System Safety Monitor(SSM)系统防火墙入门教程
快速上手指南
刚安装好不要做任何设置,一切按默认的来,做你原来的工作,让他在后台运行好了;忘了ssm的存在,不要尝试在任何除了询问框以外的地方设置规则;等到ssm跳出来询问了,再进行设置是允许还是阻止,这是ssm的作者的本意;坚持下去,你会逐渐适应SSM;默认规则加上你添加的本机规则,基本上可以做到防止病毒木马运行的本意;SSM只是系统防火墙,可防病毒木马运行但不杀毒,不要搞混淆了!
如果你刚用就添加设置规则,并且发现规则有点混乱了,想恢复默认值吧,嘿嘿,方法如下:
关掉SSM后把SSM安装目录下的Global.cfg删除,重新运行SSM即可恢复默认设置
祝你好运 2007.12.17 添加
一、前言:
花几分钟来学习一下,你可以收获:
1、跟流氓软件说再见
2、减少中了莫名其妙的病毒的机会
3、减少不知不觉被装上木马或者广告软件的机会
如果你有兴趣深入研究,可以更进一步了解:
1、调试程序及更多(高级)
2、了解Windows系统,了解程序调度以及行为(高级)
3、学习或者DEBUG流氓软件(高级)
二、绪言
经常遇到这们的疑问:,为什么杀毒软件不管用?为什么防火墙不管用?为什么我的机器会被偷偷地装上流氓软件?好象我们已经安装并运行着杀毒软件、防火墙,还会有病毒、流氓软件在我们的机器上偷偷运行?现在我们隆重介绍的SSM(System Safety Monitor )。
三、原理以及和杀毒软件、防火墙的区别
我们知道,在操作系统的环境下,任何一个程序都是各种代码的集合体,启动的时候,向操作系统申请资源,然后做各种不同的动作。所有的软件都要这样,只是细节上有点差别。
病毒和木马也是一样的道理,不管如何,它需要运行,需要安装,需要执行。比如我们安装一个软件的时候,一些下载站点或者共享软件作者在安装程序里偷偷捆绑上其它软件(目前大多数流氓软件是通过这个途径传播的),或者我们上网的时候,通过浏览器或者操作系统的漏洞,偷偷下载一些软件,然后执行,结果就中招了。
假定我们能知道所有Windows系统的运行程序的过程以及观察进程的各种动作,不就可以断绝一切非法操作了?
Windows对大多数用户来说,还是一个黑匣了,一个神秘的东西,除了一些专业人员,很少有人知道那些进程,那些软件是什么意思。那么对于普通用户,就一点办法没有了吗?答案就是:SSM。
System Safety Monitor简称SSM,是专门针对有害程序及间谍程序等的 Windows 防护软件范畴, 却并非反病毒软件,它并不提供针对特定有害程序的查找及移除特性,也不提供系统遭有害程序破坏后的恢复特性,而是真正的“防患于未然”!我们平常所用的防火墙如天网,Windows自带的防火墙,它可监控网络流量并选择性地阻止某些程序对网络资源的存取,而 SSM 可调整程序性能并控制它们对本地资源的存取,在这层意义上我们可将 SSM 称为系统防火墙。
而我们最依赖的杀毒软件如瑞星,金山,卡巴斯基,它们的原理基本都是不停地升级特征码,然后根据这个特征码来判断文件是否是病毒,所以理论上来说,杀毒软件是跟着病毒跑,永远需要不停地升级,如果没有病毒,谁需要杀毒软件呢?因此,最希望有病毒的不是我们,而是厂商!!!
四、SSM能做什么:
System Safety Monitor(SSM)是一款对系统进行全方位监测的防火墙工具,它不同于传统意义上的防火墙,是针对操作系统内部的存取管理,因此与任何网络/病毒防火墙都是不相冲突的。
SSM支持包括中文在内的多国语言,它有以下功能:
控制机器上哪些程序是允许执行的,当运行程序被修改时,会报警提示;
针对合法的程序建立规则,不会每次提示;
阻止未经认可的代码注入,从而使任何程序都无法插入到合法的程序中以进行有害的活动;
控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动,如:您可以控制您的浏览器不被除Explorer.EXE以外的任何非可信程序启动;
监控安装新程序时注册表重要分支键的更改,受保护的注册表分支键被尝试更改时将阻止或报警;
管理自启动项目、当前进程等,另外提供了服务保护模块,用以监视已安装的系统服务,当新的服务被添加时,会报警提示;
实时监视"启动菜单"、"启动INI文件分支",以及IE设定等(包括BHO-所谓的浏览器辅助对象,一般都是广告程序、间谍程序等垃圾);
支持外挂任一调试器、反病毒软件等,且该软件的扩展功能均采用外挂插件形式实现,因此极易得到丰富的扩充;
本身作为服务加载,通过配置、修改可以实现隐秘的进程反杀能力。
五、下载及安装
下载地址:
本人微软网盘:http://cid-b61a3b237a6dc607.skydrive.live.com/self.aspx/%e5%85%b1%e4%ba%ab%e6%96%87%e4%bb%b6/System%20Safety%20Monitor.rar
本人国内网盘:http://cachefile10.fs2you.com/zh-cn/download/fa0cb6119879275a30a67d8506a5569d/System%20Safety%20Monitor.rar
安装:
安装跟所有的Windows软件一样,几乎没有什么好说的。先选择试用版进行安装,一路同意及下一步,重启后,从开始菜单中找到并运行一下System Safety Monitor,然后使用其中的破解补丁SSMVX.Cracker.exe 打上试用期补丁,即可放心开始激动人心的系统安全之旅....
