日历

2007年11月27日星期二

ssm/System Safety Monitor-我第一个使用的hips


转贴自:
http://bbs.kafan.cn/viewthread.php?tid=47638&extra=page%3D1
http://bbs.kafan.cn/viewthread.php?tid=108890&extra=page%3D1

一、SSM的特点:
使用System Safety Monitor (SSM), 您可以实时监控您的系统活动、终止那些您不需要或不希望发生的系统活动。SSM 包括以下三个可以独立运行的模块:

1、应用程序监控模块(Application Monitoring Module ,AMM):

AMM监控所有已经启动的应用程序,并允许您进行下列控制:
(1)“DLL-注入”和“代码注入”活动;键盘间谍程序及键盘驱动程序"rootkits"的安装。
(2)允许或拒绝应用程序启动。
(3)哪些应用程序可以(或不能)启动用户指定的某些其它应用程序;哪些应用程序可以(或不能)被用户指定其它应用程序启动。
(4)如果某个应用程序变更、修改或升级后,它能(或不能)被启动。

此外,AMM还为您提供了以下几个工具:
(1)进程启动/终止工具;
(2)进程启动/终止通知;
(3)使进程驻留在内存中的选项(重新启动被关闭或中止的某进程);
(4)中止/重启某个进程。只有WinNT 系统( Windows NT, Windows 2000, Windows XP, Windows 2003)才能使用这个工具;
(5)附加/去除附加到某个指定的应用程序的.DLL及其列表(仅限于NT系统);
(6)将正在运行的应用程序图象保存到文件中(仅限于NT系统)。

2、附加插件模块:

这些模块监控重要的注册表键、启动文件夹、.ini文件、已安装的服务、包括BHO在内的IE浏览器设置。
这些模块可以具有下列功能:
(1)当已安装项目发生改变时及时通知您;
(2)自动阻止某些具有潜在危险的修改;
(3)您可以变更“修改”的”允许/阻止”状态。

3、WINDOWS监控模块(Window Monitoring Module ,WMM):
WMM监控已打开的窗口,并自动关闭已列入“关键词黑名单”的窗口。

此外,借助于WMM,您还可以进行下列操作:

(1)已打开窗口列表;
(2)显示隐藏的窗口,或隐藏显示的窗口;
(3)解锁那些可见但不能使用的的窗口。

SSM如何处理父进程,子进程?

先说说什么是进程。打个比方说,我们有个文件名叫做a.exe的程序。我们执行这个程序后,就可以在任务管理器里也看见一个a.exe,这个东西就是进程。进程是磁盘上的程序执行后被加载入内存的一些数据。每一个可以执行的程序都可以产生自己的进程。这个定义不是很准确,但这一点不是很重要,明白了固然好,不懂也无所谓。

如果一个进程a.exe执行了另一个进程b.exe,那a.exe就是b.exe的父进程,b.exe是a.exe的子进程,父亲和儿子的关系。这是使用任何款式HIPS的AD模块的核心概念,SSM也不例外。在SSM 里的“规则”篇里双击任何一个应用程序规则后,便会出现如下的窗口:



这是显示cmd.exe进程的高级属性窗口,“子级”选项代表该进程是否能当cmd.exe的子进程,“父级”则代表是否能当cmd.exe的父进程
换句话来说,SSM的高级属性让用户控制哪些进程有权限来执行哪些进程
拿这个图片当例子,IEXPLORE.EXE的“父级”是个空格子,如果IEXPLORE.EXE试图执行cmd.exe的话,会被SSM阻止
explorer.exe的“父级”是个打钩,如果explorer.exe试图执行cmd.exe的话,SSM会允许

在窗口下边的默认操作也有子级父级选项,如果上边的选项没设置好的话,这两个选项便会起作用
再拿这个图档例子,svchost.exe都没有指定好是否可以当cmd.exe的父进程子进程,子级和父级两个格子都是问号
如果svchost.exe试图执行cmd.exe(svchost.exe当cmd.exe的父进程),SSM会先询问是否要放行或阻止
如果cmd.exe试图执行svchost.exe(svchost.exe当cmd.exe的子进程),SSM会自动允许

就单用父进程子进程的道理,要保护电脑不中毒已足够了

如何设置SSM?

* 安装好SSM后,打开新手模式
* 重启电脑(这个重要),再把常用的程序都运行一遍。SSM会通过新手模式自动为程序创建AD规则,然后把新手模式关掉
* 设置以下进程的“默认操作”:
o svchost.exe - 子级,父级都询问
o cmd.exe - 子级,父级都询问
o iexplore.exe(或你所使用的浏览器)- 子级,父级都询问
o wscript.exe - 子级,父级都询问
o explorer.exe - 子级允许,父级询问
o rundll32.exe - 子级允许,父级询问
o ntvdm.exe - 子级允许,父级询问
o services.exe - 子级允许,父级询问
o winlogon.exe - 子级允许,父级询问
o msiexec.exe - 子级允许,父级询问


* 设置以下进程的高级属性:
o IEXPLORE.EXE - 禁止ntvdm.exe,cmd.exe,wscript.exe子级,允许explorer.exe父级
o rundll32.exe - 允许svchost.exe,services.exe,explorer.exe父级
o cmd.exe - 允许explorer.exe父级
o msiexec.exe - 允许msiexec.exe,explorer.exe父级,允许msiexec.exe子级


* 如果运用程序规则里找不到一些以上的程序,例如msiexec.exe,那再打开新手模式,运行那些找不到的程序,关掉新手模式。SSM自动创建规则后,根据第3,4步骤动手设置
* SSM设置完毕

下载:
http://cachefile.fs2you.com/zh-cn/download/215f34fadf4a6a68c728d89224c189ae/ssm-2.0.8.583-free.exe
发帖者 时间:
标签:

没有评论:

发表评论

订阅: 博文评论 (Atom)
Blog Ping