项技术,却没想到后来经过和老马稍微讨论了一下改成了目前的这个版本。此程序可以有效的防止在上网过程中中毒的几率,我一直以来就是裸奔然后把这个程序随系统启动就ok了,一直就没中过毒,而且上风险网站也安全的很,这点我和老马还专门找了n多邪恶的网站测试,完全成功归来,有兴趣的自己密我,不感兴趣也不要jjyy哦.在卡饭论坛已经有很多人在使用了,并且也有不少热心的网友写出了相关教程和脚本大家可以直接拿来用了就行.原帖地址:http://bbs.kafan.cn/thread-440640-1-2.html。教程一:http://bbs.kafan.cn/thread-444155-1-7.html
功能介绍:
软件主体功能和以往VB版的几乎一样,灵活运用可以很有效的防止病毒入侵以及让人头疼的溢出问题它也能很好的帮你拦截并处理。新版本不光从配置文件上更加灵活而且的可控度和灵活性比以前的更加强大了,不管是从界面以及提示窗体上都很人性化的给大家选择。比如之前版本只有一个MessageBox提示给大家选择,如果多个溢出病毒触发会同时显示多个提示框,如果提示框过多会使系统非常卡,而且用户也操作不方便。好现在的模式是同一个病毒载体只能按先后顺序一个一个的触发溢出的病毒,用户可以轻松处理每一个溢出病毒(提示框给用户30秒选择时间,如果30秒后没做任何操作默认是直接拒绝)。在提示窗体上有多宗选择操作你以前VB版本的要操作灵活的多,比如可以选择禁止并删除,这样不光阻止了文件的运行并且强制删除了病毒文件解决后顾之忧。还可以从提示窗体直接让某个禁止文件加入到白名单中方便全自动处理。新版在路径判断上更加灵活,比如旧版只能是完全匹配和模糊匹配。现在新版支持4种匹配模式。一完全匹配,二目录下匹配(不含子目录),三目录下匹配(含子目录),四模糊匹配。好我向大家解释下这几种之间的差别。首先第一种完全匹配就是指整个路径不分大小写(四种模式都不分大小写)的对比。第二种新添加的一种匹配模式,这种模式主要是解决U盘病毒而设计,当然不仅仅如此而已。我说下此种匹配模式的使用方法和技巧吧。我们都知道U盘病毒都是加载在分区根目录的。这样如果我们使用老版本的软件就得把这些根目录都加进黑名单才能防止,但是这样却出了个问题该分区下的所有EXE运行都有提示了这样就操作不方便也让用户难以判断了。现在新版本解决了此问题。使用此项匹配规则只有当分区根目录下运行程序的时候才会给用户提示,分区根目录下的所有子目录不会再提示。这样大家灵活使用此功能可以达到意想不到的效果。第三种匹配模式和以前老版本的模式一样和模糊匹配有点类似,但是这种是以目录为单位。这种模式下被加入黑名单的目录它和它之下的所有子目录运行程序都会提示。第四种模糊匹配这种是为文件而设计的。比如Rundll32.exe xxxx这种系统常用的EXE会以各种参数命令行来调用DLL或者其他程序。这时如果我们把Rundll32.exe加入黑名单就是不明智的选择了,因为正常程序比如就算是插入U盘都会调用这个程序。那么我们怎么处理呢,这时我们就需要使用模糊匹配功能了。比如我可以这样添加一条白名单纪录rundll32.exe NvCpl.dll,NvCplHandleDisplayChange;0;3这时只要设置显示属性就不会提了。
更多功能大家可以自己发掘一下,此软件简单的不能再简单了,在这里我也希望有时间的高手能给光大网友制作一些规则好让大家使用。
支持平台:
新版本支持平台和老版本一样都支持从2000到Vista sp1,Vista sp2我没有系统所以没测试过。
注意:
目前版本不支持在界面上浏览日志,但是可以在程序运行目录找到以时间命名的日志文件比如20090304155204.log
[最优解释]
感谢分享
[其他解释]
这两个人,一天就上邪恶的网站......
