信不信由你!防流氓的終極軟件

一、寫在前麵

請花15分鍾來學習一下，你可以收獲的：

　　1、跟流氓軟件說再見
　　2、不會中了莫名其妙的病毒
　　3、不會不知不覺被裝上木馬或者廣告軟件
　　4、調試程序及更多（高級用戶）
　　5、了解Windows係統，了解程序調度以及行為（高級）
　　6、學習或者DEBUG流氓軟件（高級）

　　教程讀者：包括但不限於普通用戶，隻知道上QQ或看新聞，深受流氓軟件困擾，三五天裝一次係統的。

　　教程目的：了解System Safety Monitor(SSM)這個軟件，學會使用，保護自己的機器。

　　教程目標：安裝，以及簡單的設置使用。可以肯定的，如果裝了SSM，流氓軟件基本沒有機會可以進入你的機器。

二、緒言

　　在360(www.360safe.com)做版主的時候，經常遇到這們的疑問：為什麽我的機器會被偷偷地裝上流氓軟件？為什麽我的機器中了毒，為什麽防火牆不管用，為什麽殺毒軟件也視而不見？幾天就要重裝一次機器。身邊的朋友也是，好象我們已經把能裝的全裝上了，為什麽還會有病毒、流氓軟件在我們的機器上偷偷運行？常言道：常在河邊走，哪有不濕鞋？難道真的沒有什麽辦法？回答是：當然有的。這就是我們今天要隆重介紹的SSM(System Safety Monitor)。

三⒃?硪約昂蛻倍救砑?⒎闌鵯降那??lt;br />
　　我們知道，在操作係統的環境下，任何一個程序都是各種代碼的集合體，啟動的時候，向操作係統申請資源，然後做各種不同的動作。所有的軟件都要這樣，隻是細節上有點差別。

　　病毒和木馬也是一樣的道理，不管如何，它需要運行，需要安裝，需要執行。比如我們安裝一個軟件的時候，一些下載站點或者共享軟件作者在安裝程序裏偷偷捆綁上其它軟件（目前大多數流氓軟件是通過這個途徑傳播的），或者我們上網的時候，通過瀏覽器或者操作係統的漏洞，偷偷下載一些軟件，然後執行，結果就中招了。

　　假定我們能知道所有Windows係統的運行程序的過程以及觀察進程的各種動作，不就可以斷絕一切非法操作了？Windows對大多數用戶來說，還是一個黑匣了，一個神秘的東西，除了一些專業人員，很少有人知道那些進程，那些軟件是什麽意思。那麽對於普通用戶，就一點辦法沒有了嗎？答案就是：SSM。

　　System Safety Monitor簡稱SSM，是專門針對有害程序及間諜程序等的Windows防護軟件範疇，卻並非反病毒軟件，它並不提供針對特定有害程序的查找及移除特性，也不提供係統遭有害程序破壞後的恢複特性，而是真正的“防患於未然”！我們平常所用的防火牆如天網，Windows自帶的防火牆，它可監控網絡流量並選擇性地阻止某些程序對網絡資源的存取，而SSM可調整程序性能並控製它們對本地資源的存取，在這層意義上我們可將SSM稱為係統防火牆。

　　而我們最依賴的殺毒軟件如瑞星，金山，卡巴斯基，它們的原理基本都是不停地升級特征碼，然後根據這個特征碼來判斷文件是否是病毒，所以理論上來說，殺毒軟件是跟著病毒跑，永遠需要不停地升級，可能也正因為這個原因，各大升毒軟件廠商最希望看到這種現象，可以慢慢坐著收錢。

來來看看SSM能做什麽：

　　它是一款對係統進行全方位監測的防火牆工具，它不同於傳統意義上的防火牆，是針對操作係統內部的存取管理，因此與任何網絡/病毒防火牆都是不相衝突的。該軟件獲得了WebAttack的五星編輯推薦獎，十分優秀！

　　更能得可貴的是，這麽好的軟件，它竟然是免費的，並且支持包括中文在內的多國語言！（從2.0開始分為免費和收費兩個版本，基本沒有區別）

功能特性

　　1.控製機器上哪些程序是允許執行的，當待運行程序被修改時，會報警提示；
　　2.針對合法的程序建立規則，不會每次提示；
　　3.通過CRC32或者MD5等校驗所有可執行文件的變動，再也不怕係統文件被非法修改而不知；
　　4.控製“DLL注入”以及鍵盤記錄機對特定係統函數的調用；