如何保证软件永久可用?每次期满,关闭SSM,再运行一次破解补丁,然后再启用SSM即可!
六、第一次运行MMS
软件运行之后,一个漂亮的绿色的LOGO闪过后,系统任务栏会出现SSM的图标
,双击可打开其配置窗口。
1、更改界面语言
默认语言界面是英文,为了习惯也为了便于理解,我们先要把界面改为简体中文的:
2、为可信任的程序添加信任规则。
Windows在启动之后,会有很多后台的服务进程启动,我们要为这些进程添加规则,相当于是信任这些程序,以后就不会再询问了。
前题是你的机器本身没有中招,没有可疑的程序已经运行了
如果不能确定,可以先将不明白的程序关闭,或者在选项中将规则删除
切换“进程监控器”,然后在进程处点右键菜单中选择“信任所有运行中的进程”便可。
对于一般用户来说,系统内建的规则已经可以适用绝大部分情况了。
3、开始启用SSM控制
上面的操作完了之后,已经为当前运行的程序添加了一些规则,可以检查一下SSM是否已经开始,没有的话我们要启用它。切换到“规则”窗口:
七、系统测试
1、启动未知的进程
如果这个时候,运行一个未知的程序,就会弹出一个窗口,可以显示程序的各种参数,然后让用户确认,比如现在我们打开IE浏览器(假定刚才上面第2步的时候没有为IE设置规则,当然你可以任意选择一个刚才没有运行的程序):
解释:
父进程:是谁启动了这个进程,这里是Theworld.exe,是一个资源器。有时看到突然弹出一个广告窗口,就可以通过这个办法来观察是哪个进程弹的广告,然后再想办法清除
子级进程:当前要启动的程序,即要执行的程序
如果不希望每次都去点允许,勾选“创建此操作的永久性规则”后,系统会自动增加一个规则,以后就照这个规则来处理,不会每次提问。
允许:只允许这一次运行,下一次还会继续提示
阻止:只阻止这一次运行,下一次还会继续提示
创建此规则的永久性规则:针对上面的这个允许或者阻止操作
技术信息:执行进程ID,以及进程的路径,参数等。这样你可以知道哪个程序要运行,然后决定是否运行它。
2、拦截移动硬盘U盘的Autorun病毒
现在用移动硬盘或者U盘的越来越多,也很普遍,但是经常我们不知不觉就在传染着病毒,它主要利用了Windows提供的根目录下的autorun.inf这个文件的特性,它就是指定了一个可执行的命令,因为是自动运行,隐蔽性很强。一般因为是熟人拿过来或者是同事同学之类的,根本防不胜防(天知道这个时候,那些杀毒软件在干嘛,大部分时候都查不到的)。下面就做这一个测试,把有毒的U盘挺入,马上跳出来一个提示:
父进程rundll32.exe是一个Windows的合法程序,但是每多病毒都是通过它加载的,强烈建议不要为它设定永久性允许规则!它要运行一个H:\setup.pif这个进程,一看就是一个可疑的,点“阻止”,中止它的运行。再打开U盘,显示一下隐藏文件,果然有一个autorun.inf文件和setup.pif文件,经检查,就是一个隐藏的病毒。因为已经被阻止运行,杀无赦!!!
3、恶意篡改主页
飘雪/飞雪/MY123之类专门修改IE浏览器首页的木马,SSM更是立即提示!因为它提供了对所有注册表敏感键值的保护
在这个测试中,机器中了一个BHO的插件,因为没有单独的进程,它是利用IE来修改首页的,马上被SSM就拦截了:
这个时候,我们就可以永久阻止它,以拒绝对这个注册表健值的更改,成功地保护了系统首页。
补充:
SSM的强大功能对木马和流氓软件防范乃至整个系统的全面监控提供了绝佳的解决方案,但在使用上对普通用户可能稍微难了一点,但我认为点时间也了解SSM、软件和进程还是值得的,因为你天天在使用,不了解自己机器上哪些程序是需要的,哪些是不需要的(不是全部哟!),就像你请一批人给你做工,你竟然不看任何人的简历,等你受损失时才后悔,并且是经常受损失!还是把把人才关吧,安全第一,预防为主。
