至顶网›安全频道 ›和流氓、病毒彻底断绝让我们认识SSM防火墙(2)

和流氓、病毒彻底断绝让我们认识SSM防火墙(2)

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

　跟流氓软件说再见，不会中了莫名其妙的病毒，不会不知不觉被装上木马或者广告软件，调试程序及更多，了解Windows系统，了解程序调度以及行为，学习或者DEBUG流氓软

来源：论坛整理 2008年7月15日

关键字：安全防范病毒查杀病毒

四、软件使用

软件运行之后，会出一个漂亮的绿色的LOGO闪屏：

然后就缩小到窗口的最右下角，双击打开：

1、更改界面语言

默认语言界面是英文，为了习惯也为了便于理解，我们先要把界面改为简体中文的：

很简单的操作，现在看着，是不是舒服和熟悉一点了？

2、为当前所有运行的程序添加可信任的规则。

Windows在启动之后，会有很多后台的服务进程启动，我们要为这些进程添加规则，相当于是信任这些程序，以后就不会再询问了。当然，这时的前题是你的机器本身没有中招，没有可疑的程序已经运行了，这个时候，可以把一些不必要的程序都先关了：

切换“进程监控器”，然后在进程处点右键，从弹出的菜单中选择“信任所有运行中的进程”便可。点完之后，我们可以换到‘规则“的选项中，看一下SSM自动建立的规则。对于一般用户来说，这个自动建议的规则已经可以适用绝大部分情况了。至于进程的高级控制部分，我们以后会专门描述。

3、设置系统日志

SSM提供了强大的日志功能，几乎进程做的绝大部分动作都可以记下来，下面切换到“选项”——“日志”：

要选中”启用”，以及“程序启动”，“设置全局挂钩”，“加载驱动”，“模块”，“显示程序日志窗口”等，如果比较熟悉这些，可以根据需要，自己选择。

4、开始启用SSM控制

上面的操作完了之后，已经为当前运行的程序添加了规则，但SSM实际上还没有工作，我们要把它启用。切换到“规则”窗口：

点击那个下拉的小三角箭头，然后选择“启动所有规则”，再点一下那个“应用设定”，关闭窗口便可，基本设置就完了，应该还是挺简单的吧？下面我们来看看具体的效果。

四、系统测试

1、启动未知的进程

如果这个时候，运行一个未知的程序，就会弹出一个窗口，可以显示程序的各种参数，然后让用户确认，比如现在我们打开IE浏览器（假定刚才上面第2步的时候没有为IE设置规则，当然你可以任意选择一个刚才没有运行的程序）：

解释一下几个含义：

父进程：是谁启动了这个进程，这里是Exploere.exe，也就是资源管理器。有时我们看到突然弹出一个广告窗口，就可以通过这个办法来观察是哪个进程弹的广告，然后再想办法清除

子级进程：当前要启动的程序，即要执行的程序

允许：只允许这一次运行，下一次还会继续提示

阻止：只阻止这一次运行，下一次还会继续提示

创建此规则的永久性规则：针对上面的这个允许或者阻止操作，比如这个IE，我们不可能每次都去点允许，那个太烦了。选择之个之后，就会自动增加一个规则，以后就照这个规则来处理，不会每次提问。

技术信息：执行进程ID，以及进程的路径，参数等。这样你可以知道哪个程序要运行，然后决定它是否是合法的，有用的。

2、拦截移动硬盘U盘的Autorun病毒

现在用移动硬盘或者U盘的越来越多，也很普遍，但是经常我们不知不觉就在传染着病毒，它主要利用了Windows提供的根目录下的autorun.inf这个文件的特性，它就是指定了一个可执行的命令，因为是自动运行，隐蔽性很强。一般因为是熟人拿过来或者是同事同学之类的，根本防不胜防（天知道这个时候，那些杀毒软件在干嘛，大部分时候都查不到的）。下面就做这一个测试，把有毒的U盘挺入，马上跳出来一个提示：

父进程rundll32.exe是一个Windows的合法程序，但是每多病毒都是通过它加载的，强烈建议不要为它设定永久性允许规则！它要运行一个H:setup.pif这个进程，一看就是一个可疑的，点“阻止”，中止它的运行。再打开U盘，显示一下隐藏文件，果然有一个autorun.inf文件和setup.pif文件，经检查，就是一个隐藏的病毒。

3、恶意篡改主页

在我的BLOG中，针对飘雪/飞雪/MY123之类专门修改IE浏览器首页的，相信大家也记忆深刻，恨之入骨。当然，SSM也提供了对所有注册表敏感键值的保护，下面我们做一个测试，比如现在中了一个BHO的插件，因为没有单独的进程，它是利用IE来修改首页的，马上SSM就拦截了：