　5.控製驅動程序的安裝（包括非傳統方式的驅動型漏洞－Rootkits）；
　　6.控製諸如存取 "\Device\PhysicalMemory"對象這類底層活動；
　　7.阻止未經認可的代碼注入，從而使任何程序都無法插入到合法的程序中以進行有害的活動；
　　8.控製哪些程序允許啟動其它程序、哪些程序不允許被其它程序啟動，如：您可以控製您的瀏覽器不被除Explorer.EXE以外的任何非可信程序啟動；
　　9.在雙模式中任選其一，用戶模式或管理員模式：管理員模式可設定首選項並加以密碼保護防止被更改，而用戶模式不能更改任何設定；
　　10.監控安裝新程序時注冊表重要分支鍵的更改，受保護的注冊表分支鍵被嚐試更改時將阻止或報警；
　　11.管理自啟動項目、當前進程等，另外提供了服務保護模塊，用以監視已安裝的係統服務，當新的服務被添加時，會報警提示；
　　12.實時監視 "啟動菜單"、"啟動INI文件分支"，以及IE設定等（包括BHO-所謂的瀏覽器輔助對象，一般都是廣告程序、間諜程序等垃圾）；
　　13.通過標題黑名單過濾器阻止打開指定的窗口或者網頁；
　　14.支持外掛任一調試器、反病毒軟件等，且該軟件的擴展功能均采用外掛插件形式實現，因此極易得到豐富的擴充；
　　15.本身作為服務加載，通過配置、修改可以實現隱秘的進程反殺能力。
三、下載及安裝
軟件小檔案
軟件名稱：
System Safety Monitor
軟件版本：
2.2.0.602(2006/12/15)
軟件大小：
3.9M
軟件授權：
共享
適用平台：
Win9x/WinME/Win2000/XP/2003
下載地址：
點擊下載
　　安裝：它的安裝跟所有的Windows軟件一樣，幾乎沒有什麽好說的，一路NEXT便可，如果是正式版的，最後一個對話框要你填入License，不用理，直接點結束便可，然後重啟一下係統。重啟機器之後，從開始菜單中找到，打開這個System Safety Monitor，然後便開始激動人心的係統安全之旅....
四、軟件使用
　　軟件運行之後，會出一個漂亮的綠色的LOGO閃屏：

　　然後就縮小到窗口的最右下角，雙擊打開：

1、更改界麵語言
　　 默認語言界麵是英文，為了習慣也為了便於理解，我們先要把界麵改為簡體中文的：


　　很簡單的操作，現在看著，是不是舒服和熟悉一點了？
2、為當前所有運行的程序添加可信任的規則
　　Windows在啟動之後，會有很多後台的服務進程啟動，我們要為這些進程添加規則，相當於是信任這些程序，以後就不會再詢問了。當然，這時的前題是你的機器本身沒有中招，沒有可疑的程序已經運行了，這個時候，可以把一些不必要的程序都先關了：


　　切換“進程監控器”，然後在進程處點右鍵，從彈出的菜單中選擇“信任所有運行中的進程”便可。點完之後，我們可以換到‘規則“的選項中，看一下SSM自動建立的規則。對於一般用戶來說，這個自動建議的規則已經可以適用絕大部分情況了。至於進程的高級控製部分，我們以後會專門描述。
3、設置係統日誌
　　SSM提供了強大的日誌功能，幾乎進程做的絕大部分動作都可以記下來，下麵切換到“選項”——“日誌”：


　　要選中”啟用”，以及“程序啟動”，“設置全局掛鉤”，“加載驅動”，“模塊”，“顯示程序日誌窗口”等，如果比較熟悉這些，可以根據需要，自己選擇。
4、開始啟用SSM控製
　　上麵的操作完了之後，已經為當前運行的程序添加了規則，但SSM實際上還沒有工作，我們要把它啟用。切換到“規則”窗口


　　點擊那個下拉的小三角箭頭，然後選擇“啟動所有規則”，再點一下那個“應用設定”，關閉窗口便可，基本設置就完了，應該還是挺簡單的吧？下麵我們來看看具體的效果。


四、係統測試
1、啟動未知的進程
　　如果這個時候，運行一個未知的程序，就會彈出一個窗口，可以顯示程序的各種參數，然後讓用戶確認，比如現在我們打開IE瀏覽器（假定剛才上麵第2步的時候沒有為IE設置規則，當然你可以任意選擇一個剛才沒有運行的程序）：

解釋一下幾個含義：
　　父進程：是誰啟動了這個進程，這裏是Exploere.exe，也就是資源管理器。有時我們看到突然彈出一個廣告窗口，就可以通過這個辦法來觀察是哪個進程彈的廣告，然後再想辦法清除。
　　子級進程：當前要啟動的程序，即要執行的程序。
　　允許：隻允許這一次運行，下一次還會繼續提示。
　　阻止：隻阻止這一次運行，下一次還會繼續提示。
　　創建此規則的永久性規則：針對上麵的這個允許或者阻止操作，比如這個IE，我們不可能每次都去點允許，那個太煩了。選擇之個之後，就會自動增加一個規則，以後就照這個規則來處理，不會每次提問。
　　技術信息：執行進程ID，以及進程的路徑，參數等。這樣你可以知道哪個程序要運行，然後決定它是否是合法的，有用的。
2、攔截移動硬盤U盤的Autorun病毒
　　現在用移動硬盤或者U盤的越來越多，也很普遍，但是經常我們不知不覺就在傳染著病毒，它主要利用了Windows提供的根目錄下的autorun.inf這個文件的特性，它就是指定了一個可執行的命令，因為是自動運行，隱蔽性很強。一般因為是熟人拿過來或者是同事同學之類的，根本防不勝防（天知道這個時候，那些殺毒軟件在幹嘛，大部分時候都查不到的）。下麵就做這一個測試，把有毒的U盤挺入，馬上跳出來一個提示：

