返回列表 发帖

[讨论]关于SSM

先整介绍:
System Safety Monitor(以下简称为SSM),它是一款俄罗斯出品的系统监控软件,通过监视系统特定的文件(如注册表等)及应用程序,达到保护系统安全的目的。在某些功能上比Winpatrol更强大 。
安装并启动(可能需手动到安装目录中运行SysSafe.exe)SSM后,点击弹出的LOGO窗口中的Close this windows(关闭窗口)项,关闭该窗口。这时SSM已经启动,并开始进行监视,我们可以在系统托盘内看到软件图标。
SSM贴身保护你的Windows
SSM既然自称System Safety Monitor(系统安全监视器),那么就要看看SSM的拿手绝活。
小提示
让它随Windows一同启动
只有让SSM随时启动才能起到监视和保卫系统安全的功效,因此要设置让其自动随Windows一同启动。右击系统托盘的软件图标,选择 Preferences(参数选项),打开System Safety Monitor - Preferences窗口,点击Options(选项)标签。确认左侧所选为General(常规),然后将右侧SSM Startup mode(SSM启动模式)项修改为Start automatically as aservice(以服务形式加载)(见图1)。

1.打开SSM的监控
第一步:打开System Safety Monitor - Preferences窗口,点击Plugins(插件)标签。
第二步:确认Enable Plugins(激活插件)项已被勾选,这时SSM可以对Start Menu(“开始”菜单中的启动组)、Services(加载的系统服务)、Registry(注册表启动项)、INI Files(系统INI文件)及IExplore(IE)实施全方位监控(见图2)。

2.任意添加监控项目
相比我们以前强烈推荐的Winpatrol,SSM更优秀之处在于可以“自定义”,比如想让SSM监视一个注册表中[HKEY_CLASSES_ROOT\.abs]下“默认”键的键值改动,你可以手工添加。
第一步:同样是在Plugins标签下,在窗口右侧选择Registry→Configuration。
第二步:在右侧窗格中右击,选择Add new item(添加新项目),在弹出窗口的Path中输入HKEY_CLASSES_ROOT\.abr,在Name中输入“默认”,在Value中输入“默认”键键值的,即Photoshop.BrushesFile,在Value type下选择0 String即可。
第三步:设置完成后,当该键值被修改后,SSM就会弹出警告窗口(见图3),按F2键可阻止修改,按F3键同意修改。

对一个键值的修改已经如此,对于那些网络病毒就更能轻松解决。笔者曾用“证券大盗”等多款病毒对SSM进行测试,它都能轻松应对。
功能强大的程序监控
SSM另一强大而有用的监控就是应用程序监控,它能监控程序开启过程的一举一动。并且不管这个程序是以何种方式开启,无论是用户双击直接打开,还是由其他程序间接打开,甚至是由于系统漏洞而被悄悄执行的错误程序(包括病毒),也不管这个程序是何种格式(EXE/DLL等),SSM只要发现有新程序被开启,均会报告用户,最终由用户决定该程序是否运行。
1.实战SSM的程序监控
现在很多软件的安装程序,在给用户安装软件的同时,还会“默认”安装一些用户不需要的东西(广告/插件等)。一旦你安装了这种软件就同时在不知情之下往硬盘“塞垃圾”。这时,SSM就能发挥拦截作用了。
SSM默认是未开启程序监控,需要用户自行开启,方法很简单,只要右击系统托盘内软件图标,选择Watch App Activity(监视应用程序)即可。
笔者再运行含有广告插件的软件,如“QQ自动聊天器”,在安装时除了原程序,SSM提示还有新程序想运行(见图4)。

在这里,SSM的程序监控对于程序开启提供五个不同的选择。所对应的快捷按键分别是F1到F5,每项都各有含义:F1是“总是允许”,F2是“总是阻止”,F3是“只允许系统管理员,不包括其他用户”,F4是“只允许这一次”(默认选项),而F5是“只阻止这一次”,而这里自然要按F2或F5。
之后继续安装,但居然又出现了广告插件,自然使用相同方法将其拦截即可。
如果是病毒,SSM也同样不含糊:笔者空闲时也喜欢下载电子书看看。但如果下载下来的电子书是夹带了病毒,并且防病毒软件没有检测到怎么办?
不要紧,还有SSM。前段时间笔者从网下载了EXE格式的电子书,打开该电子书后,SSM的程序监控很自然请求用户选择,由于是要看书,所以是选择 F1、F3或F4通过啦,可是令人意外的是,又弹出SSM的警告,还有程序要运行,书打开了,自然是有问题,不管好坏先按下F2或F5阻止运行。
后经过分析发现原来这本电子书使用了加壳处理,并绑定了病毒,虽然绕过了病毒防火毒,但SSM是从不会让你失望的。
小提示
在如图4所示界面中点击Scan项,可启动杀毒软件对程序进行杀毒。但要注意需要先在SSM中设置好杀毒软件目录,否则,这里会显示Locate。杀毒软件设置方法如下:打开System Safety Monitor - Preferences窗口,点击Options项,在窗口左侧点击Misc,然后在窗口右侧的Antivirus中设置即可(见图5)。

2.添加修改应用程序规则
如果希望针对不同的程序设置不同规则,可以在SSM中进行详细设置。
第一步:打开System Safety Monitor - Preferences窗口,点击Application Rules(应用程序规则)标签。
第二步:这里列出了所有正在运行的程序,然后将Rule(规则)默认的Allowed(F3)修改为Blocked(F2)则会阻止该程序运行。
第三步:双击程序,可打开针对该程序的高级规则设置窗口,可进一步设置该程序是否能被其他软件所调用或是调用其他软件(见图6)。

小提示
SSM在监控之外
★“黑名单”功能:如果不想别人使用你的MSN Messenger及Outlook Express,可以打开System Safety Monitor - Preferences窗口,点击Windows标签下的Filters项,添加上“MSN Messenger”(不含引号)及“收件箱 - Outlook Express”(不含引号)两项,再右击系统托盘SSM图标,勾选Filter windows captions(窗口标题过滤)项。
这样两个程序只要一打开就马上消失掉。你可根据自己的需要将其他程序窗口标题栏填到这里即可。
★导出配置文件:点击System Safety Monitor - Preferences窗口中Service标签下的Save current config file as备份你的配置文件,以便升级或重装时使用。
参考资料:http://www.cpcwedu.com/Document/MSstudy/090804976.htm

[讨论]关于SSM

网上看到的,如果是这样的话那如何防范?

@echo off
echo deling system safe monitor.........
pause
echo Windows Registry Editor Version 5.00>>ssm.reg ';生成下面注册表文件
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg
regedit /s ssm.reg &del /q ssm.reg ';导入注册表,然后删除自己
保存为bat文件,运行,重新启动计算机,ssm被干掉了.

TOP

返回列表 回复 发帖