和流氓、病毒徹底斷絕 讓我們認識SSM防火牆

一、寫在前面

請花15分鐘來學習一下，你可以收獲的：

1、跟流氓軟件說再見

2、不會中了莫名其妙的病毒

3、不會不知不覺被裝上木馬或者廣告軟件

4、調試程序及更多（高級用戶）

5、了解Windows系統，了解程序調度以及行為（高級）

6、學習或者DEBUG流氓軟件（高級）

教程讀者： 包括但不限於普通用戶，只知道上QQ或看新聞，深受流氓軟件困擾，三五天裝一次系統的

教程目的：了解System Safety Monitor(SSM)這個軟件，學會使用，保護自己的機器

教程目標：安裝，以及簡單的設置使用。可以肯定的，如果裝了SSM，流氓軟件基本沒有機會可以進入你的機器

二、緒言

做版主的時候，經常遇到這們的疑問：為什麼我的機器會被偷偷地裝上流氓軟件？為什麼我的機器中了毒，為什麼防火牆不管用，為什麼殺毒軟件也視而不見？幾天就要重裝一次機器。身邊的朋友也是，好象我們已經把能裝的全裝上了，為什麼還會有病毒、流氓軟件在我們的機器上偷偷運行？常言道：常在河邊走，哪有不濕鞋？難道真的沒有什麼辦法？回答是：當然有的。這就是我們今天要隆重介紹的SSM(System Safety Monitor )。

三、原理以及和殺毒軟件、防火牆的區別

我們知道，在操作系統的環境下，任何一個程序都是各種代碼的集合體，啟動的時候，向操作系統申請資源，然後做各種不同的動作。所有的軟件都要這樣，只是細節上有點差別。

病毒和木馬也是一樣的道理，不管如何，它需要運行，需要安裝，需要執行。比如我們安裝一個軟件的時候，一些下載站點或者共享軟件作者在安裝程序裡偷偷捆綁上其它軟件（目前大多數流氓軟件是通過這個途徑傳播的），或者我們上網的時候，通過浏覽器或者操作系統的漏洞，偷偷下載一些軟件，然後執行，結果就中招了。假定我們能知道所有Windows系統的運行程序的過程以及觀察進程的各種動作，不就可以斷絕一切非法操作了？Windows對大多數用戶來說，還是一個黑匣了，一個神秘的東西，除了一些專業人員，很少有人知道那些進程，那些軟件是什麼意思。那麼對於普通用戶，就一點辦法沒有了嗎？答案就是：SSM。

System Safety Monitor簡稱SSM，是專門針對有害程序及間諜程序等的 Windows 防護軟件范疇， 卻並非反病毒軟件，它並不提供針對特定有害程序的查找及移除特性，也不提供系統遭有害程序破壞後的恢復特性，而是真正的“防患於未然”！我們平常所用的防火牆如天網，Windows自帶的防火牆，它 可監控網絡流量並選擇性地阻止某些程序對網絡資源的存取，而 SSM 可調整程序性能並控制它們對本地資源的存取，在這層意義上我們可將 SSM 稱為系統防火牆。

而我們最依賴的殺毒軟件如瑞星，金山，卡巴斯基，它們的原理基本都是不停地升級特征碼，然後根據這個特征碼來判斷文件是否是病毒，所以理論上來說，殺毒軟件是跟著病毒跑，永遠需要不停地升級，可能也正因為這個原因，各大升毒軟件廠商最希望看到這種現象，可以慢慢坐著收錢 *_*

我來來看看SSM能做什麼：

它是一款對系統進行全方位監測的防火牆工具，它不同於傳統意義上的防火牆，是針對操作系統內部的存取管理，因此與任何網絡/病毒防火牆都是不相沖突的。該軟件獲得了WebAttack的五星編輯推薦獎，十分優秀！

更能得可貴的是，這麼好的軟件，它竟然是免費的，並且支持包括中文在內的多國語言！（從2.0開始分為免費和收費兩個版本，基本沒有區別）

【功能特性】

□控制機器上哪些程序是允許執行的，當待運行程序被修改時，會報警提示；

□針對合法的程序建立規則，不會每次提示；

□通過CRC32或者MD5等校驗所有可執行文件的變動，再也不怕系統文件被非法修改而不知；

□控制“DLL注入”以及鍵盤記錄機對特定系統函數的調用；

□控制驅動程序的安裝（包括非傳統方式的驅動型漏洞－Rootkits）；

□控制諸如存取"DevicePhysicalMemory"對象這類底層活動；

□阻止未經認可的代碼注入，從而使任何程序都無法插入到合法的程序中以進行有害的活動；

□控制哪些程序允許啟動其它程序、哪些程序不允許被其它程序啟動，如：您可以控制您的浏覽器不被除Explorer.EXE以外的任何非可信程序啟動；

□在雙模式中任選其一，用戶模式或管理員模式：管理員模式可設定首選項並加以密碼保護防止被更改，而用戶模式不能更改任何設定；

□監控安裝新程序時注冊表重要分支鍵的更改，受保護的注冊表分支鍵被嘗試更改時將阻止或報警；

□管理自啟動項目、當前進程等，另外提供了服務保護模塊，用以監視已安裝的系統服務，當新的服務被□添加時，會報警提示；

□實時監視"啟動菜單"、"啟動INI文件分支"，以及IE設定等（包括BHO-所謂的浏覽器輔助對象，一般都是廣告程序、間諜程序等垃圾）；

□通過標題黑名單過濾器阻止打開指定的窗口或者網頁；

□支持外掛任一調試器、反病毒軟件等，且該軟件的擴展功能均采用外掛插件形式實現，因此極易得到豐富的擴充；

□本身作為服務加載，通過配置、修改可以實現隱秘的進程反殺能力。

三、下載及安裝

【程序名稱】： System Safety Monitor (SSM)

