[转帖] 系统防护卫士（ＳＳＭ）-System Safety Monitor的应用（软件下载和图解）

dayu88221

系统防护卫士（ＳＳＭ）-System Safety Monitor的应用（软件下载和图解）
System Safety Monitor(以下简称为SSM)，它是一款俄罗斯出品的系统监控软件，通过监视系统特定的文件(如注册表等)及应用程序，达到保护系统安全的目的。特别是对IE有强大的监控功能。并且无论程序要调用什么资源或者其他程序，ssm都会拦截并通知你，那木马也无法进入你的程序了。

本BBS好像也有一个帖子关于SSM的图解，但是比较简单，这是我在别的论坛上看的，就转过来了，自己没做图，用人家的。现在有软件下载，又有图，齐全了。补丁在下面。版本不是特高，也不低，新版本大概是2.2（新版本大概没有补丁），足足够用了。
SSM下载

新版本（ beta2.2)下载(该版没有补丁，不适合下面的补丁）



[ 本帖最后由 wubiaobing 于 2006-11-4 22:25 编辑 ]



[ 本帖最后由 wubiaobing 于 2006-11-4 22:27 编辑 ]



[ 本帖最后由 wubiaobing 于 2006-11-4 22:30 编辑 ]



[ 本帖最后由 wubiaobing 于 2006-11-4 22:32 编辑 ]



[ 本帖最后由 wubiaobing 于 2006-11-4 22:35 编辑 ]



[ 本帖最后由 wubiaobing 于 2006-11-4 22:41 编辑 ]



[ 本帖最后由 wubiaobing 于 2006-11-4 23:09 编辑 ]

一．   软件的安装和基本设置
在SSM安装完毕以后，我们需要对它进行一些基本的设置，才能让它发挥它强大的功能。
安装完毕首先进入options,在language选项中选择chinese(simplifiled),然后点击Apply options应用刚才的设置。



[ 本帖最后由 wubiaobing 于 2006-11-4 22:17 编辑 ]

二、在安装完毕默认的状态下，SSM各模块并没有启用，我们必须手动打开这些监控。
首先进入模块选项卡，下面有注册表，INI文件，开始菜单，服务，IE，窗口过滤六个项目，如果要启用必须手动勾上左上角的“起用该模块”，我们将它们一一勾上，这样关于上面六个项目的监控就开始工作了。如图3

三、回到进程监控器选项，在保证系统干净没问题的情况下，在任意进程上点右键，在菜单中选择“信任全部”，然后校验它们的MD5；SSM会记下这些MD5值。这样目前的所有进程都变成了SSM默认可靠的了，如果出现新的进程，SSM就会在第一时间提醒你。如果这些程序被破坏后，SSM也会报警。可以避免病毒木马给你带来的损失如图4

五、最后回到选项中，在首选项中勾上“自动启动”，再找到杀软的安装目录，和SSM关联。别的为默认就可以了。到目前为止，SSM就开始守护你的系统了。它的日志是默认在它的安装目录下面的一个RenderedLogs\report的文件里面，查看的时候是用ie打开的，十分清楚。如图5。

六、目前网络中针对IE的恶意代码和恶意插件很多，利用IE来入侵您的电脑，或许在您在网上浏览网页的时候，那些可恶的代码、病毒已经悄悄来到你的身边，窥视你的隐私。通过对SSM的设置可以轻松帮助你避免这种担心。
到规则选项卡下，找到IE程序，在先面的规则设置中，先进入系统控制，去掉“允许杂项底层操作”，“允许驱动安装”，“允许关闭系统”前面的问号，使前面的单选框出现空白，就是拒绝的意思。
然后到代码注入中，去掉“允许全局挂钩”，“允许远程数据修改”，“允许远程代码控制” 前面的问号，使其拒绝上面的操作。
图6

七、（接六）高级应用：
在规则模块下的IE程序上点右键，进入高级属性，在这里可以设置IE浏览器的父子关系，我只默认了explorer程序，如果你使用microsoft的自动升级，应该允许wuauclt.exe、wupdmgr.exe两个进程。
在高级属性的程序列表中，找到c:\windows\exploer.exe程序，勾上后面“父级”的勾。在最下方的默认操作中，子级设置为允许启动，父级设置为拒绝启动。这样设置完毕以后，只要SSM运行，只有explorer.exe可以启动/运行IE浏览器。


经过上面的设置，IE本身已经是很安全了。但是安全是建立在其父级程序安全的基础上的，为他的父进程explorer.exe程序设置“禁止代码注入”、“禁止全局钩子”、“ 禁止远程代码控制”等，IE在它发亲的保护下就安全

八、 对注册表严密控制
SSM默认在注册表监控模块中提供了一些规则，包括启动项目和一些文件的重要键值，但是对于我们是不够的，因为SSM对“文件关联保护”做的不太好，但是它强大的扩展功能使我们自己完全可以添加进这些保护，下面列出了常被某些木马利用的一些注册表键：HKEY_CLASSES_ROOT\exefile\shell\open\command\

HKEY_CLASSES_ROOT\txtfile\shell\open\command\

HKEY_CLASSES_ROOT\inifile\shell\open\command\

HKEY_CLASSES_ROOT\scrfile\shell\open\command\

HKEY_CLASSES_ROOT\batfile\shell\open\command\

HKEY_CLASSES_ROOT\cmdfile\shell\open\command\

HKEY_CLASSES_ROOT\regfile\shell\open\command\

HKEY_CLASSES_ROOT\comfile\shell\open\command\

HKEY_CLASSES_ROOT\folder\shell\open\command\

HKEY_CLASSES_ROOT\chm.file\shell\open\command\


HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command\

HKEY_CLASSES_ROOT\mailto\shell\open\command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command\

具体添加方法如下：打开模块——注册表，在右面电击右键，选择“新增”
拿添加HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command\来说，在路径前面选择主键，注意这里的表示方法不和注册表一样，比如HKCR代表HKEY_CLASSES_ROOT，HKCU代表HKEY_CLASSES_USER。由于主键已经给出，我们就只要把VBSFile\Shell\Open2\Command\粘贴到路径就可以了，当然前提是前面的主键选择正确。然后在下面的操作中选择“阻止更改”。
图8

好了，就这么多，有点懒，自己没做图，就用人家的图了。

如此好的东东怎能不顶呢？谢谢共享，即美文！