瑞星卡卡安全论坛

引用:

【乐影依翼的贴子】麻烦高手给我个SSM的下载地址吧？我下的SSM不能用  说是少点什么东西而不能用 ………………

http://www.syssafety.com/files.html

谢谢版主了    我也要学学这个东西怎么用

麻烦版主下  这么多版本要下哪个啊？还有  这么东西有中文版的么？

附件: 8196222007529173149.bmp

我是新来的,请大家多多关照

有人在吗

很想请教你们一些问题,有人在吗

引用:

【loveperday的贴子】========Content======== 其实猫叔，我的疑问是： 咱们平时启动程序，关闭程序，程序的执行者不都是explorer么？那么“用户关闭程序”不就是应该explorer结束程序么？ 规则中的“强迫”应该如何理解呢？我们观察病毒时，病毒试图结束杀软进程，那他的执行者有可能是explorer么？ ………………

关闭一个程序窗口时系统是怎么做的，其实那个提示已经告诉你了：
动作:禁止
应用程序:explorer.exe
访问:Forced process/thread termination
目标:SendNotifyMessageA(Message=WM_CLOSE,Handle=0xC03EC)
时间:2007-5-28 20:43:36

一般来说，要关闭其他程序窗口的程序，用SendMessage函数来向目标窗口发送WM_CLOSE消息（这需要目标窗口的句柄（Handle)，这个句柄可以用FindWindow等函数得到）。Windows将此消息放到目标进程的消息队列之中，由目标进程的窗口过程（这个窗口过程，是在目标进程用CreateWindowEx创建窗口时，由其使用的WNDCLASSEX结构的lpfnWndProc字段所指定的），窗口过程内部用GetMessage得到消息，并根据自己的代码来处理消息。对于一般的程序窗口，WM_CLOSE消息就是一个关闭窗口程序的消息，所以窗口过程在接到这个消息之后一般就会进行关闭程序的一系列操作。这样一个程序就结束了。

在任务管理器中的结束进程，则是采用另一种方式：用OpenProcess（带参数PROCESS_TERMINATE）得到进程句柄，然后以此进程句柄作为参数，调用TerminateProcess来强制结束进程。

对于以服务启动的程序，则还有其他的方法，如猫叔所说用net.exe，这是一种命令行调用方式，而net.exe程序其实也是调用各种处理服务的API对系统当前的服务进行处理。

HIPS软件对这些操作进行监视和处理的方法（纯属我猜测，实际可能更复杂）：
对于使用WM_CLOSE消息的方式：用SetWindowsHookEx函数，建立一个钩子，钩子类型为WH_CALLWNDPROC（每当调用SendMessage函数时，函数将消息发送给目标窗口过程前首先调用钩子函数）。这样钩子的目标窗口过程所收到的消息，在收到前都要先经过这个钩子函数的处理。钩子函数根据HIPS软件设置，决定是将WM_CLOSE消息丢弃不传给目标窗口过程（这样目标窗口过程不收到消息，自然不会关闭），还是如常传递（这样目标窗口过程如常关闭）。

对于使用TerminateProcess的方法：HIPS软件通过驱动进入系统底层，用修改SSDT表等方式实现对TerminateProcess对应的NATIVE API的HOOK，这样当有程序调用TerminateProcess的时候，实际上首先调用的是HIPS软件的相关程序，HIPS软件依据设置，决定是如常再调用真正的相应系统函数来结束进程呢，还是直接阻止这个操作并返回一个错误。


HIPS软件的监控，实际上就是通过各种各样的HOOK，在系统处理消息之前先截获它们，然后根据软件设置决定如何处理，再继续传递给系统进行工作。就像寄信要通过邮局，邮局检查所寄信函是否符合规范，如无问题，传递给收信人，如有问题，扣在邮局并通知寄信人或收信人（返回一个错误）。

以上是我了解到的一些情况，不一定全对。如果对这方面的内容不太了解，可以去看有关Windows编程的书，了解Win32 API的作用。当然，不一定非这样不可，就算不了解这些，依靠一些软件提供的功能，你依然可以轻松设置并处理一些问题。

学习了，谢谢斑斑~这样听起来更明白一些了。
但是这个情况可能在其中一些判断上出了偏差？
因为我现在在用遨游，每关闭一个子窗口，tiny都会提示一次阻止，但窗口还是关闭了。

引用:

