反流氓軟體終極篇：SSM防火牆

一、寫在前面
   請花15分鐘來學習一下,你可以收穫的:
      1、跟流氓軟體說再見
      2、不會中了莫名其妙的病毒
      3、不會不知不覺被裝上木馬或者廣告軟體
      4、調試程序及更多(高級用戶)
      5、了解Windows系統,了解程序調度以及行為(高級)
      6、學習或者DEBUG流氓軟體(高級)
    教程讀者: 包括但不限於普通用戶,只知道上QQ或看新聞,深受流氓軟體困擾,三五天裝一次系統的
    教程目的:了解System Safety Monitor(SSM)這個軟體,學會使用,保護自己的機器
    教程目標:安裝,以及簡單的設置使用.可以肯定的,如果裝了SSM,流氓軟體基本沒有機會可以進入你的機器
二、緒言
    在360做版主的時候，經常遇到這們的疑問：為什麼我的機器會被偷偷地裝上流氓軟體？為什麼我的機器中了毒，為什麼防火牆不管用，為什麼殺毒軟體也視而不見？幾天就要重裝一次機器。身邊的朋友也是，好象我們已經把能裝的全裝上了，為什麼還會有病毒、流氓軟體在我們的機器上偷偷運行？常言道：常在河邊走，哪有不濕鞋？難道真的沒有什麼辦法？回答是：當然有的。這就是我們今天要隆重介紹的SSM(System Safety Monitor )。
三、原理以及和殺毒軟體、防火牆的區別
     我們知道，在操作系統的環境下，任何一個程序都是各種代碼的集合體，啟動的時候，向操作系統申請資源，然後做各種不同的動作。所有的軟體都要這樣，只是細節上有點差別。
      病毒和木馬也是一樣的道理，不管如何，它需要運行，需要安裝，需要執行。比如我們安裝一個軟體的時候，一些下載站點或者共享軟體作者在安裝程序里偷偷捆綁上其它軟體（目前大多數流氓軟體是通過這個途徑傳播的），或者我們上網的時候，通過瀏覽器或者操作系統的漏洞，偷偷下載一些軟體，然後執行，結果就中招了。假定我們能知道所有Windows系統的運行程序的過程以及觀察進程的各種動作，不就可以斷絕一切非法操作了？Windows對大多數用戶來說，還是一個黑匣了，一個神秘的東西，除了一些專業人員，很少有人知道那些進程，那些軟體是什麼意思。那麼對於普通用戶，就一點辦法沒有了嗎？答案就是：SSM。
     System Safety Monitor簡稱SSM，是專門針對有害程序及間諜程序等的 Windows 防護軟體範疇， 卻並非反病毒軟體，它並不提供針對特定有害程序的查找及移除特性，也不提供系統遭有害程序破壞后的恢復特性，而是真正的「防患於未然」！我們平常所用的防火牆如天網，Windows自帶的防火牆，它 可監控網路流量並選擇性地阻止某些程序對網路資源的存取，而 SSM 可調整程序性能並控制它們對本地資源的存取，在這層意義上我們可將 SSM 稱為系統防火牆。
  