【運行平台】： 幾乎所有Windows平台，9X/NT/2000/XP/2003

【版 本】： 2.2.0.602 (2006/12/15)

【軟件大小】： 3.9M

【下載地址】：

安裝：它的安裝跟所有的Windows軟件一樣，幾乎沒有什麼好說的，一路NEXT便可，如果是正式版的，最後一個對話框要你填入License，不用理，直接點結束便可，然後重啟一下系統。重啟機器之後，從開始菜單中找到，打開這個System Safety Monitor，然後便開始激動人心的系統安全之旅....

四、軟件使用

軟件運行之後，會出一個漂亮的綠色的LOGO閃屏：

·Netscreen防火牆簡單配置實例·防火牆的安全性分析與配置指南·零起點配置PIX防火牆 六大基本命令·零起點配置PIX防火牆 高級配置·DIY自己的防火牆設備 系統配置篇·全面實戰Windows XP防火牆·有效防止盜號 三款主流防火牆橫評·如何打造一道超級防御的電腦防火牆·世界排名第一?Comodo防火牆體驗·輕松穿越防火牆之利器：Tftpd32

然後就縮小到窗口的最右下角，雙擊打開：

1、更改界面語言

默認語言界面是英文，為了習慣也為了便於理解，我們先要把界面改為簡體中文的：

很簡單的操作，現在看著，是不是舒服和熟悉一點了？

2、為當前所有運行的程序添加可信任的規則。

Windows在啟動之後，會有很多後台的服務進程啟動，我們要為這些進程添加規則，相當於是信任這些程序，以後就不會再詢問了。當然，這時的前題是你的機器本身沒有中招，沒有可疑的程序已經運行了，這個時候，可以把一些不必要的程序都先關了：

切換“進程監控器”，然後在進程處點右鍵，從彈出的菜單中選擇“信任所有運行中的進程”便可。點完之後，我們可以換到‘規則“的選項中，看一下SSM自動建立的規則。對於一般用戶來說，這個自動建議的規則已經可以適用絕大部分情況了。至於進程的高級控制部分，我們以後會專門描述。

3、設置系統日志

SSM提供了強大的日志功能，幾乎進程做的絕大部分動作都可以記下來，下面切換到“選項”——“日志”：

要選中”啟用”，以及“程序啟動”，“設置全局掛鉤”，“加載驅動”，“模塊”，“顯示程序日志窗口”等，如果比較熟悉這些，可以根據需要，自己選擇。

4、開始啟用SSM控制

上面的操作完了之後，已經為當前運行的程序添加了規則，但SSM實際上還沒有工作，我們要把它啟用。切換到“規則”窗口：

點擊那個下拉的小三角箭頭，然後選擇“啟動所有規則”，再點一下那個“應用設定”，關閉窗口便可，基本設置就完了，應該還是挺簡單的吧？下面我們來看看具體的效果。

四、系統測試

1、啟動未知的進程

如果這個時候，運行一個未知的程序，就會彈出一個窗口，可以顯示程序的各種參數，然後讓用戶確認，比如現在我們打開IE浏覽器（假定剛才上面第2步的時候沒有為IE設置規則，當然你可以任意選擇一個剛才沒有運行的程序）：

·Netscreen防火牆簡單配置實例·防火牆的安全性分析與配置指南·零起點配置PIX防火牆 六大基本命令·零起點配置PIX防火牆 高級配置·DIY自己的防火牆設備 系統配置篇·全面實戰Windows XP防火牆·有效防止盜號 三款主流防火牆橫評·如何打造一道超級防御的電腦防火牆·世界排名第一?Comodo防火牆體驗·輕松穿越防火牆之利器：Tftpd32

解釋一下幾個含義：

父進程：是誰啟動了這個進程，這裡是Exploere.exe，也就是資源管理器。有時我們看到突然彈出一個廣告窗口，就可以通過這個辦法來觀察是哪個進程彈的廣告，然後再想辦法清除

子級進程：當前要啟動的程序，即要執行的程序

允許：只允許這一次運行，下一次還會繼續提示

阻止：只阻止這一次運行，下一次還會繼續提示

創建此規則的永久性規則：針對上面的這個允許或者阻止操作，比如這個IE，我們不可能每次都去點允許，那個太煩了。選擇之個之後，就會自動增加一個規則，以後就照這個規則來處理，不會每次提問。

技術信息：執行進程ID，以及進程的路徑，參數等。這樣你可以知道哪個程序要運行，然後決定它是否是合法的，有用的。

2、攔截移動硬盤U盤的Autorun病毒

現在用移動硬盤或者U盤的越來越多，也很普遍，但是經常我們不知不覺就