[其他解释]
哇,好长啊,先顶后看
[其他解释]
顶....
[其他解释]
To: chenhui530
想试一下,可我这儿那个官网地址:http://www.superkill.cn/bbs/dispbbs.asp?boardid=4&id=18&star=1&page=1 打不开,下载不了,网上搜索了一下,发现CSDN上有一个
http://download.csdn.net/source/1165239 是不是最终版?
[其他解释]
谢谢LZ分享!
[其他解释]
哇!这么长,顶了再看...
[其他解释]
卡饭论坛,每次想起来要注册的时候,发现都不是星期天,
[其他解释]
谢谢陈辉。弱弱地请教一下:这个和毛豆的异同。
[其他解释]
试一试再说.
[其他解释]
教程一的文字版,希望大家有时间去看下教程原帖子写得非常不错
今天我们终于可以向网友们推荐这个小程序了。它已经完成基本的功能了。用于上网时监控系统内进程活动,可以阻止浏览器后台运行病毒程序,其主体核心就是监控----已经运行的程序去启动规则外的程序---的行为,它的简易和方便性,是其他软件所没有的。菜鸟们也能慢慢的在无忧无虑的情况下使用它,学习HIPS软件的进程监控,也就是AD部分的基础性初级东西。因为不论你怎么折腾它,都不会导致你的系统出问题,完全可以放心体验。如果你放弃这个工具的体验,就真的太可惜了。因为这是目前系统进程监视软件中唯一免费的、免安装的、对系统无任何危害的程序了。
这是它的主人的原贴,欢迎浏览并下载使用:
http://bbs.kafan.cn/thread-440640-1-1.html
这个工具的特点是:
1、免安装,删除后不影响原系统。
2、体积小巧,操作简单。可以做好基础规则后,任意复制到其他电脑中继续使用,包括密码都是可以延续使用的。
3、规则的添加也简单易操作,定制灵活。
4、一定程度上可以较好的阻止病毒运行。
只是我们使用它需要有一定的系统基础知识和反病毒的基础性知识才行。否则我们一开始初期使用的时候,可能会将一些危险的东西加入白名单内,导致阻拦网页病毒不足。同时本程序还可以监控并阻止移动存储设备内的病毒主体运行。
现在我们就说说它的详细使用,纯监控进程活动的(只是以2000系统和xp系统来讲解,其他系统大致类似):
一、系统基础性知识了解:
在任何一个能看详细进程的工具内可以看到,2000系统和xp系统有下面的基础进程:
%ProgramFiles%\Internet Explorer\IEXPLORE.EXE
%SystemRoot%\system32\hidserv.exe
%SystemRoot%\system32\regsvc.exe
%SystemRoot%\system32\MSTask.exe
%SystemRoot%\System32\WBEM\WinMgmt.exe
%SystemRoot%\system32\hkcmd.exe
%SystemRoot%\system32\internat.exe
%SystemRoot%\SYSTEM32\SMSS.EXE
%SystemRoot%\SYSTEM32\CSRSS.EXE
%SystemRoot%\SYSTEM32\WINLOGON.EXE
%SystemRoot%\SYSTEM32\SERVICES.EXE
%SystemRoot%\SYSTEM32\LSASS.EXE
%SystemRoot%\SYSTEM32\SVCHOST.EXE
%SystemRoot%\SYSTEM32\SPOOLSV.EXE
%SystemRoot%\SYSTEM32\CTFMON.EXE
%SystemRoot%\SYSTEM32\ALG.EXE
%SystemRoot%\EXPLORER.EXE
%SystemRoot%\system32\userinit.exe
%SystemRoot%\notepad.exe
%SystemRoot%\system32\notepad.exe
%SystemRoot%是环境变量,就是C:\Windows文件夹,2000系统内是C:\WINNT文件夹。
上面这部分系统进程,我们都需要加入白名单的。这只是为了一些安全考虑而已。