     而我們最依賴的殺毒軟體如瑞星，金山，卡巴斯基，它們的原理基本都是不停地升級特徵碼，然後根據這個特徵碼來判斷文件是否是病毒，所以理論上來說，殺毒軟體是跟著病毒跑，永遠需要不停地升級，可能也正因為這個原因，各大升毒軟體廠商最希望看到這種現象，可以慢慢坐著收錢 *_*
我來來看看SSM能做什麼：
    它是一款對系統進行全方位監測的防火牆工具，它不同於傳統意義上的防火牆，是針對操作系統內部的存取管理，因此與任何網路/病毒防火牆都是不相衝突的。該軟體獲得了WebAttack的五星編輯推薦獎，十分優秀！
    更能得可貴的是，這麼好的軟體，它竟然是免費的，並且支持包括中文在內的多國語言！（從2.0開始分為免費和收費兩個版本，基本沒有區別）
【功能特性】
       □控制機器上哪些程序是允許執行的，當待運行程序被修改時，會報警提示；
       □針對合法的程序建立規則，不會每次提示；
       □通過CRC32或者MD5等校驗所有可執行文件的變動，再也不怕系統文件被非法修改而不知；
       □控制「DLL注入」以及鍵盤記錄機對特定系統函數的調用；
       □控制驅動程序的安裝（包括非傳統方式的驅動型漏洞－Rootkits）；
       □控制諸如存取"DevicePhysicalMemory"對象這類底層活動；
       □阻止未經認可的代碼注入，從而使任何程序都無法插入到合法的程序中以進行有害的活動；
       □控制哪些程序允許啟動其它程序、哪些程序不允許被其它程序啟動，如：您可以控制您的瀏覽器不被除Explorer.EXE以外的任何非可信程序啟動；
       □在雙模式中任選其一，用戶模式或管理員模式：管理員模式可設定首選項並加以密碼保護防止被更改，而用戶模式不能更改任何設定；
       □監控安裝新程序時註冊表重要分支鍵的更改，受保護的註冊表分支鍵被嘗試更改時將阻止或報警；□
       管理自啟動項目、當前進程等，另外提供了服務保護模塊，用以監視已安裝的系統服務，當新的服務被□添加時，會報警提示；
       □實時監視"啟動菜單"、"啟動INI文件分支"，以及IE設定等（包括BHO-所謂的瀏覽器輔助對象，一般都是廣告程序、間諜程序等垃圾）；
      □通過標題黑名單過濾器阻止打開指定的窗口或者網頁；
      □支持外掛任一調試器、反病毒軟體等，且該軟體的擴展功能均採用外掛插件形式實現，因此極易得到豐富的擴充；
      □本身作為服務載入，通過配置、修改可以實現隱秘的進程反殺能力。
三、下載及安裝
   【程序名稱】： System Safety Monitor (SSM)
   【運行平台】： 幾乎所有Windows平台，9X/NT/2000/XP/2003
   【版       本】： 2.2.0.602  (2006/12/15)
   【軟體大小】： 3.9M
   【下載地址】： 天空： www.skycn.com/soft/22993.html
                             華軍：www.onlinedown.net/soft/39756.htm
                             官方：http://www.syssafety.com/files.html  （包括免費版本）
      安裝：它的安裝跟所有的Windows軟體一樣，幾乎沒有什麼好說的，一路NEXT便可，如果是正式版的，最後一個對話框要你填入License，不用理，直接點結束便可，然後重啟一下系統。重啟機器之後，從開始菜單中找到，打開這個 System Safety Monitor，然後便開始激動人心的系統安全之旅....
四、軟體使用
      
        軟體運行之後，會出一個漂亮的綠色的LOGO閃屏：

         然後就縮小到窗口的最右下角，雙擊打開：

1、更改界面語言
      默認語言界面是英文，為了習慣也為了便於理解，我們先要把界面改為簡體中文的：

      很簡單的操作，現在看著，是不是舒服和熟悉一點了？
2、為當前所有運行的程序添加可信任的規則。
     Windows在啟動之後，會有很多後台的服務進程啟動，我們要為這些進程添加規則，相當於是信任這些程序，以後就不會再詢問了。當然，這時的前題是你的機器本身沒有中招，沒有可疑的程序已經運行了，這個時候，可以把一些不必要的程序都先關了：

    切換「進程監控器」，然後在進程處點右鍵，從彈出的菜單中選擇「信任所有運行中的進程」便可。點完之後，我們可以換到『規則「的選項中，看一下SSM自動建立的規則。對於一般用戶來說，這個自動建議的規則已經可以適用絕大部分情況了。至於進程的高級控制部分，我們以後會專門描述。
     
3、設置系統日誌
    SSM提供了強大的日誌功能，幾乎進程做的絕大部分動作都可以記下來，下面切換到「選項」——「日誌」：

   要選中」啟用」，以及「程序啟動」，「設置全局掛鉤」，「載入驅動」，「模塊」，「顯示程序日誌窗口」等，如果比較熟悉這些，可以根據需要，自己選擇。
4、開始啟用SSM控制
     上面的操作完了之後，已經為當前運行的程序添加了規則，但SSM實際上還沒有工作，我們要把它啟用。切換到「規則」窗口：

     點擊那個下拉的小三角箭頭，然後選擇「啟動所有規則」，再點一下那個「應用設定」，關閉窗口便可，基本設置就完了，應該還是挺簡單的吧？下面我們來看看具體的效果。
四、系統測試
1、啟動未知的進程
   
    如果這個時候，運行一個未知的程序，就會彈出一個窗口，可以顯示程序的各種參數，然後讓用戶確認，比如現在我們打開IE瀏覽器（假定剛才上面第2步的時候沒有為IE設置規則，當然你可以任意選擇一個剛才沒有運行的程序）：

