软件开始工作后让我们来看看效果如何吧
一、系统测试 1、启动未知的进程
如果这个时候,运行一个未知的程序,就会弹出一个窗口,可以显示程序的各种参数,然后让用户确认,比如现在我们打开IE浏览器(假定刚才上面第2步的时候没有为IE设置规则,当然你可以任意选择一个刚才没有运行的程序):
图7
解释一下几个含义:
父进程:是谁启动了这个进程,这里是Exploere.exe,也就是资源管理器。有时我们看到突然弹出一个广告窗口,就可以通过这个办法来观察是哪个进程弹的广告,然后再想办法清除。
子级进程:当前要启动的程序,即要执行的程序。
允许:只允许这一次运行,下一次还会继续提示。
阻止:只阻止这一次运行,下一次还会继续提示。
创建此规则的永久性规则:针对上面的这个允许或者阻止操作,比如这个IE,我们不可能每次都去点允许,那个太烦了。选择之个之后,就会自动增加一个规则,以后就照这个规则来处理,不会每次提问。
技术信息:执行进程ID,以及进程的路径,参数等。这样你可以知道哪个程序要运行,然后决定它是否是合法的,有用的。
2、拦截移动硬盘U盘的Autorun病毒
现在用移动硬盘或者U盘的越来越多,也很普遍,但是经常我们不知不觉就在传染着病毒,它主要利用了Windows提供的根目录下的autorun.inf这个文件的特性,它就是指定了一个可执行的命令,因为是自动运行,隐蔽性很强。一般因为是熟人拿过来或者是同事同学之类的,根本防不胜防(天知道这个时候,那些杀毒软件在干嘛,大部分时候都查不到的)。下面就做这一个测试,把有毒的U盘挺入,马上跳出来一个提示:
图8
父进程rundll32.exe是一个Windows的合法程序,但是每多病毒都是通过它加载的,强烈建议不要为它设定永久性允许规则!它要运行一个H:setup.pif这个进程,一看就是一个可疑的,点“阻止”,中止它的运行。再打开U盘,显示一下隐藏文件,果然有一个autorun.inf文件和setup.pif文件,经检查,就是一个隐藏的病毒。
3、恶意篡改主页
在我的BLOG中,针对飘雪/飞雪/MY123之类专门修改IE浏览器首页的,相信大家也记忆深刻,恨之入骨。当然,SSM也提供了对所有
注册表敏感键值的保护,下面我们做一个测试,比如现在中了一个BHO的插件,因为没有单独的进程,它是利用IE来修改首页的,马上SSM就拦截了:
图9
这个时候,我们就可以点阻止,来拒绝对这个
注册表健值的更改,成功地保护了系统首页。
4、恶意捆绑软件测试
常常最头疼的,就是网上下载的软件,被捆绑了许多恶意插件,用的时候,一不小心就是中上了,无论你再小心都不行,象卖拐中的那句:防不甚防啊!我现在装所有的软件的时候,都会把SSM打开,除非是一些绝对信任的。做这一个测试,是有风险的,直接在自己机器上装病毒(有时想找这类软件,还不容易,晕):
这个程序运行的时候,首先释放到temp目录下,然后写自启动,让机器下次自动启动:
图10
接下来运行另外一个流氓软件安装:
图11
接下来再运行一个安装:
图12
接下来。。。一共点了七八次,其实根本就是一个病毒软件包,捆绑了七八个恶意软件,如果没有SSM,那后果就是很惨.....看到光标不停地闪,机器就得非常慢,然后广告窗口接二离三地弹出来——相信这个遭遇很多人都遇到过。
二、其它 SSM的上述强大功能为木马流氓软件防范乃至整个系统的全面监控提供了绝佳的解决
方案,使用上来说,稍微难了一点,但是对于普通用户,也是可以使用的。
如果不知道进程,软件什么的,提供的一个原则就是:看那个软件位于TEMP目录下,或者突然运行了,就点“阻止”。如果这时你发觉有一个正常的程序不能运行了,再运行一次,点允许就是了。而且一般如果不上网,或者系统没有其它变动,可以不运行SSM。SSM的系统占用非常少,这点跟那些杀毒软件比起来,可以忽略不计,也是我非常推荐的一个原因。
我自己在分析病毒流氓软件的时候,SSM是必备的。平常机器上,也只装一个SSM,其它什么杀毒,防火墙通通不要。在我的试验中,无论是木马,流氓软件,病毒,键盘记录机等对自己的机器进行攻防实训,均被其成功截获,这是一款你找不出缺点的软件。
由于种种原因,SSM应用还不普及,所以专门写了这篇普及的文章。
三、后记 写完发觉已经深夜快2点了,本文首发于网络安全日志www.nslog.cn。这是一篇姗姗来迟的文章,从有想法写,甚至10月份做过预告,也在多种场合下写过:等我的关于防护的文章。结果今天才写出来,非常对不起信任和等待的朋友们,希望这篇文章能让你们早日摆脱流氓软件的烦恼。
由于面向读者的关系,我尽可能用了浅显的语言和操作,因为无论用多少赞美的言语都无法表现出SSM的优秀和我对它的喜爱,我希望你们也可以同我一样。基本我能向你们的保证是:只要用好了SSM,没有流氓木马可以入侵你的机器!
NSLOG推荐,必属精品!
其实SSM的功能远不止上面这些描述的这些,限于篇幅的关系,权当一篇入门以及抛砖引玉的文章。将来会另外专门写一些关于SSM高级操作的文章,请随时关注我的BLOG:www.nslog.cn,希望不会让你们等太久^_^
如果喜欢,欢迎转载,唯一的要求是,保持文章完整性,不要删除我的个人签名信息。我花了极大的精力来写这些文章,请保留对我起码的尊重。如果觉得用了有意见或者建议,欢迎到与我联系nslog.cn@gmail.com。
关注天下网吧微信,了解网吧网咖经营管理,安装维护: