瑞星卡卡安全论坛
baohe - 2006-12-3 22:57:00
在网上看了一个帖子,具体内容说的是下面这个.bat文件执行后,SSM没有注册表改动提示
@echo off
echo
pause
echo Windows Registry Editor Version 5.00>>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg
regedit /s ssm.reg &del /q ssm.reg
重启系统,SSM就死掉了。
试了一下。作者说的属实。
建议SSM用户自己添加一条防护规则(图1、图2)
图1
附件:
1558472006123224853.jpg
baohe - 2006-12-3 22:58:00
baohe - 2006-12-3 23:00:00
将那个.bat文件中的syssafe.EXE改为kavsvc.exe(如果没有相应防护规则,这招可以废掉“卡巴斯基”),保存后运行——SSM提示注册表改动。此时,用户点击“阻止”即可。
证实:我们加的规则起作用了。
附件:
1558472006123225140.jpg
雪山铁骑 - 2006-12-4 9:18:00
谢谢baohe斑竹的提醒!
hotboy - 2006-12-4 9:48:00
置顶,提醒大家注意了
高歌猛进 - 2006-12-4 16:57:00
多谢斑竹
轩辕小聪 - 2006-12-4 17:12:00
呵呵,在霏凡看到了。加上这一项保护的确有必要。不过,.bat文件运行时SSM会有提示,只要不允许它运行,什么事都没了,运行了,等于“引狼入室”,呵呵。
baohe - 2006-12-4 17:38:00
| 引用: |
【轩辕小聪的贴子】呵呵,在霏凡看到了。加上这一项保护的确有必要。不过,.bat文件运行时SSM会有提示,只要不允许它运行,什么事都没了,运行了,等于“引狼入室”,呵呵。
……………… |
还记得那个“断开SSM用户界面”的病毒吧。
如果那个“狼”和这个“狈”勾结起来,估计用户什么也看不见了。
保险起见,可以这样(图)设置。即使SSM的用户界面被强行断开,只要SSM还在运行,这条规则就有效。
附件:
1558472006124173357.jpg
蓝色寒冰 - 2006-12-4 18:24:00
奇怪,我用的是2.2.0.600,可是运行该批处理后还是正常,并没有被结束哦
baohe - 2006-12-4 19:21:00
| 引用: |
【蓝色寒冰的贴子】奇怪,我用的是2.2.0.600,可是运行该批处理后还是正常,并没有被结束哦
……………… |
那个.bat不是结束SSM进程,而是干扰SSM启动加载。运行那个.bat后,重启系统,你就会看到实际效果了。
麦兜仔仔 - 2006-12-5 12:54:00
学习了~
森林飘叶 - 2006-12-6 10:26:00
dddddddddddddddddd
装A装C别装B - 2006-12-6 18:40:00
我的Flash不开
hip-hao - 2006-12-6 20:06:00
我是SSM免费版的用户
请问一下LZ应该怎么设置?
谢谢!
baohe - 2006-12-6 21:25:00
| 引用: |
【hip-hao的贴子】我是SSM免费版的用户
请问一下LZ应该怎么设置?
谢谢!
……………… |
看下面6个图
1
附件:
155847200612792709.jpg
baohe - 2006-12-6 21:26:00
baohe - 2006-12-6 21:28:00
baohe - 2006-12-6 21:29:00
baohe - 2006-12-6 21:31:00
baohe - 2006-12-6 21:34:00
影子110 - 2006-12-6 23:24:00
学习中~~
流泪的阳光 - 2006-12-7 0:24:00
不好意思,我电脑不熟,请教请教SSM有什么用处吗??
一簔烟雨 - 2006-12-7 7:31:00
【回复“baohe”的帖子】
谢谢版主提醒!辛苦了。。。
怎么我的SSM与版主的不一样那?找不到版主图中的设置选项。晕,这是怎么回事?
图片也传不了。。。。
baohe - 2006-12-7 9:32:00
| 引用: |
【一簔烟雨的贴子】【回复“baohe”的帖子】
谢谢版主提醒!辛苦了。。。
怎么我的SSM与版主的不一样那?找不到版主图中的设置选项。晕,这是怎么回事?
图片也传不了。。。。
……………… |
主贴的图是“收费版”的;14-19楼的那6张图是“免费版”的。
闪电风暴 - 2006-12-7 13:03:00
谢谢baohe版主,这个问题在syscheck也有体现:http://forum.ikaka.com/topic.asp?board=28&artid=8206663
使用Autoruns可以找到它
闪电风暴 - 2006-12-7 13:06:00
不仅是SSM,其它任何程序也是.只不过改个文件名这招就没用了.
而且这一个方法只对PE文件(EXE或者DLL)有用,加载sys文件它管不了
玻璃钢耗子 - 2006-12-7 13:34:00
还好,我的sms还能启用。
baohe - 2006-12-7 15:00:00
| 引用: |
【闪电风暴的贴子】谢谢baohe版主,这个问题在syscheck也有体现:http://forum.ikaka.com/topic.asp?board=28&artid=8206663
使用Autoruns可以找到它
……………… |
http://www.kingzoo.com/bbs/viewthread.php?tid=6897&extra=page%3D1&page=2
http://www.kingzoo.com/bbs/viewthread.php?tid=6897&extra=page%3D1&page=3
我在“动物家园计算机安全咨询中心”已经与原作者进行了比较充分的讨论。
一簔烟雨 - 2006-12-7 15:47:00
我再试试传一下图片。。。
还是传不上来
6981313 - 2006-12-7 16:41:00
学习一下.
© 2000 - 2026 Rising Corp. Ltd.