SSM防火墙基本图文教程
SSM教程
一、写在前面
请花15分钟来学习一下,你可以收获的:
1、跟流氓软件说再见
2、不会中了莫名其妙的病毒
3、不会不知不觉被装上木马或者广告软件
4、调试程序及更多(高级用户)
5、了解Windows系统,了解程序调度以及行为(高级)
6、学习或者DEBUG流氓软件(高级)
教程读者:包括但不限于普通用户,只知道上QQ或看新闻,深受流氓软件困扰,三五天装一次系统的。
教程目的:了解System Safety Monitor(SSM)这个软件,学会使用,保护自己的机器。
教程目标:安装,以及简单的设置使用。可以肯定的,如果装了SSM,流氓软件基本没有机会可以进入你的机器。
二、绪言
在360(https://www.sodocs.net/doc/2818826313.html,)做版主的时候,经常遇到这们的疑问:为什么我的机器会被偷偷地装上流氓软件?为什么我的机器中了毒,为什么防火墙不管用,为什么杀毒软件也视而不见?几天就要重装一次机器。身边的朋友也是,好笪颐且丫涯茏暗娜吧狭耍裁椿够嵊胁《尽⒘髅ト砑谖颐堑幕魃贤低翟诵校砍Q缘溃撼T诤颖咦撸挠胁皇磕训勒娴拿挥惺裁窗旆ǎ炕卮鹗牵旱比挥械摹U饩褪俏颐墙裉煲≈亟樯艿腟SM(System Safety Monitor)。
三、原理以及和杀毒软件、防火墙的区别
我们知道,在操作系统的环境下,任何一个程序都是各种代码的集合体,启动的时候,向操作系统申请资源,然后做各种不同的动作。所有的软件都要这样,只是细节上有点差别。
病毒和木马也是一样的道理,不管如何,它需要运行,需要安装,需要执行。比如我们安装一个软件的时候,一
些下载站点或者共享软件作者在安装程序里偷偷捆绑上其它软件(目前大多数流氓软件是通过这个途径传播的),或者我们上网的时候,通过浏览器或者操作系统的漏洞,偷偷下载一些软件,然后执行,结果就中招了。
假定我们能知道所有Windows系统的运行程序的过程以及观察进程的各种动作,不就可以断绝一切非法操作了?Windows对大多数用户来说,还是一个黑匣了,一个神秘的东西,除了一些专业人员,很少有人知道那些进程,那些软件是什么意思。那么对于普通用户,就一点办法没有了吗?答案就是:SSM。
System Safety Monitor简称SSM,是专门针对有害程序及间谍程序等的Windows防护软件范畴,却并非反病毒软件,它并不提供针对特定有害程序的查找及移除特性,也不提供系统遭有害程序破坏后的恢复特性,而是真正的“防患于未然”!我们平常所用的防火墙如天网,Windows自带的防火墙,它可监控
网络流量并选择性地阻止某些程序对网络资源的存取,而SSM可调整程序性能并控制它们对本地资源的存取,在这层意义上我们可将SSM称为系统防火墙。
而我们最依赖的杀毒软件如瑞星,金山,卡巴斯基,它们的原理基本都是不停地升级特征码,然后根据这个特征码来判断文件是否是病毒,所以理论上来说,杀毒软件是跟着病毒跑,永远需要不停地升级,可能也正因为这个原因,各大升毒软件厂商最希望看到这种现象,可以慢慢坐着收钱。
来来看看SSM能做什么:
它是一款对系统进行全方位监测的防火墙工具,它不同于传统意义上的防火墙,是针对操作系统内部的存取管理,因此与任何网络/病毒防火墙都是不相
冲突的。该软件获得了WebAttack的五星编辑推荐奖,十分优秀!
更能得可贵的是,这么好的软件,它竟然是免费的,并且支持包括中文在内的多国语言!(从2.0开始分为免费
和收费两个版本,基本没有区别)
功能特性
1.控制机器上哪些程序是允许执行的,当待运行程序被修改时,会报警提示;
2.针对合法的程序建立规则,不会每次提示;
3.通过CRC32或者MD5等校验所有可执行文件的变动,再也不怕系统文件被非法修改而不知;
4.控制“DLL注入”以及键盘记录机对特定系统函数的调用;
5.控制驱动程序的安装(包括非传统方式的驱动型漏洞-Rootkits);
6.控制诸如存取
"\Device\PhysicalMemory"对象这类底层活动;
7.阻止未经认可的代码注入,从而使任何程序都无法插入到合法的程序中以进行有害的活动;
8.控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动,
如:您可以控制您的浏览器不被除Explorer.EXE以外的任何非可信程序启动;
9.在双模式中任选其一,用户模式或管理员模式:管理员模式可设定首选项并加以密码保护防止被更改,而用户模式不能更改任何设定;
10.监控安装新程序时注册表重要
分支键的更改,受保护的注册表分支键被尝试更改时将阻止或报警;
11.管理自启动项目、当前进程等,另外提供了服务保护模块,用以监视已安装的系统服务,当新的服务被添加时,会报警提示;
12.实时监视 "启动菜单"、"启动INI文件分支",以及IE设定等(包括BHO-所谓的浏览器辅助对象,一般都是广告程序、间谍程序等垃圾);
13.通过标题黑名单过滤器阻止打
开指定的窗口或者网页;
14.支持外挂任一调试器、反病毒软件等,且该软件的扩展功能均采用外挂
插件形式实现,因此极易得到丰富的扩充;
15.本身作为服务加载,通过配置、修改可以实现隐秘的进程反杀能力。
三、下载及安装
软件小档案
安装:它的安装跟所有的Windows 软件一样,几乎没有什么好说的,一路NEXT便可,如果是正式版的,最后一个
对话框要你填入License,不用理,直接点结束便可,然后重启一下系统。重启机器之后,从开始菜单中找到,打开这个System Safety Monitor,然后便开始激动人心的系统安全之旅,这个是绿色软件联盟绿化过的软件,所以上面的动作可以省略....
