【视频教程】SSM的保护与设置[原创] bbs.ikaka.com

baohe - 2006-2-11 11:58:00

SSM（System Safety Monitor) 是个不错的应用程序级监控工具（目前为止，最新版的的2.0.0.561版还是免费的），不少人都在用。
但是，到目前为止，SSM一直没考虑自身的安全保护问题。甚至在以非管理员身份登陆系统后，你都可以编辑、修改甚至加密其Global.cfg（全局配置文件）；删除其驱动程序safemon.sys。这些问题已经向Syssafety官方反映过。回答是：在今后发布的2.x版中解决。2.x版？x=?；要收费的版本？

下面讨论的这个办法的基本思路是：借助带文件保护功能的的安全工具（如：TPF2005、McFee等）防止SSM的文件被删除、篡改。
SSM的设置也是常被问到的问题。因此，这里附上10个GIF动画，一并讨论SSM的保护与设置问题。

1、在TPF2005 的“文件保护”（File Protection）中添加一条规则，禁止改动程序文件夹中的任何文件。用户自己要安装程序时，右击任务栏中的TPF图标，暂时关闭TPF的Windows Security即可。

附件: 1558472006211115806.gif

baohe - 2006-2-11 11:58:00

2、与第一步相仿，添加一条文件保护规则，禁止改动Windows及其各级子目录中的文件（防止safemon.sys被删除，也可防止不少病毒、木马感染，一举多得）。Windows更新或用户自己需要处理这些目录下的文件时，暂时关闭TPF的Windows Security。

附件: 1558472006211115849.gif

baohe - 2006-2-11 11:59:00

3、SSM启动时，要在自己的安装目录下建立、写入一个.log文件。因此，还要再加一条规则——允许SSM访问自身的文件。

附件: 1558472006211115938.gif

baohe - 2006-2-11 12:00:00

4、SSM的基本设置：语言选择及各防护模块的启用。

附件: 1558472006211120007.gif

baohe - 2006-2-11 12:01:00

5、通知、日志等选项的设置。

附件: 1558472006211120105.gif

baohe - 2006-2-11 12:01:00

6、IE浏览器的基本安全防护设置（其它应用程序的安全防护也可仿此处理）。

附件: 1558472006211120145.gif

baohe - 2006-2-11 12:02:00

7、IE浏览器的父子关系设置。如图所示设置“IE浏览器的子父关系”后，只要SSM运行，只有explorer.exe、wuauclt.exe、wupdmgr.exe三个程序可以启动/运行IE浏览器。如果再在SSM的设置中分别就explorer.exe、wuauclt.exe、wupdmgr.exe三个程序设置“禁止代码注入”、“禁止全局钩子”... ...，IE浏览器的安全问题基本可以解决了。

附件: 1558472006211120238.gif

baohe - 2006-2-11 12:04:00

8、接下来的问题是：如何防止IE的父级程序（如explorer.exe）被恶意程序滥用？用SSM解决这个问题的办法与上一步“IE浏览器的子父关系设置”相仿——为explorer.exe设置父子关系。explorer.exe的“子”可以有很多（通过桌面快捷运行的程序都可设为explorer.exe的“子”）；但explorer.exe的“父”，我只设了一个——winlogon.exe。其它应用程序间的父子关系，也可仿此设置。

附件: 1558472006211120454.gif

baohe - 2006-2-11 12:06:00

9、在SSM注册表监控模块中添加“文件关联保护”。SSM的默认设置中没有这些保护（Qoo以前提到过这个问题），用户可以仿照下面图中的操作自己添加这些内容。另外，常被某些木马利用的一些注册表键（如：ShellExcuteHook键）也可以这样的办法保护起来。

要添加的文件关联保护项具体内容：

HKEY_CLASSES_ROOT\exefile\shell\open\command\

HKEY_CLASSES_ROOT\txtfile\shell\open\command\

HKEY_CLASSES_ROOT\inifile\shell\open\command\

HKEY_CLASSES_ROOT\scrfile\shell\open\command\

HKEY_CLASSES_ROOT\batfile\shell\open\command\

HKEY_CLASSES_ROOT\cmdfile\shell\open\command\

HKEY_CLASSES_ROOT\regfile\shell\open\command\

HKEY_CLASSES_ROOT\comfile\shell\open\command\

HKEY_CLASSES_ROOT\folder\shell\open\command\

HKEY_CLASSES_ROOT\chm.file\shell\open\command\

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command\

HKEY_CLASSES_ROOT\mailto\shell\open\command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command\

附件: 1558472006211120600.gif

baohe - 2006-2-11 12:07:00

10、确认当前运行的程序没有问题后，一次校验它们的MD5；SSM会记下这些MD5值。以后，当这些程序被破坏后，SSM会报警。程序升级后，MD5会变（废话），SSM会提示你的。用户自己根据实际情况确认一下即可。

附件: 1558472006211120711.gif

大连蓝天 - 2006-2-11 21:09:00

【回复“baohe”的帖子】谢谢分享,慢慢学习.

魔法学徒 - 2006-2-12 0:45:00

谢谢baohe！！学习中……再来个tpf的设置教程就最好了……

大连蓝天 - 2006-2-12 13:28:00

给予精华

cz0102 - 2006-2-12 13:53:00

tpf与ssm有没有中文的？

baohe - 2006-2-12 13:57:00

引用:

【cz0102的贴子】tpf与ssm有没有中文的？
...........................

TPF——老版本的有汉化版（自己在网上搜）。6.0以上的版本——还未见中文或汉化版（或见到了汉化版但不敢用）。
SSM——已经是“多国语言”版（包括简体中文），自己设置一下即可（看这个帖子的图）。

独孤豪侠 - 2006-2-12 14:57:00

顶，几天没来又有新东西上来~收了~

闪电风暴 - 2006-2-12 18:17:00

谢谢baohe

魔幻的海洋 - 2006-2-12 22:34:00

实在好贴，收了学习！

ltdh - 2006-2-13 12:19:00

我的ssm2.0.0.561版没找到第五张图的通知
第九张图跟不下来没设置看着就头晕

不言放弃 - 2006-2-13 13:54:00

baohe版版的这个贴子
我收藏了
谢谢
支持

影子110 - 2006-2-13 21:51:00

对于文件关联的保护中~~将子键深度最大值设置为3是什么意思呢~~？
原来的0值是什么意思~~

baohe - 2006-2-13 22:56:00

引用:

【影子110的贴子】对于文件关联的保护中~~将子键深度最大值设置为3是什么意思呢~~？
原来的0值是什么意思~~
...........................

汗！录像时光顾看画面了，鼠标多点了两下（自己都没注意）。那幅图中“子键深度”为0即可（当然设置成3也没什么问题，只是不必要）。因为command下已经没有子键了。
“原来的0值”是指：SSM只保护到command的键值；command以下的各级子键就不管了（当然，这里command以下并无子键）。如果子键深度是N，则SSM保护指定键及其下N级子键的键值。
子键深度的设置根据实际情况而定。

影子110 - 2006-2-13 22:58:00

呵呵，，
幸好我问了一下~~~

谢谢~~

影子110 - 2006-2-13 23:03:00

那上面那个包含值前的勾是否也能去掉~~？
还有，“子键深度”是指注册项的下级最多可以包括几级吗？？还是有其它意思~~？

baohe - 2006-2-13 23:39:00

引用:

【影子110的贴子】那上面那个包含值前的勾是否也能去掉~~？
还有，“子键深度”是指注册项的下级最多可以包括几级吗？？还是有其它意思~~？
...........................

“包含值前的勾”如果去掉，则SSM只保护指定的键，不保护其键值。

“子键深度”是指注册项的下级最多可以包括几级吗？

“子键深度”的含义：你指定的、要保护的那个注册表键及其N个子键。如果你要保护“某个注册表键及其下3级子键的键值”，就将“子键深度”设置成3，并勾选“包括键值”。

快乐如风2006 - 2006-2-14 0:01:00

多谢，学习中。

浅浅蓝 - 2006-2-14 16:05:00

很好，学了很多，原来许多都不知道怎么设置现在知道了。就是还不清楚载我用的咖啡里怎么能把ssm文件夹保护起来又让ssm自己能写LOG

baohe - 2006-2-14 16:42:00

引用:

【浅浅蓝的贴子】很好，学了很多，原来许多都不知道怎么设置现在知道了。就是还不清楚载我用的咖啡里怎么能把ssm文件夹保护起来又让ssm自己能写LOG
...........................

买咖啡，我没用过。但别的网友说买咖啡也有文件保护功能。具体的，就说不出了。到霏凡、金山等论坛问问吧。

蓝色陨石 - 2006-2-16 3:12:00

向版主学习了，谢谢

艾玛 - 2006-2-17 8:47:00

引用:

【魔法学徒的贴子】谢谢baohe！！学习中……再来个tpf的设置教程就最好了……
...........................

TPF看看这个安全设置http://www.12km.com/read.php?tid=349&fpage=1

瑞星卡卡安全论坛