扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年9月16日
关键字: SSM
不少读者对system safety monitor(以下简称为ssm)很感兴趣。它是一款俄罗斯出品的系统监控软件,通过监视系统特定的文件(如注册表等)及应用程序,达到保护系统安全的目的。在某些功能上比winpatrol更强大。
安装并启动(可能需手动到安装目录中运行syssafe.exe)ssm后,点击弹出的logo窗口中的close this windows(关闭窗口)项,关闭该窗口。这时ssm已经启动,并开始进行监视,我们可以在系统托盘内看到软件图标。
ssm贴身保护你的windows
ssm既然自称system safety monitor(系统安全监视器),那么就要看看ssm的拿手绝活。
小提示 让它随windows一同启动
只有让ssm随时启动才能起到监视和保卫系统安全的功效,因此要设置让其自动随windows一同启动。右击系统托盘的软件图标,选择 preferences(参数选项),打开system safety monitor - preferences窗口,点击options(选项)标签。确认左侧所选为general(常规),然后将右侧ssm startup mode(ssm启动模式)项修改为start automatically as aservice(以服务形式加载)(见图1)。
图1
1.打开ssm的监控
第一步:打开system safety monitor - preferences窗口,点击plugins(插件)标签。
第二步:确认enable plugins(激活插件)项已被勾选,这时ssm可以对start menu(“开始”菜单中的启动组)、services(加载的系统服务)、registry(注册表启动项)、ini files(系统ini文件)及iexplore(ie)实施全方位监控(见图2)。
图2
2.任意添加监控项目
相比我们以前强烈推荐的winpatrol,ssm更优秀之处在于可以“自定义”,比如想让ssm监视一个注册表中[hkey_classes_root\.abs]下“默认”键的键值改动,你可以手工添加。
第一步:同样是在plugins标签下,在窗口右侧选择registry→configuration。
第二步:在右侧窗格中右击,选择add new item(添加新项目),在弹出窗口的path中输入hkey_classes_root\.abr,在name中输入“默认”,在value中输入“默认”键键值的,即photoshop.brushesfile,在value type下选择0 string即可。
第三步:设置完成后,当该键值被修改后,ssm就会弹出警告窗口(见图3),按f2键可阻止修改,按f3键同意修改。
图3
对一个键值的修改已经如此,对于那些网络病毒就更能轻松解决。笔者曾用“证券大盗”等多款病毒对ssm进行测试,它都能轻松应对。
功能强大的程序监控
ssm另一强大而有用的监控就是应用程序监控,它能监控程序开启过程的一举一动。并且不管这个程序是以何种方式开启,无论是用户双击直接打开,还是由其他程序间接打开,甚至是由于系统漏洞而被悄悄执行的错误程序(包括病毒),也不管这个程序是何种格式(exe/dll等),ssm只要发现有新程序被开启,均会报告用户,最终由用户决定该程序是否运行。
1.实战ssm的程序监控
现在很多软件的安装程序,在给用户安装软件的同时,还会“默认”安装一些用户不需要的东西(广告/插件等)。一旦你安装了这种软件就同时在不知情之下往硬盘“塞垃圾”。这时,ssm就能发挥拦截作用了。
ssm默认是未开启程序监控,需要用户自行开启,方法很简单,只要右击系统托盘内软件图标,选择watch app activity(监视应用程序)即可。
笔者再运行含有广告插件的软件,如“qq自动聊天器”,在安装时除了原程序,ssm提示还有新程序想运行。
在这里,ssm的程序监控对于程序开启提供五个不同的选择。所对应的快捷按键分别是f1到f5,每项都各有含义:f1是“总是允许”,f2是“总是阻止”,f3是“只允许系统管理员,不包括其他用户”,f4是“只允许这一次”(默认选项),而f5是“只阻止这一次”,而这里自然要按f2或f5。
之后继续安装,但居然又出现了广告插件,自然使用相同方法将其拦截即可。
如果是病毒,ssm也同样不含糊:笔者空闲时也喜欢下载电子书看看。但如果下载下来的电子书是夹带了病毒,并且防病毒软件没有检测到怎么办?
不要紧,还有ssm。前段时间笔者从网下载了exe格式的电子书,打开该电子书后,ssm的程序监控很自然请求用户选择,由于是要看书,所以是选择 f1、f3或f4通过啦,可是令人意外的是,又弹出ssm的警告,还有程序要运行,书打开了,自然是有问题,不管好坏先按下f2或f5阻止运行。
后经过分析发现原来这本电子书使用了加壳处理,并绑定了病毒,虽然绕过了病毒防火毒,但ssm是从不会让你失望的。
小提示
点击scan项,可启动杀毒软件对程序进行杀毒。但要注意需要先在ssm中设置好杀毒软件目录,否则,这里会显示locate。杀毒软件设置方法如下:打开system safety monitor - preferences窗口,点击options项,在窗口左侧点击misc,然后在窗口右侧的antivirus中设置即可(见图4)。
图4
2.添加修改应用程序规则
如果希望针对不同的程序设置不同规则,可以在ssm中进行详细设置。
第一步:打开system safety monitor - preferences窗口,点击application rules(应用程序规则)标签。
第二步:这里列出了所有正在运行的程序,然后将rule(规则)默认的allowed(f3)修改为blocked(f2)则会阻止该程序运行。
第三步:双击程序,可打开针对该程序的高级规则设置窗口,可进一步设置该程序是否能被其他软件所调用或是调用其他软件(见图5)。
图5
小提示 ssm在监控之外
★“黑名单”功能:如果不想别人使用你的msn messenger及outlook express,可以打开system safety monitor - preferences窗口,点击windows标签下的filters项,添加上“msn messenger”(不含引号)及“收件箱 - outlook express”(不含引号)两项,再右击系统托盘ssm图标,勾选filter windows captions(窗口标题过滤)项。
这样两个程序只要一打开就马上消失掉。你可根据自己的需要将其他程序窗口标题栏填到这里即可。
★导出配置文件:点击system safety monitor - preferences窗口中service标签下的save current config file as备份你的配置文件,以便升级或重装时使用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。