【视频教程】新手学会利用SSM的保护与设置
SSM(System Safety Monitor) 是个不错的应用程序级监控工具
(例子中的SSM版本较老。但新的设置都差不多。)图有些模糊。文件有点大。打开可能比较慢。
SSM的基本设置:语言选择及各防护模块的启用
通知、日志等选项的设置
IE浏览器的基本安全防护设置(其它应用程序的安全防护也可仿此处理)
IE浏览器的父子关系设置。如图所示设置“IE浏览器的子父关系”后,只要SSM运行,只有explorer.exe、wuauclt.exe、wupdmgr.exe三个程序可以启动/运行IE浏览器。如果再在SSM的设置中分别就explorer.exe、wuauclt.exe、wupdmgr.exe三个程序设置“禁止代码注入”、“禁止全局钩子”... ...,IE浏览器的安全问题基本可以解决了。
接下来的问题是:如何防止IE的父级程序(如explorer.exe)被恶意程序滥用?用SSM解决这个问题的办法与上一步“IE浏览器的子父关系设置”相仿——为explorer.exe设置父子关系。explorer.exe的“子”可以有很多(通过桌面快捷运行的程序都可设为explorer.exe的“子”);但explorer.exe的“父”,我只设了一个——winlogon.exe。其它应用程序间的父子关系,也可仿此设置。
在SSM注册表监控模块中添加“文件关联保护”。SSM的默认设置中没有这些保护(Qoo以前提到过这个问题),用户可以仿照下面图中的操作自己添加这些内容。另外,常被某些木马利用的一些注册表键(如:ShellExcuteHook键)也可以这样的办法保护起来。
要添加的文件关联保护项具体内容:
HKEY_CLASSES_ROOT\exefile\shell\open\command\
HKEY_CLASSES_ROOT\txtfile\shell\open\command\
HKEY_CLASSES_ROOT\inifile\shell\open\command\
HKEY_CLASSES_ROOT\scrfile\shell\open\command\
HKEY_CLASSES_ROOT\batfile\shell\open\command\
HKEY_CLASSES_ROOT\cmdfile\shell\open\command\
HKEY_CLASSES_ROOT\regfile\shell\open\command\
HKEY_CLASSES_ROOT\comfile\shell\open\command\
HKEY_CLASSES_ROOT\folder\shell\open\command\
HKEY_CLASSES_ROOT\chm.file\shell\open\command\
HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command\
HKEY_CLASSES_ROOT\mailto\shell\open\command\
HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command\
HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command\
HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command\
HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command\
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command\
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command\
HKEY_CLASSES_ROOT\VBEFile\Shell\Edit\Command\
HKEY_CLASSES_ROOT\VBEFile\Shell\Open\Command\
HKEY_CLASSES_ROOT\VBEFile\Shell\Open2\Command\
HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command\
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command\
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command\
确认当前运行的程序没有问题后,一次校验它们的MD5;SSM会记下这些MD5值。以后,当这些程序被破坏后,SSM会报警。程序升级后,MD5会变(废话),SSM会提示你的。用户自己根据实际情况确认一下即可。