四、软件使用
软件运行之后,会出一个漂亮的绿色的LOGO闪屏:
然后就缩小到窗口的最右下角,双击打开:
1、更改界面语言
默认语言界面是英文,为了习惯也为了便于理解,我们先要把界面改为简体中文的:
很简单的操作,现在看着,是不是舒服和熟悉一点了?
2、为当前所有运行的程序添加可信任的规则
Windows在启动之后,会有很多后台的服务进程启动,我们要为这些进程添加规则,相当于是信任这些程序,以后就不会再询问了。当然,这时的前题是你的机器本身没有中招,没有可疑的程
序已经运行了,这个时候,可以把一些不必要的程序都先关了:
切换“进程监控器”,然后在进程处点右键,从弹出的菜单中选择“信任所有运行中的进程”便可。点完之后,我们可以换到‘规则“的选项中,看一下SSM自动建立的规则。对于一般用户来说,这个自动建议的规则已经可以适用绝大部分情况了。至于进程的高级控制部分,我们以后会专门描述。
3、设置系统日志
SSM提供了强大的日志功能,几乎进程做的绝大部分动作都可以记下来,下面切换到“选项”——“日志”:
要选中”启用”,以及“程序启动”,“设置全局挂钩”,“加载驱动”,“模块”,“显示程序日志窗口”等,如果比较熟悉这些,可以根据需要,自己选择。
4、开始启用SSM控制
上面的操作完了之后,已经为当前运行的程序添加了规则,但SSM实际上还没有工作,我们要把它启用。切换到“规则”窗口
点击那个下拉的小三角箭头,然后选择“启动所有规则”,再点一下那个“应用设定”,关闭窗口便可,基本设置就完了,应该还是挺简单的吧?下面我们来看看具体的效果。
四、系统测试
1、启动未知的进程
如果这个时候,运行一个未知的程序,就会弹出一个窗口,可以显示程序的各种参数,然后让用户确认,比如现在我们打开IE浏览器(假定刚才上面第2步的时候没有为IE设置规则,当然你可以任意选择一个刚才没有运行的程序):
解释一下几个含义:
父进程:是谁启动了这个进程,这里是Exploere.exe,也就是资源管理器。有时我们看到突然弹出一个广告窗口,就可以通过这个办法来观察是哪个进程弹的广告,然后再想办法清除。
子级进程:当前要启动的程序,即要执行的程序。
允许:只允许这一次运行,下一次还会继续提示。
阻止:只阻止这一次运行,下一次
还会继续提示。
创建此规则的永久性规则:针对上面的这个允许或者阻止操作,比如这个IE,我们不可能每次都去点允许,那个太烦了。选择之个之后,就会自动增加一个规则,以后就照这个规则来处理,不会每次提问。
技术信息:执行进程ID,以及进程的路径,参数等。这样你可以知道哪个程序要运行,然后决定它是否是合法的,有用的。
2、拦截移动硬盘U盘的Autorun病毒
现在用移动硬盘或者U盘的越来越多,也很普遍,但是经常我们不知不觉就在传染着病毒,它主要利用了Windows 提供的根目录下的autorun.inf这个文件的特性,它就是指定了一个可执行的命令,因为是自动运行,隐蔽性很强。一般因为是熟人拿过来或者是同事同学之类的,根本防不胜防(天知道这个时候,那些杀毒软件在干嘛,大部分时候都查不到的)。下面就做这一个测试,
把有毒的U盘挺入,马上跳出来一个提示:
父进程rundll32.exe是一个Windows的合法程序,但是每多病毒都是通过它加载的,强烈建议不要为它设定永久性允许规则!它要运行一个
H:\setup.pif这个进程,一看就是一个可疑的,点“阻止”,中止它的运行。再打开U盘,显示一下隐藏文件,果然有一个autorun.inf文件和setup.pif 文件,经检查,就是一个隐藏的病毒。
3、恶意篡改主页
在我的BLOG中,针对飘雪/飞雪
/MY123之类专门修改IE浏览器首页的,相信大家也记忆深刻,恨之入骨。当然,SSM也提供了对所有注册表敏感键值的保护,下面我们做一个测试,比如现在中了一个BHO的插件,因为没有单独的进程,它是利用IE来修改首页的,马上SSM就拦截了:
这个时候,我们就可以点阻止,来拒绝对这个注册表健值的更改,成功地保护了系统首页。
4、恶意捆绑软件测试
常常最头疼的,就是网上下载的软件,被捆绑了许多恶意插件,用的时候,一不小心就是中上了,无论你再小心都不行,象卖拐中的那句:防不甚防啊!我现在装所有的软件的时候,都会把SSM 打开,除非是一些绝对信任的。做这一个测试,是有风险的,直接在自己机器上装病毒(有时想找这类软件,还不容易,晕):
这个程序运行的时候,首先释放到temp目录下,然后写自启动,让机器下次自动启动:
接下来运行另外一个流氓软件安装:
接下来再运行一个安装: