丟掉殺毒軟件

1、丟掉殺毒軟件，和我一起擁抱SSM！ 如果我告訴你有一個軟件占用系統(tǒng)資源極低，你幾乎感覺不到他的存在，比殺毒軟件更能讓你的電腦遠離病毒，你會愿意使用嗎？天要向大家推薦一款軟件System Safety Monitor，他不是殺毒軟件，但勝似殺毒軟件。經常有去黑客客論壇潛水的都知道，現(xiàn)在免殺過KAV2009過瑞星過主動的木馬太多太多了。殺毒軟件在他們的面前總是顯得那么蒼白無力。希望大家耐心的看完全文，你會發(fā)現(xiàn)有了他，你完全可以拋棄傳統(tǒng)的反病毒軟件。我提到System Safety Monitor（以下簡稱SSM）和殺毒軟件、反流氓軟件工具的原理不同，那么不同之處在哪里，它又是如何防范病毒和流氓軟件

2、的呢？我們都知道，殺毒軟件是通過對系統(tǒng)中的文件進行特征碼比對來確認病毒的，這時病毒已經存在于系統(tǒng)中了，我們做的一切都是補救措施。雖然殺毒軟件的病毒防火墻能夠在我們運行病毒之前將其阻止，但是病毒防火墻是依賴于殺毒軟件的病毒庫的，殺毒軟件不能檢測到所有病毒，當然病毒防火墻也不可能攔截到所有病毒。這就是殺毒軟件的缺點，對于新病毒沒有抵御能力。反流氓軟件工具同樣如此，目前反流氓軟件工具還不具備防御能力，或者說很不完善，其查殺流氓軟件的原理類似殺毒軟件的后期補救。而SSM的原理則完全不同。SSM不具備查毒能力，也不具備反流氓軟件功能，任何一種病毒在其面前，它都會無動于衷。但是當我們運行病毒的時候，SSM

3、會馬上彈出警告對話框，但不是告訴你這是病毒，而是這個病毒想在系統(tǒng)中干什么。這就是SSM和殺毒軟件的不同之處，SSM會調整程序性能并控制它們對本地資源的存取，主要是針對操作系統(tǒng)內部的存取管理。簡單地說，就是病毒和流氓軟件無論怎么不擇手段，都必須對系統(tǒng)的本地資源進行修改，而SSM則會監(jiān)視系統(tǒng)的本地資源，因此任何病毒和流氓軟件都無法躲過SSM的監(jiān)視。在這層意義上我們可將SSM稱為系統(tǒng)防火墻。SSM不僅可以起到安全防范的作用，也能夠用來調試程序，了解程序的運行原理。在操作系統(tǒng)的環(huán)境下，任何一個程序都是各種代碼的集合體，啟動的時候，向操作系統(tǒng)申請資源，然后做各種不同的動作。所有的軟件都要這樣，只是細節(jié)上

4、有點差別。病毒和木馬也是一樣的道理，不管如何，它需要運行，需要安裝，需要執(zhí)行。比如我們安裝一個軟件的時候，一些下載站點或者共享軟件作者在安裝程序里偷偷捆綁上其它軟件（目前大多數流氓軟件是通過這個途徑傳播的），或者我們上網的時候，通過瀏覽器或者操作系統(tǒng)的漏洞，偷偷下載一些軟件，然后執(zhí)行，結果就中招了。假定我們能知道所有Windows系統(tǒng)的運行程序的過程以及觀察進程的各種動作，不就可以斷絕一切非法操作了？Windows對大多數用戶來說，還是一個黑匣了，一個神秘的東西，除了一些專業(yè)人員，很少有人知道那些進程，那些軟件是什么意思。那么對于普通用戶，就一點辦法沒有了嗎？答案就是：SSM。System S

5、afety Monitor簡稱SSM，是專門針對有害程序及間諜程序等的 Windows 防護軟件范疇， 卻并非反病毒軟件，它并不提供針對特定有害程序的查找及移除特性，也不提供系統(tǒng)遭有害程序破壞后的恢復特性，而是真正的“防患于未然”！我們平常所用的防火墻如天網，Windows自帶的防火墻，它 可監(jiān)控網絡流量并選擇性地阻止某些程序對網絡資源的存取，而 SSM 可調整程序性能并控制它們對本地資源的存取，在這層意義上我們可將 SSM 稱為系統(tǒng)防火墻。 而我們最依賴的殺毒軟件如瑞星，金山，卡巴斯基，它們的原理基本都是不停地升級特征碼，然后根據這個特征碼來判斷文件是否是病毒，所以理論上來說，殺毒軟件是跟著

