转俄罗斯的系统监视器SSM

    不少读者对system safety monitor(以下简称为ssm)很感兴趣。它是一款俄罗斯出品的系统监控软件，通过监视系统特定的文件(如注册表等)及应用程序，达到保护系统安全的目的。在某些功能上比winpatrol更强大。

　　安装并启动(可能需手动到安装目录中运行syssafe.exe)ssm后，点击弹出的logo窗口中的close this windows(关闭窗口)项，关闭该窗口。这时ssm已经启动，并开始进行监视，我们可以在系统托盘内看到软件图标。

ssm贴身保护你的windows

　　ssm既然自称system safety monitor(系统安全监视器)，那么就要看看ssm的拿手绝活。

小提示　让它随windows一同启动

　　只有让ssm随时启动才能起到监视和保卫系统安全的功效，因此要设置让其自动随windows一同启动。右击系统托盘的软件图标，选择 preferences(参数选项)，打开system safety monitor - preferences窗口，点击options(选项)标签。确认左侧所选为general(常规)，然后将右侧ssm startup mode(ssm启动模式)项修改为start automatically as aservice(以服务形式加载)(见图1)。

图1

1.打开ssm的监控

　　第一步:打开system safety monitor - preferences窗口，点击plugins(插件)标签。

　　第二步:确认enable plugins(激活插件)项已被勾选，这时ssm可以对start menu(“开始”菜单中的启动组)、services(加载的系统服务)、registry(注册表启动项)、ini files(系统ini文件)及iexplore(ie)实施全方位监控(见图2)。

图2

2.任意添加监控项目

　　相比我们以前强烈推荐的winpatrol，ssm更优秀之处在于可以“自定义”，比如想让ssm监视一个注册表中[hkey_classes_root\.abs]下“默认”键的键值改动，你可以手工添加。

　　第一步:同样是在plugins标签下，在窗口右侧选择registry→configuration。

　　第二步:在右侧窗格中右击，选择add new item(添加新项目)，在弹出窗口的path中输入hkey_classes_root\.abr，在name中输入“默认”，在value中输入“默认”键键值的，即photoshop.brushesfile，在value type下选择0 string即可。

　　第三步:设置完成后，当该键值被修改后，ssm就会弹出警告窗口(见图3)，按f2键可阻止修改，按f3键同意修改。

图3

　　对一个键值的修改已经如此，对于那些网络病毒就更能轻松解决。笔者曾用“证券大盗”等多款病毒对ssm进行测试，它都能轻松应对。

功能强大的程序监控

　　ssm另一强大而有用的监控就是应用程序监控，它能监控程序开启过程的一举一动。并且不管这个程序是以何种方式开启，无论是用户双击直接打开，还是由其他程序间接打开，甚至是由于系统漏洞而被悄悄执行的错误程序(包括病毒)，也不管这个程序是何种格式(exe/dll等)，ssm只要发现有新程序被开启，均会报告用户，最终由用户决定该程序是否运行。

1.实战ssm的程序监控

　　现在很多软件的安装程序，在给用户安装软件的同时，还会“默认”安装一些用户不需要的东西(广告/插件等)。一旦你安装了这种软件就同时在不知情之下往硬盘“塞垃圾”。这时，ssm就能发挥拦截作用了。

　　ssm默认是未开启程序监控，需要用户自行开启，方法很简单，只要右击系统托盘内软件图标，选择watch app activity(监视应用程序)即可。

　　笔者再运行含有广告插件的软件，如“qq自动聊天器”，在安装时除了原程序，ssm提示还有新程序想运行。

　　在这里，ssm的程序监控对于程序开启提供五个不同的选择。所对应的快捷按键分别是f1到f5，每项都各有含义:f1是“总是允许”，f2是“总是阻止”，f3是“只允许系统管理员，不包括其他用户”，f4是“只允许这一次”(默认选项)，而f5是“只阻止这一次”，而这里自然要按f2或f5。

　　之后继续安装，但居然又出现了广告插件，自然使用相同方法将其拦截即可。

　　如果是病毒，ssm也同样不含糊:笔者空闲时也喜欢下载电子书看看。但如果下载下来的电子书是夹带了病毒，并且防病毒软件没有检测到怎么办？

　　不要紧，还有ssm。前段时间笔者从网下载了exe格式的电子书，打开该电子书后，ssm的程序监控很自然请求用户选择，由于是要看书，所以是选择 f1、f3或f4通过啦，可是令人意外的是，又弹出ssm的警告，还有程序要运行，书打开了，自然是有问题，不管好坏先按下f2或f5阻止运行。

　　后经过分析发现原来这本电子书使用了加壳处理，并绑定了病毒，虽然绕过了病毒防火毒，但ssm是从不会让你失望的。

小提示

　　点击scan项，可启动杀毒软件对程序进行杀毒。但要注意需要先在ssm中设置好杀毒软件目录，否则，这里会显示locate。杀毒软件设置方法如下:打开system safety monitor - preferences窗口，点击options项，在窗口左侧点击misc，然后在窗口右侧的antivirus中设置即可(见图4)。

图4

2.添加修改应用程序规则

　　如果希望针对不同的程序设置不同规则，可以在ssm中进行详细设置。

　　第一步:打开system safety monitor - preferences窗口，点击application rules(应用程序规则)标签。

　　第二步:这里列出了所有正在运行的程序，然后将rule(规则)默认的allowed(f3)修改为blocked(f2)则会阻止该程序运行。

　　第三步:双击程序，可打开针对该程序的高级规则设置窗口，可进一步设置该程序是否能被其他软件所调用或是调用其他软件(见图5)。

图5

小提示　ssm在监控之外

★“黑名单”功能:如果不想别人使用你的msn messenger及outlook express，可以打开system safety monitor - preferences窗口，点击windows标签下的filters项，添加上“msn messenger”(不含引号)及“收件箱 - outlook express”(不含引号)两项，再右击系统托盘ssm图标，勾选filter windows captions(窗口标题过滤)项。

　　这样两个程序只要一打开就马上消失掉。你可根据自己的需要将其他程序窗口标题栏填到这里即可。

★导出配置文件:点击system safety monitor - preferences窗口中service标签下的save current config file as备份你的配置文件，以便升级或重装时使用。