%ProgramFiles%\Internet Explorer\IEXPLORE.EXE这个的加入不用说了,我们上网时的浏览器嘛。
%SystemRoot%\notepad.exe
%SystemRoot%\system32\notepad.exe
这二个的加入,是因为我们需要使用计事本打开本程序的数据文件Run.dat进行初期的规则编辑。
二、反病毒基础知识的了解:
那么下面我们要说规则编辑中以及将来使用本程序中必须永远强记的安全基本原则,在这两个Windows系统内下面的几个程序我们永远不能将他们加入白名单的,涉及到它们的所有正常进程行为提示,只能选择“信任命令行”
%SystemRoot%\system32\cmd.exe
%SystemRoot%\system32\Command.com
%SystemRoot%\system32\Wscript.exe
%SystemRoot%\system32\Cscript.exe
%SystemRoot%\system32\mshta.exe
%SystemRoot%\system32\rundll32.exe
这完全是因为上网时的安全考虑,以及防护U盘内病毒运行的基本的需要:
其中:
cmd.exe是Windows 操作系统的命令行控制台程序。
保护后,默认任意程序无法直接启动 cmd.exe,防止被恶意程序后台利用。
Command.com是兼容 Windows 16 位的命令行处理器。
保护后,默认任意程序无法直接启动 Command.com,阻止其被恶意程序利用。
Wscript.exe是 Windows 系统的脚本解释器,用于执行 VBScript 和 JScript 脚本。恶意程序会利用 Wscript.exe 启动其它程序对系统进行破坏。
保护后,默认任意程序无法直接启动 Wscript.exe,阻止其被恶意程序利用。
Cscript.exe是 Windows 系统的脚本解释器,用于执行 VBScript 和 JScript 脚本。恶意程序会利用 Cscript.exe 启动其它程序对系统进行破坏。
保护后,默认任意程序无法直接启动 Cscript.exe,阻止其被恶意程序利用。
mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件,其中最典型的就是会被利用来执行一些恶意程序行为。
保护后,默认任意程序无法直接启动 mshta.exe,阻止其被恶意程序利用。
rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被广泛使用,而它本身也会被病毒后台广泛的用于启动加载病毒文件的运行。
保护后,默认任意程序无法直接启动 rundll32.exe,阻止其被恶意程序利用。
三、现在我们开始程序的规则编辑以及基本使用中的一些东西吧:
下图是程序下载解压后的三个文件。
SuperMonitor.exe是监控主程序(支持改名运行,不过没什么必要)
CH000003.sys是驱动文件,主程序需要加载的,不能丢失它。
Run.dat是数据文件,黑白名单以及一些设置都保存在这里。我们需要关注它的。
1.jpg (26.77 KB)
2009-3-19 16:07
主程序运行后要加载CH000003.sys驱动,如果你的电脑内有杀毒软件提示,请给予放行。
程序运行后,任务栏右下角有图标出现,可以右键菜单看一看,熟悉一下项目:
2.jpg (6.11 KB)
2009-3-19 16:07
更改密码后可以保护本程序不被随意的误操作退出保护,以及被其他人随意修改,当然了这只是个简单的防护,防超菜的人而已,不当真的。
密码就保存在Run.dat文件中,用记事本打开它,可以看到下面内容:
3.jpg (12.62 KB)
2009-3-19 16:07
其中PassWord=项后面的内容即是密码,设置密码是在任务栏右键菜单那选择“更改密码”即可以修改。如果哪天忘记密码,只要用记事本打开Run.dat文件,将PassWord=项后面的内容删除即可。
程序运行后,原始默认是提示的,这时候你一运行白名单内没有的程序,并且此程序是在黑名单监控区的,那么监控器就会跳出提示的。如下图:
4.jpg (30.51 KB)
2009-3-19 16:07
因此我们需要详细根据提示做出正确的处理,如果是你正在启动你自己的正常软件,那么可以选择“信任路径”项,这时候图中对应的“启动进程路径”中的那个程序将被加入白名单允许运行,而那父进程是指欲启动“启动进程路径”中的那个程序的原始程序,这个父进程是不在操作之列的。只是提示给你,让你知道什么程序欲启动图中所示的C:\Antivirus\Antivirus.exe这个程序而已。
那么上面全部项目的含义,我们继续说明一下,提示窗口内的:
禁止-----指只禁止当前提示中的进程行为一次,进程行为出现第二次,还是会继续跳同样提示的。
禁止并删除------指禁止当前提示中的进程行为,并删除父进程欲启动的那个不明程序,也就是“启动进程”路径中显示的那个程序文件。
允许------指仅允许当前提示中的进程行为一次,二次出现同样进程行为时,还会继续提示。
添加信任------指全部信任,并加入白名单,以后对同样进程行为不再提示和阻止,不仅信任父进程要启动的那个程序,同时也信任那“启动进程命令行”中的命令行。(这下面还要重点说明关于命令行的设置的原因)
信任命令行------指仅信任命令行,并加入白名单,以后对同样进程行为不再提示和阻止。(此项涉及的部分有点绕人,我们后面耐心讲解)
信任路径------指信任“启动进程”路径中显示的那个程序,并加入白名单,以后对同样进程行为不再提示和阻止。这个的信任能够让那个被信任的程序运行并可以做很多事而不再提示,除非它去启动规则外的程序,才可能提示。(这一个概念因为工作原因,被其他人打断,所以我忘记要说什么了,汗死)
退出--------指退出提示窗口并同时默认禁止,只禁止当前提示中的进程行为一次,进程行为出现第二次,还是会继续跳同样提示的。
关于正常软件的使用中监控器跳出的提示,我们只需要选择“信任路径”即可不再提示。并加入白名单。这个应该都可以轻松理解和正确操作了吧???
而我们下面最主要介绍的就是关于Windows系统内下面的五个程序我们永远不能将他们加入白名单的,涉及到它们的所有正常程序的进程行为提示,只能选择“信任命令行”
%SystemRoot%\system32\cmd.exe
%SystemRoot%\system32\Command.com
%SystemRoot%\system32\Wscript.exe
%SystemRoot%\system32\Cscript.exe
%SystemRoot%\system32\mshta.exe
%SystemRoot%\system32\rundll32.exe
原因很简单,看了上面对这五个程序的描述,应该知道他们是大多数病毒要利用的程序,我们一旦将其加入白名单,系统的监控安全就难以保证了。他们的自由运行和启动是我们不能容忍的。
而菜鸟们尽管放心,不让他们运行,并不会导致系统或其他软件有巨大问题,几乎没什么正常软件需要调用启动他们,就算有需要的时候,我们也可以用“信任命令行”的操作解决这问题。
例如rundll32.exe这个是我们很多操作中需要启动它的。
例如查看桌面右键属性啦,任务栏右下角调整时间啦,控制面板内大量项目的设置啦等等。都需要rundll32.exe的运行支持,可是我们又不能让它任意运行,那么怎么办呢??呵呵!!
如果你查看桌面右键属性的时候,你会看到本程序跳出如下图的提示
5.jpg (34.13 KB)
2009-3-19 16:07
此时你会看到命令行的内容(我这是2000系统,其他系统类似,我就不折腾了):
"C:\WINNT\system32\rundll32.exe" shell32.dll,Control_RunDLL desk.cpl
这个命令行是没有任何病毒或非正常程序调用的,它永远只属于桌面进程的属性查看那一步操作的程序行为。
所以在我们绝对不能让rundll32.exe任意运行的情况下,又要监控器不影响查看桌面进程等这样单纯属于Windows自身操作的行为,那么我们就在那监控提示的窗口内增加了“信任命令行”的项目,选择它就以将这个单一命令行的程序行为加入白名单,完全放行,也不需要担心rundll32.exe被病毒利用了,呵呵!!!!