6、病毒跑，永遠需要不停地升級，可能也正因為這個原因，各大升毒軟件廠商最希望看到這種現(xiàn)象，可以慢慢坐著收錢。我來來看看SSM能做什么：功能特性：1.控制機器上哪些程序是允許執(zhí)行的，當待運行程序被修改時，會報警提示；2.針對合法的程序建立規(guī)則，不會每次提示；3.通過CRC32或者MD5等校驗所有可執(zhí)行文件的變動，再也不怕系統(tǒng)文件被非法修改而不知；4.控制“DLL注入”以及鍵盤記錄機對特定系統(tǒng)函數的調用；5.控制驅動程序的安裝（包括非傳統(tǒng)方式的驅動型漏洞Rootkits）；6.控制諸如存取 DevicePhysicalMemory對象這類底層活動；7.阻止未經認可的代碼注入，從而使任何程序都無法插入到

7、合法的程序中以進行有害的活動；8.控制哪些程序允許啟動其它程序、哪些程序不允許被其它程序啟動，如：您可以控制您的瀏覽器不被除Explorer.EXE以外的任何非可信程序啟動；9.在雙模式中任選其一，用戶模式或管理員模式：管理員模式可設定首選項并加以密碼保護防止被更改，而用戶模式不能更改任何設定；10.監(jiān)控安裝新程序時注冊表重要分支鍵的更改，受保護的注冊表分支鍵被嘗試更改時將阻止或報警；11.管理自啟動項目、當前進程等，另外提供了服務保護模塊，用以監(jiān)視已安裝的系統(tǒng)服務，當新的服務被添加時，會報警提示；12.實時監(jiān)視 啟動菜單、啟動INI文件分支，以及IE設定等（包括BHO-所謂的瀏覽器輔助對象，

8、一般都是廣告程序、間諜程序等垃圾）；13.通過標題黑名單過濾器阻止打開指定的窗口或者網頁；14.支持外掛任一調試器、反病毒軟件等，且該軟件的擴展功能均采用外掛插件形式實現(xiàn)，因此極易得到豐富的擴充；15.本身作為服務加載，通過配置、修改可以實現(xiàn)隱秘的進程反殺能力。軟件運行之后，會出一個漂亮的綠色的LOGO閃屏：然后就縮小到窗口的最右下角，雙擊打開：1、更改界面語言 默認語言界面是英文，為了習慣也為了便于理解，我們先要把界面改為簡體中文的：很簡單的操作，現(xiàn)在看著，是不是舒服和熟悉一點了？2、為當前所有運行的程序添加可信任的規(guī)則Windows在啟動之后，會有很多后臺的服務進程啟動，我們要為這些進程添

9、加規(guī)則，相當于是信任這些程序，以后就不會再詢問了。當然，這時的前題是你的機器本身沒有中招，沒有可疑的程序已經運行了，這個時候，可以把一些不必要的程序都先關了：切換“進程監(jiān)控器”，然后在進程處點右鍵，從彈出的菜單中選擇“信任所有運行中的進程”便可。點完之后，我們可以換到規(guī)則“的選項中，看一下SSM自動建立的規(guī)則。對于一般用戶來說，這個自動建議的規(guī)則已經可以適用絕大部分情況了。至于進程的高級控制部分，我們以后會專門描述。3、設置系統(tǒng)日志SSM提供了強大的日志功能，幾乎進程做的絕大部分動作都可以記下來，下面切換到“選項”“日志”：要選中”啟用”，以及“程序啟動”，“設置全局掛鉤”，“加載驅動”，“模

10、塊”，“顯示程序日志窗口”等，如果比較熟悉這些，可以根據需要，自己選擇。4、開始啟用SSM控制上面的操作完了之后，已經為當前運行的程序添加了規(guī)則，但SSM實際上還沒有工作，我們要把它啟用。切換到“規(guī)則”窗口點擊那個下拉的小三角箭頭，然后選擇“啟動所有規(guī)則”，再點一下那個“應用設定”，關閉窗口便可，基本設置就完了，應該還是挺簡單的吧？下面我們來看看具體的效果。四、功能測試1、啟動未知的進程如果這個時候，運行一個未知的程序，就會彈出一個窗口，可以顯示程序的各種參數，然后讓用戶確認，比如現(xiàn)在我們打開IE瀏覽器（假定剛才上面第2步的時候沒有為IE設置規(guī)則，當然你可以任意選擇一個剛才沒有運行的程序）：解

