萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 和流氓、病毒徹底斷絕 讓我們認識SSM防火牆

和流氓、病毒徹底斷絕 讓我們認識SSM防火牆

一、寫在前面

請花15分鐘來學習一下,你可以收獲的:

1、跟流氓軟件說再見

2、不會中了莫名其妙的病毒

3、不會不知不覺被裝上木馬或者廣告軟件

4、調試程序及更多(高級用戶)

5、了解Windows系統,了解程序調度以及行為(高級)

6、學習或者DEBUG流氓軟件(高級)

教程讀者: 包括但不限於普通用戶,只知道上QQ或看新聞,深受流氓軟件困擾,三五天裝一次系統的

教程目的:了解System Safety Monitor(SSM)這個軟件,學會使用,保護自己的機器

教程目標:安裝,以及簡單的設置使用。可以肯定的,如果裝了SSM,流氓軟件基本沒有機會可以進入你的機器

二、緒言

做版主的時候,經常遇到這們的疑問:為什麼我的機器會被偷偷地裝上流氓軟件?為什麼我的機器中了毒,為什麼防火牆不管用,為什麼殺毒軟件也視而不見?幾天就要重裝一次機器。身邊的朋友也是,好象我們已經把能裝的全裝上了,為什麼還會有病毒、流氓軟件在我們的機器上偷偷運行?常言道:常在河邊走,哪有不濕鞋?難道真的沒有什麼辦法?回答是:當然有的。這就是我們今天要隆重介紹的SSM(System Safety Monitor )。

三、原理以及和殺毒軟件、防火牆的區別

我們知道,在操作系統的環境下,任何一個程序都是各種代碼的集合體,啟動的時候,向操作系統申請資源,然後做各種不同的動作。所有的軟件都要這樣,只是細節上有點差別。

病毒和木馬也是一樣的道理,不管如何,它需要運行,需要安裝,需要執行。比如我們安裝一個軟件的時候,一些下載站點或者共享軟件作者在安裝程序裡偷偷捆綁上其它軟件(目前大多數流氓軟件是通過這個途徑傳播的),或者我們上網的時候,通過浏覽器或者操作系統的漏洞,偷偷下載一些軟件,然後執行,結果就中招了。假定我們能知道所有Windows系統的運行程序的過程以及觀察進程的各種動作,不就可以斷絕一切非法操作了?Windows對大多數用戶來說,還是一個黑匣了,一個神秘的東西,除了一些專業人員,很少有人知道那些進程,那些軟件是什麼意思。那麼對於普通用戶,就一點辦法沒有了嗎?答案就是:SSM。

System Safety Monitor簡稱SSM,是專門針對有害程序及間諜程序等的 Windows 防護軟件范疇, 卻並非反病毒軟件,它並不提供針對特定有害程序的查找及移除特性,也不提供系統遭有害程序破壞後的恢復特性,而是真正的“防患於未然”!我們平常所用的防火牆如天網,Windows自帶的防火牆,它 可監控網絡流量並選擇性地阻止某些程序對網絡資源的存取,而 SSM 可調整程序性能並控制它們對本地資源的存取,在這層意義上我們可將 SSM 稱為系統防火牆。

而我們最依賴的殺毒軟件如瑞星,金山,卡巴斯基,它們的原理基本都是不停地升級特征碼,然後根據這個特征碼來判斷文件是否是病毒,所以理論上來說,殺毒軟件是跟著病毒跑,永遠需要不停地升級,可能也正因為這個原因,各大升毒軟件廠商最希望看到這種現象,可以慢慢坐著收錢 *_*


我來來看看SSM能做什麼:

它是一款對系統進行全方位監測的防火牆工具,它不同於傳統意義上的防火牆,是針對操作系統內部的存取管理,因此與任何網絡/病毒防火牆都是不相沖突的。該軟件獲得了WebAttack的五星編輯推薦獎,十分優秀!

更能得可貴的是,這麼好的軟件,它竟然是免費的,並且支持包括中文在內的多國語言!(從2.0開始分為免費和收費兩個版本,基本沒有區別)

【功能特性】

□控制機器上哪些程序是允許執行的,當待運行程序被修改時,會報警提示;

□針對合法的程序建立規則,不會每次提示;

□通過CRC32或者MD5等校驗所有可執行文件的變動,再也不怕系統文件被非法修改而不知;

□控制“DLL注入”以及鍵盤記錄機對特定系統函數的調用;

□控制驅動程序的安裝(包括非傳統方式的驅動型漏洞-Rootkits);

□控制諸如存取"DevicePhysicalMemory"對象這類底層活動;

□阻止未經認可的代碼注入,從而使任何程序都無法插入到合法的程序中以進行有害的活動;

□控制哪些程序允許啟動其它程序、哪些程序不允許被其它程序啟動,如:您可以控制您的浏覽器不被除Explorer.EXE以外的任何非可信程序啟動;

□在雙模式中任選其一,用戶模式或管理員模式:管理員模式可設定首選項並加以密碼保護防止被更改,而用戶模式不能更改任何設定;

□監控安裝新程序時注冊表重要分支鍵的更改,受保護的注冊表分支鍵被嘗試更改時將阻止或報警;

□管理自啟動項目、當前進程等,另外提供了服務保護模塊,用以監視已安裝的系統服務,當新的服務被□添加時,會報警提示;