类似的其他四个程序也一样的道理,这需要你们灵活运用这个“信任命令行”的操作了,它是这个监控器的核心之处,它才是本监控器为你提供相对安全的最主要的地方。没有它,那可是很烦的。
我下面的附件里的Run.dat文件:
Run.rar (1.3 KB) Run.rar (1.3 KB)
下载次数: 135
2009-3-19 16:07
里面是这样的规则:
监控所有磁盘,从C盘到J盘监控所有。
白名单内是系统主要进程和桌面属性以及调整时间等需要的系统操作的一些命令行。以及默认的IE浏览器和记事本等。(只是根据2000系统和xp系统做的,很基础性的东西,不包含其他什么。)
默认提示用户,提示窗口倒计时为120秒,足够详细看提示内容的了。密码为空。
自己选择是否用我这个了。呵呵!!!用我这个,需要你自己去白名单那里继续添加属于你的其他正常软件的程序白名单规则了,呵呵!!!
四、那么现在我们开始说说程序主界面上的相关东西吧。
双击任务栏监控器图标,跳出的主窗口界面如下图:
6.jpg (47.02 KB)
2009-3-19 16:07
黑名单设置我们就不说了,有兴趣的去原贴看吧,一般建议将我上面那附件里Run.dat里的[Online]项目下的内容复制替换掉你自己的Run.dat里的对应部分,就可以监控从C盘到J盘的所有程序运行了:
[Online]
1=C:\;1;2
2=D:\;1;2
3=E:\;1;2
4=F:\;1;2
5=G:\;1;2
6=H:\;1;2
7=I:\;1;2
8=J:\;1;2
现在只说白名单的添加中的一些操作:
例如添加:C:\Antivirus\Antivirus.exe
可以选择象那图中那样,直接粘贴正确的程序文件信息,添加进去,对于文件,就直接添加即可,不需要操作其他的。
如果你想添加C:\Antivirus文件夹里全部信任,可以直接复制粘贴C:\Antivirus进去,然后勾选右边的那个“包含字目录”添加即可,添加后,这目录下的的所有程序都不再提示,完全放行。
上面的文件和文件夹的添加还是比较简单的,而下面所要说的“模糊匹配”就有点绕人,也比较麻烦了。
例如我们插入U盘后,再在任务栏处点击退出的时候,会跳出包含下面那样的命令行提示:
rundll32.exe hotplug.dll,HotPlugSafeRemovalNotification 2364
这个时候我们虽然可以选择“信任命令行”以后不再提示,但是重新插入U盘后,再退出,这时候你会发现它的提示又变了。
也就是rundll32.exe hotplug.dll,HotPlugSafeRemovalNotification 后面跟的数字不再是2364
而是变成另外的了,这自然会很烦人了,那么怎么做呢???我们这时候需要自己将命令行全部复制出来,然后打开空记事本,先编辑取消后面的那数字,将剩余的rundll32.exe hotplug.dll,HotPlugSafeRemovalNotification 代码在监控器主窗口添加白名单,同时勾选“模糊匹配”添加即可解决问题。
7.jpg (45.83 KB)
2009-3-19 16:07
注意不能只单纯用“模糊匹配”来添加那个原始代码,那没用的,因为后面那数字部分每次都变化着。
上面那个关于五个易被病毒利用的程序只能用纯命令行的那个,如果出现一样情况,始终命令行全代码后面部分变化,导致反复提示,就只有利用这样的操作去掉后面那不一样的部分,保留完全一样的部分添加白名单才行。
记住,为了安全性,尽量不要随意的去掉过多信息,尽量只去掉纯不一样的那部分即可。
五、关于这程序,有一个问题需要注意,可能2000系统内在任务栏输入法那里右键查看输入法属性的时候,本程序不能正确分辨命令行,导致程序卡死。我这里是这样。xp 系统没这问题。
还有不要没事去用其他方法非法终止本程序的进程,那样也会导致一些异常,不过都没什么,重启电脑即可解决问题。
另外本程序没有开机自启动,想开机自启动的,可以选择创建本程序的主程序的快捷方式,然后将快捷方式复制到开始菜单里的“启动”文件夹内,即可开机自启动。
因为那位置的启动是最后一个启动,所以本程序自启动不影响之前开机自启动的任何程序。
8.jpg (37.47 KB)
2009-3-19 19:08
很不错的工具哟。
呵呵!!!