【乐影依翼的贴子】麻烦版主下  这么多版本要下哪个啊？还有  这么东西有中文版的么？ ………………

建议用2.4.0.618

猪3太狠了。。。。。。实机弄了个半死。。。。。。到现在还有点问题。晚上回家继续弄

引用:

【hotboy的贴子】 建议用2.4.0.618 ………………

谢谢 了啊  我去试试

引用:

【baohe的贴子】 一个破坏硬盘分区表的恶性病毒。 病毒本身不复杂，但造成的后果严重。 ………………

弱弱地问句，猪3的真名叫什么？

引用:

【无比上上狼的贴子】 弱弱地问句，猪3的真名叫什么？ ………………

Trojan.KillDisk

引用:

【baohe的贴子】 Trojan.KillDisk ………………

额。。。猫叔潜水

听Tom版主的意思，半年以后大多安全软件都要带有HIPS功能咯。其中更少不了瑞星咯。如是，不知又该有多大的宣传广告热潮了。

忽忽

顶

SSM好东西啊。.

无论tiny还是ssm 都需要一定的基础
对新手 这个需要学习 再学习。。。

学习。。

这篇文章太好了,受益非浅呀

引用:

【baohe的贴子】 国人有句俗话：打铁还需自身硬。 此言不缪！ 用IceSword试过杀Tiny的amon.exe和ssm的syssafe进程。 前提：tiny的system previliges组中已经设置了“阻止进程强迫终止”。 但是IceSword还是能顺利杀死 amon和syssafe两个进程。 变化前提：再在ssm的程序规则的中加入amon的进程终止保护，并使ssm处于运行状态。 再用IceSword杀amon进程——————杀不死了（ssm的保护规则发挥作用）；用IceSword杀syssafe进程——————syssafe进程被顺利杀掉！ 看来： 1、Tiny的“阻止进程强迫终止”保护功能有限。如果没有SSM助一臂之力，Tiny进程的自身安全有问题。 2、SSM对自身进程的保护也有限（敌不住IceSword）。但是ssm过于自信了，syssafe的设置不许改动（至少，目前的2.4.0.618版还是如此）。 ssm的自身防护还有待改进。 另：tiny的“阻止强迫关机”功能还行。如果勾选了这个规则，用户自己不能软关机。 ………………

一般的动态HOOK对IceSword 根本无效,即使SSM patch掉了IceSword终止进程所用的PspTerminateProcess ,IS在调用前会直接读取ntoskrnl.exe中获得PspterminateProcess的代码,强行恢复.SSM对它没有任何效果

实在不行IceSword还有PJF的杀手锏"强行终止线程"

想要不被IceSword关闭,目前可以做的这一点的木马只是采用各种隐藏方法将进程隐藏.并没有去防pspterminateprocess

头一次听说

课程有点深，慢慢学习。

好象都看不懂哦.

他是谁？

引用:

国人有句俗话：打铁还需自身硬。 此言不缪！ 用IceSword试过杀Tiny的amon.exe和ssm的syssafe进程。 前提：tiny的system previliges组中已经设置了“阻止进程强迫终止”。 但是IceSword还是能顺利杀死 amon和syssafe两个进程。 变化前提：再在ssm的程序规则的中加入amon的进程终止保护，并使ssm处于运行状态。 再用IceSword杀amon进程——————杀不死了（ssm的保护规则发挥作用）；用IceSword杀syssafe进程——————syssafe进程被顺利杀掉！ 看来： 1、Tiny的“阻止进程强迫终止”保护功能有限。如果没有SSM助一臂之力，Tiny进程的自身安全有问题。 2、SSM对自身进程的保护也有限（敌不住IceSword）。但是ssm过于自信了，syssafe的设置不许改动（至少，目前的2.4.0.618版还是如此）。 ssm的自身防护还有待改进。 另：tiny的“阻止强迫关机”功能还行。如果勾选了这个规则，用户自己不能软关机。 ………………

这个还是要看WINDOWS下的运行级别了............ICESWORD运行于RING0和RING3级别
SSM。Tiny大概是运行于RING3级别，ICES当然可以结束掉他们的级别，毕竟人家是SYS
................
我觉得.....Tiny这种设置型的防火墙..........唉~~~他其实可以说不强也可以说强......总感觉无法给他定位..................

用好tiny需要对注册表和一些系统知识了解够多才行。合适的规则绝对可以起到绝对的效果！
05年就能有这样的构想和成就，让人佩服呀~