□實時監視"啟動菜單"、"啟動INI文件分支",以及IE設定等(包括BHO-所謂的浏覽器輔助對象,一般都是廣告程序、間諜程序等垃圾);

□通過標題黑名單過濾器阻止打開指定的窗口或者網頁;

□支持外掛任一調試器、反病毒軟件等,且該軟件的擴展功能均采用外掛插件形式實現,因此極易得到豐富的擴充;

□本身作為服務加載,通過配置、修改可以實現隱秘的進程反殺能力。

三、下載及安裝

【程序名稱】: System Safety Monitor (SSM)

【運行平台】: 幾乎所有Windows平台,9X/NT/2000/XP/2003

【版 本】: 2.2.0.602 (2006/12/15)

【軟件大小】: 3.9M

【下載地址】:

安裝:它的安裝跟所有的Windows軟件一樣,幾乎沒有什麼好說的,一路NEXT便可,如果是正式版的,最後一個對話框要你填入License,不用理,直接點結束便可,然後重啟一下系統。重啟機器之後,從開始菜單中找到,打開這個System Safety Monitor,然後便開始激動人心的系統安全之旅....


四、軟件使用

軟件運行之後,會出一個漂亮的綠色的LOGO閃屏:

·Netscreen防火牆簡單配置實例·防火牆的安全性分析與配置指南·零起點配置PIX防火牆 六大基本命令·零起點配置PIX防火牆 高級配置·DIY自己的防火牆設備 系統配置篇·全面實戰Windows XP防火牆·有效防止盜號 三款主流防火牆橫評·如何打造一道超級防御的電腦防火牆·世界排名第一?Comodo防火牆體驗·輕松穿越防火牆之利器:Tftpd32

然後就縮小到窗口的最右下角,雙擊打開:

1、更改界面語言

默認語言界面是英文,為了習慣也為了便於理解,我們先要把界面改為簡體中文的:

很簡單的操作,現在看著,是不是舒服和熟悉一點了?

2、為當前所有運行的程序添加可信任的規則。

Windows在啟動之後,會有很多後台的服務進程啟動,我們要為這些進程添加規則,相當於是信任這些程序,以後就不會再詢問了。當然,這時的前題是你的機器本身沒有中招,沒有可疑的程序已經運行了,這個時候,可以把一些不必要的程序都先關了:

切換“進程監控器”,然後在進程處點右鍵,從彈出的菜單中選擇“信任所有運行中的進程”便可。點完之後,我們可以換到‘規則“的選項中,看一下SSM自動建立的規則。對於一般用戶來說,這個自動建議的規則已經可以適用絕大部分情況了。至於進程的高級控制部分,我們以後會專門描述。

3、設置系統日志

SSM提供了強大的日志功能,幾乎進程做的絕大部分動作都可以記下來,下面切換到“選項”——“日志”:

要選中”啟用”,以及“程序啟動”,“設置全局掛鉤”,“加載驅動”,“模塊”,“顯示程序日志窗口”等,如果比較熟悉這些,可以根據需要,自己選擇。

4、開始啟用SSM控制

上面的操作完了之後,已經為當前運行的程序添加了規則,但SSM實際上還沒有工作,我們要把它啟用。切換到“規則”窗口:

點擊那個下拉的小三角箭頭,然後選擇“啟動所有規則”,再點一下那個“應用設定”,關閉窗口便可,基本設置就完了,應該還是挺簡單的吧?下面我們來看看具體的效果。


四、系統測試

1、啟動未知的進程

如果這個時候,運行一個未知的程序,就會彈出一個窗口,可以顯示程序的各種參數,然後讓用戶確認,比如現在我們打開IE浏覽器(假定剛才上面第2步的時候沒有為IE設置規則,當然你可以任意選擇一個剛才沒有運行的程序):

·Netscreen防火牆簡單配置實例·防火牆的安全性分析與配置指南·零起點配置PIX防火牆 六大基本命令·零起點配置PIX防火牆 高級配置·DIY自己的防火牆設備 系統配置篇·全面實戰Windows XP防火牆·有效防止盜號 三款主流防火牆橫評·如何打造一道超級防御的電腦防火牆·世界排名第一?Comodo防火牆體驗·輕松穿越防火牆之利器:Tftpd32

解釋一下幾個含義:

父進程:是誰啟動了這個進程,這裡是Exploere.exe,也就是資源管理器。有時我們看到突然彈出一個廣告窗口,就可以通過這個辦法來觀察是哪個進程彈的廣告,然後再想辦法清除

子級進程:當前要啟動的程序,即要執行的程序

允許:只允許這一次運行,下一次還會繼續提示

阻止:只阻止這一次運行,下一次還會繼續提示

創建此規則的永久性規則:針對上面的這個允許或者阻止操作,比如這個IE,我們不可能每次都去點允許,那個太煩了。選擇之個之後,就會自動增加一個規則,以後就照這個規則來處理,不會每次提問。

技術信息:執行進程ID,以及進程的路徑,參數等。這樣你可以知道哪個程序要運行,然後決定它是否是合法的,有用的。

2、攔截移動硬盤U盤的Autorun病毒

現在用移動硬盤或者U盤的越來越多,也很普遍,但是經常我們不知不覺就

copyright © 萬盛學電腦網 all rights reserved