[其他解释]
忘了说声恭喜了
[其他解释]
打着测试旗号上黄色的网站吧,^_^
[其他解释]
大家别小看这个工具,不是好东西我也不发
[其他解释]
http://bbs.kafan.cn/thread-440640-1-2.html
这可以下载
[其他解释]
http://download.csdn.net/source/1165239
这个我不知道是不是最终版本的
[其他解释]
是有类似的地方,但是比它简单多了,对内核处理上我的程序非常简单,但是毛豆却比我的复杂多了,但是并不一定能有这个程序发挥出来有效果。
ps:目前正在设计类似毛豆的hips。
[其他解释]
先顶一个,可是,
http://www.superkill.cn/bbs/dispbbs.asp?boardid=4&id=18&star=1&page=1
打不开。。。
[其他解释]
LZ啊,不知道是我公司里面作了限制还是咋的,就是这个地址http://bbs.kafan.cn/thread-440640-1-2.html里的下载链接无法打开.或者我不会下载?⊙⊙b汗
[其他解释]
不是说了
[其他解释]
好多,收藏了,空了再慢慢拜读
[其他解释]
晚上回家我给大家一个地址吧,现在在公司我们的外网也是限制了的
[其他解释]
好东西,收藏了。
[其他解释]
好东西。。。
[其他解释]
吹不吹牛你没用怎么知道?你怎么知道我没学好“走”就跑了?还是你自己连“走”都不会?
没有使用就别乱下结论,不了解一个人也不要妄下断言
[其他解释]
吹牛不上税,没学号走就想跑,,,,,,哎
[其他解释]
什么东东?
[其他解释]
我晕了~~~~~~~~~~~~咋又把我拉上了?我绝对没有什么邪恶的网站啊~~~~~
连给陈辉的那些都是临时搜索的........
收藏夹里的都是无毒的.........
呃?我说了什么?
[其他解释]
好。。。。。。。。。。。。。。。。。。长啊
[其他解释]
先顶下再看
[其他解释]
卡饭~,哦。。。。。。。。。。。。
[其他解释]
偶尔去一下也正常的
------其他解决方案--------------------
其实真的很少去
还不如上CSDN呢..............
[其他解释]
是真的么?
[其他解释]
顶一个
[其他解释]
收藏先
[其他解释]
靠,我有啊
[其他解释]
我靠了,你自己的站呢!!
[其他解释]
谁能提供下载的,给个地址方便大家下载吧。
[其他解释]
应该是个 不错的东西
[其他解释]
远离老马,才能真正的远离XX网站和病毒……
[其他解释]
哈哈 貌似不错 没试过 看lz些的这么辛苦 先搜藏了 有时间在细细研究 哈哈 谢谢lz
[其他解释]
不是张雷在折腾吗
[其他解释]
那你扔给他啊
你现在的站点是一个CMS系统,把文件给他让他上传上去吧.
[其他解释]
顶一下。
[其他解释]
很好 严重顶上去
[其他解释]
www.ys168.com
[其他解释]
的确,CSDN功能相当全面
[其他解释]
新手上路,留印
[其他解释]
http://download.csdn.net/
[其他解释]
好麻烦的介绍啊,还是需要认真地记些东西。