　　父進程rundll32.exe是一個Windows的合法程序，但是每多病毒都是通過它加載的，強烈建議不要為它設定永久性允許規則！它要運行一個H:\setup.pif這個進程，一看就是一個可疑的，點“阻止”，中止它的運行。再打開U盤，顯示一下隱藏文件，果然有一個autorun.inf文件和setup.pif文件，經檢查，就是一個隱藏的病毒。
3、惡意篡改主頁
　　在我的BLOG中，針對飄雪/飛雪/MY123之類專門修改IE瀏覽器首頁的，相信大家也記憶深刻，恨之入骨。當然，SSM也提供了對所有注冊表敏感鍵值的保護，下麵我們做一個測試，比如現在中了一個BHO的插件，因為沒有單獨的進程，它是利用IE來修改首頁的，馬上SSM就攔截了：

　　這個時候，我們就可以點阻止，來拒絕對這個注冊表健值的更改，成功地保護了係統首頁。
4、惡意捆綁軟件測試
　　常常最頭疼的，就是網上下載的軟件，被捆綁了許多惡意插件，用的時候，一不小心就是中上了，無論你再小心都不行，象賣拐中的那句：防不甚防啊！我現在裝所有的軟件的時候，都會把SSM打開，除非是一些絕對信任的。做這一個測試，是有風險的，直接在自己機器上裝病毒（有時想找這類軟件，還不容易，暈）：
　　這個程序運行的時候，首先釋放到temp目錄下，然後寫自啟動，讓機器下次自動啟動：

　　接下來運行另外一個流氓軟件安裝：

接下來再運行一個安裝：

　　接下來。。。一共點了七八次，其實根本就是一個病毒軟件包，捆綁了七八個惡意軟件，如果沒有SSM，那後果就是很慘.....看到光標不停地閃，機器就得非常慢，然後廣告窗口接二離三地彈出來——相信這個遭遇很多人都遇到過。
五、其它
　　SSM的上述強大功能為木馬流氓軟件防範乃至整個係統的全麵監控提供了絕佳的解決方案，使用上來說，稍微難了一點，但是對於普通用戶，也是可以使用的。
　　如果不知道進程，軟件什麽的，提供的一個原則就是：看那個軟件位於TEMP目錄下，或者突然運行了，就點“阻止”。如果這時你發覺有一個正常的程序不能運行了，再運行一次，點允許就是了。而且一般如果不上網，或者係統沒有其它變動，可以不運行SSM。SSM的係統占用非常少，這點跟那些殺毒軟件比起來，可以忽略不計，也是我非常推薦的一個原因。

　我自己在分析病毒流氓軟件的時候，SSM是必備的。平常機器上，也隻裝一個SSM，其它什麽殺毒，防火牆通通不要。在我的試驗中，無論是木馬，流氓軟件，病毒，鍵盤記錄機等對自己的機器進行攻防實訓，均被其成功截獲,這是一款你找不出缺點的軟件。

　　由於種種原因，SSM應用還不普及，所以專門寫了這篇普及的文章。

六、後記

　　寫完發覺已經深夜快2點了，本文首發於網絡安全日誌www.nslog.cn。這是一篇姍姍來遲的文章，從有想法寫，甚至10月份做過預告，也在多種場合下寫過：等我的關於防護的文章。結果今天才寫出來，非常對不起信任和等待的朋友們，希望這篇文章能讓你們早日擺脫流氓軟件的煩惱。

　　由於麵向讀者的關係，我盡可能用了淺顯的語言和操作，因為無論用多少讚美的言語都無法表現出SSM的優秀和我對它的喜愛，我希望你們也可以同我一樣。基本我能向你們的保證是：隻要用好了SSM，沒有流氓木馬可以入侵你的機器！

　　NSLOG推薦，必屬精品！

　　其實SSM的功能遠不止上麵這些描述的這些，限於篇幅的關係，權當一篇入門以及拋磚引玉的文章。將來會另外專門寫一些關於SSM高級操作的文章，請隨時關注我的BLOG：www.nslog.cn，希望不會讓你們等太久^_^

　　如果喜歡，歡迎轉載，唯一的要求是，保持文章完整性，不要刪除我的個人簽名信息。我花了極大的精力來寫這些文章，請保留對我起碼的尊重。如果覺得用了有意見或者建議，歡迎到與我聯係nslog.cn#gmail.com。