解釋一下幾個含義：
   父進程：是誰啟動了這個進程，這裡是Exploere.exe，也就是資源管理器。有時我們看到突然彈出一個廣告窗口，就可以通過這個辦法來觀察是哪個進程彈的廣告，然後再想辦法清除
   子級進程：當前要啟動的程序，即要執行的程序
   允許：只允許這一次運行，下一次還會繼續提示
   阻止：只阻止這一次運行，下一次還會繼續提示
   創建此規則的永久性規則：針對上面的這個允許或者阻止操作，比如這個IE，我們不可能每次都去點允許，那個太煩了。選擇之個之後，就會自動增加一個規則，以後就照這個規則來處理，不會每次提問。
    技術信息：執行進程ID，以及進程的路徑，參數等。這樣你可以知道哪個程序要運行，然後決定它是否是合法的，有用的。
2、攔截移動硬碟U盤的Autorun病毒
    現在用移動硬碟或者U盤的越來越多，也很普遍，但是經常我們不知不覺就在傳染著病毒，它主要利用了 Windows提供的根目錄下的autorun.inf這個文件的特性，它就是指定了一個可執行的命令，因為是自動運行，隱蔽性很強。一般因為是熟人拿過來或者是同事同學之類的，根本防不勝防（天知道這個時候，那些殺毒軟體在幹嘛，大部分時候都查不到的）。下面就做這一個測試，把有毒的U盤挺入，馬上跳出來一個提示：

     父進程rundll32.exe是一個Windows的合法程序，但是每多病毒都是通過它載入的，強烈建議不要為它設定永久性允許規則！它要運行一個H:setup.pif這個進程，一看就是一個可疑的，點「阻止」，中止它的運行。再打開U盤，顯示一下隱藏文件，果然有一個autorun.inf文件和setup.pif文件，經檢查，就是一個隱藏的病毒。
     
3、惡意篡改主頁
   在我的BLOG中，針對飄雪/飛雪/MY123之類專門修改IE瀏覽器首頁的，相信大家也記憶深刻，恨之入骨。當然，SSM也提供了對所有註冊表敏感鍵值的保護，下面我們做一個測試，比如現在中了一個BHO的插件，因為沒有單獨的進程，它是利用IE來修改首頁的，馬上SSM就攔截了：

    這個時候，我們就可以點阻止，來拒絕對這個註冊表健值的更改，成功地保護了系統首頁。
4、惡意捆綁軟體測試
   
    常常最頭疼的，就是網上下載的軟體，被捆綁了許多惡意插件，用的時候，一不小心就是中上了，無論你再小心都不行，象賣拐中的那句： 防不甚防啊！我現在裝所有的軟體的時候，都會把SSM打開，除非是一些絕對信任的。做這一個測試，是有風險的，直接在自己機器上裝病毒（有時想找這類軟體，還不容易，暈）：
這個程序運行的時候，首先釋放到temp目錄下，然後寫自啟動，讓機器下次自動啟動：

接下來運行另外一個流氓軟體安裝：

接下來再運行一個安裝：

      接下來。。。一共點了七八次，其實根本就是一個病毒軟體包，捆綁了七八個惡意軟體，如果沒有SSM，那後果就是很慘.....看到游標不停地閃，機器就得非常慢，然後廣告窗口接二離三地彈出來——相信這個遭遇很多人都遇到過。
五、其它
      SSM的上述強大功能為木馬流氓軟體防範乃至整個系統的全面監控提供了絕佳的解決方案，使用上來說，稍微難了一點，但是對於普通用戶，也是可以使用的。
      
     如果不知道進程，軟體什麼的，提供的一個原則就是： 看那個軟體位於TEMP目錄下，或者突然運行了，就點「阻止」。如果這時你發覺有一個正常的程序不能運行了，再運行一次，點允許就是了。而且一般如果不上網，或者系統沒有其它變動，可以不運行SSM。SSM的系統佔用非常少，這點跟那些殺毒軟體比起來，可以忽略不計，也是我非常推薦的一個原因。
    我自己在分析病毒流氓軟體的時候，SSM是必備的。平常機器上，也只裝一個SSM，其它什麼殺毒，防火牆通通不要。在我的試驗中，無論是木馬，流氓軟體，病毒，鍵盤記錄機等對自己的機器進行攻防實訓，均被其成功截獲,這是一款你找不出缺點的軟體。
      由於種種原因，SSM應用還不普及，所以專門寫了這篇普及的文章。
六、後記
     
     寫完發覺已經深夜快2點了，本文首發於網路安全日誌www.nslog.cn。這是一篇姍姍來遲的文章，從有想法寫，甚至10月份做過預告，也在多種場合下寫過：等我的關於防護的文章。結果今天才寫出來，非常對不起信任和等待的朋友們，希望這篇文章能讓你們早日擺脫流氓軟體的煩惱。
     由於面向讀者的關係，我儘可能用了淺顯的語言和操作，因為無論用多少讚美的言語都無法表現出SSM的優秀和我對它的喜愛，我希望你們也可以同我一樣。基本我能向你們的保證是：只要用好了SSM，沒有流氓木馬可以入侵你的機器！


[ 本帖最後由 kent 於 2006-12-21 08:32 編輯 ]

有點複雜

真的嗎？試試看吧。

我在所謂的官方網上下了免費版, 裝了后, 同時給我裝了:keylogger. 怎麼也殺不掉.只好重裝XP.