11、釋一下幾個含義：父進程：是誰啟動了這個進程，這里是Exploere.exe，也就是資源管理器。有時我們看到突然彈出一個廣告窗口，就可以通過這個辦法來觀察是哪個進程彈的廣告，然后再想辦法清除。子級進程：當前要啟動的程序，即要執(zhí)行的程序。允許：只允許這一次運行，下一次還會繼續(xù)提示。阻止：只阻止這一次運行，下一次還會繼續(xù)提示。創(chuàng)建此規(guī)則的永久性規(guī)則：針對上面的這個允許或者阻止操作，比如這個IE，我們不可能每次都去點允許，那個太煩了。選擇之個之后，就會自動增加一個規(guī)則，以后就照這個規(guī)則來處理，不會每次提問。技術信息：執(zhí)行進程ID，以及進程的路徑，參數等。這樣你可以知道哪個程序要運行，然后決定它是否是合

12、法的，有用的。2、攔截移動硬盤U盤的Autorun病毒現(xiàn)在用移動硬盤或者U盤的越來越多，也很普遍，但是經常我們不知不覺就在傳染著病毒，它主要利用了Windows提供的根目錄下的autorun.inf這個文件的特性，它就是指定了一個可執(zhí)行的命令，因為是自動運行，隱蔽性很強。一般因為是熟人拿過來或者是同事同學之類的，根本防不勝防（天知道這個時候，那些殺毒軟件在干嘛，大部分時候都查不到的）。下面就做這一個測試，把有毒的U盤挺入，馬上跳出來一個提示：父進程rundll32.exe是一個Windows的合法程序，但是每多病毒都是通過它加載的，強烈建議不要為它設定永久性允許規(guī)則！它要運行一個H:setup

13、.pif這個進程，一看就是一個可疑的，點“阻止”，中止它的運行。再打開U盤，顯示一下隱藏文件，果然有一個autorun.inf文件和setup.pif文件，經檢查，就是一個隱藏的病毒。3、惡意篡改主頁在我的BLOG中，針對飄雪/飛雪/MY123之類專門修改IE瀏覽器首頁的，相信大家也記憶深刻，恨之入骨。當然，SSM也提供了對所有注冊表敏感鍵值的保護，下面我們做一個測試，比如現(xiàn)在中了一個BHO的插件，因為沒有單獨的進程，它是利用IE來修改首頁的，馬上SSM就攔截了：這個時候，我們就可以點阻止，來拒絕對這個注冊表健值的更改，成功地保護了系統(tǒng)首頁。4、惡意捆綁軟件測試常常最頭疼的，就是網上下載的軟件

14、，被捆綁了許多惡意插件，用的時候，一不小心就是中上了，無論你再小心都不行，象賣拐中的那句：防不甚防??！我現(xiàn)在裝所有的軟件的時候，都會把SSM打開，除非是一些絕對信任的。做這一個測試，是有風險的，直接在自己機器上裝病毒（有時想找這類軟件，還不容易，暈）：這個程序運行的時候，首先釋放到temp目錄下，然后寫自啟動，讓機器下次自動啟動：接下來運行另外一個流氓軟件安裝：接下來再運行一個安裝：接下來。一共點了七八次，其實根本就是一個病毒軟件包，捆綁了七八個惡意軟件，如果沒有SSM，那后果就是很慘.看到光標不停地閃，機器就得非常慢，然后廣告窗口接二離三地彈出來相信這個遭遇很多人都遇到過。SSM的上述強大功

15、能為木馬流氓軟件防范乃至整個系統(tǒng)的全面監(jiān)控提供了絕佳的解決方案，使用上來說，稍微難了一點，但是對于普通用戶，也是可以使用的。 如果不知道進程，軟件什么的，提供的一個原則就是：看那個軟件位于TEMP目錄下，或者突然運行了，就點“阻止”。如果這時你發(fā)覺有一個正常的程序不能運行了，再運行一次，點允許就是了。而且一般如果不上網，或者系統(tǒng)沒有其它變動，可以不運行SSM。SSM的系統(tǒng)占用非常少，這點跟那些殺毒軟件比起來，可以忽略不計，也是我非常推薦的一個原因。我自己在分析病毒流氓軟件的時候，SSM是必備的。平常機器上，也只裝一個SSM，其它什么殺毒，防火墻通通不要。在我的試驗中，無論是木馬，流氓軟件，病毒，鍵盤記錄機等對自己的機器進行攻防實訓，均被其成功截獲,這是一款你找不出缺點的軟件。以上內容大多都是從網上找來的資料重整編輯的，這上面講到的只是SSM的一部份功能，還有很多功能沒有講到，比如為所有系統(tǒng)進程建立MD5值庫，當有病毒想插入某系統(tǒng)進程時SMM就會予以攔截，玩過木馬的朋友都知道很多木馬的穿