SSM“虚拟群组”的设置与病毒防护 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 入侵防御（HIPS） SSM“虚拟群组”的设置与病毒防护

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

SSM“虚拟群组”的设置与病毒防护

本主题由大版主 baohe 于 2008-8-2 14:35:53 执行主题置顶/取消操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-01 15:49 \| 显示全部短消息资料字号：小中大 1楼 SSM“虚拟群组”的设置与病毒防护打开SSM的首选项面板，点击“规则”、“程序”，你会看到SSM的“规则”列表中有一个名为Uregistreted组，对象类型为“虚拟群组”（图0）。 0.jpg (99.03 K) 2008-7-1 15:48:46 “虚拟群组”是个什么东东？不少人对此不甚了了。看SSM的“帮助文件”，貌似没有Uregistreted组的介绍。头大哦！其实，要了解这个“虚拟群组”是啥，得先弄清SSM规则列表的内容。默认情况下（也就是用户没有自己添加任何程序组），SSM的规则列表中只有下列组： 1、SSM组。此组收录SSM自身程序。组中的程序，不允许用户更改其父子进程设置等关键参数（有道理哦！），但用户可以往此组中添加程序（貌似无此必要）。 2、system组。此组收录系统程序。组中的程序，不允许用户更改其父子进程设置等关键参数，但允许用户往此组中添加程序（没这么变态的用户吧？）。 3、normal组。最初安装SSM时，用户为了省事，采用“学习模式”，将自己电脑中的应用程序录入SSM的规则中，这些用户应用程序收录于此组内。 4、blocked组。相当于大家熟悉的“黑名单”。凡是已知的病毒、流氓程序均应收录于此组中。 5、Uregistreted组。其实，这个所谓“虚拟群组”指的是除上述1-4组之外的任何程序（即：SSM规则列表以外的的程序。） Uregistreted组有什么用？不少人问这个问题。最初，我对此组的功能也不甚了了（不是干这个行当的撒~）。某日闲来无事，玩儿了玩儿这个Uregistreted组的设置。结果，玩儿出麻烦来了。SRENG死活无法运行了。看看SSM规则列表没有SRENG的规则！汗！为了避免不必要的麻烦，我用SRENG之前总是关闭SSM。所以，SRENG一直没机会进入SSM规则列表。把SRENG加入SSM规则列表，再运行SRENG试试------没任何问题！原来，俺玩儿SSM时，因不了解Uregistreted组到底是个啥，就把它“废”了。知道Uregistreted组有啥用了。若将SSM的“Uregistreted组”设置妥当（也就是我“废”掉Uregistreted组的那几步操作），可以将病毒拒之门外！ “废”掉Uregistreted组的操作如下： 1、双击Uregistreted组（图1） 1.jpg (155.31 K) 2008-7-1 15:48:46 2、禁止Uregistreted组与其它各组的父子进程关系（图2）。 2.jpg (67.02 K) 2008-7-1 15:48:46 3、点击“应用设定（图3）。 3.jpg (143.60 K) 2008-7-1 15:48:46 其实，这样设置并非“废掉Uregistreted组”；而是禁止未录入SSM规则列表的所有程序运行。除非用户安装SSM时系统中已经有毒，且用户用了“自学习模式”将混在系统中的病毒录入了mormal组，否则，它们不可能出现在SSM规则列表中。病毒、流氓不是经常偷袭我们吗？如果仿照上述步骤设置了SSM的Uregistreted组，估计病毒、流氓偷袭不成了。试试看。运行最近比较NB的那个“中华吸血鬼”样本kd.exe（破坏硬盘分区表哦）。看看结果如何----------（图4）。 4.jpg (53.85 K) 2008-7-1 15:48:46 它没戏！重启系统看看-----完好无损！用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1) baohe 最后编辑于 2008-07-01 16:51:19
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-02 14:13 \| 显示全部短消息资料字号：小中大 2楼回复: SSM“虚拟群组”的设置与病毒防护引用: 原帖由 mdbdd 于 2008-7-2 9:05:00 发表问个问题 : 装了ssm 之后 ,如何设置它才能使3389 可以远程登陆上去? ( win 2k3) 附件: 文件名:1.jpg 下载次数:7453 文件类型:image/jpeg 文件大小: 上传时间:2008-7-2 14:12:45 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 附件: 文件名:2.jpg 下载次数:7490 文件类型:image/jpeg 文件大小: 上传时间:2008-7-2 14:12:45 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 附件: 文件名:3.jpg 下载次数:7289 文件类型:image/jpeg 文件大小: 上传时间:2008-7-2 14:12:45 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-04 09:35 \| 显示全部短消息资料字号：小中大 3楼回复 5F 天下奇才的帖子你的理解基本正确。 virtually在此处的意思是“实际上”，而非“虚拟”。但是，虚拟组默认设置的父子关系如下图。这样的设置，每当用户运行SSM规则列表中没有的程序时，SSM都会跳出对话框询问用户（除非用户采用“自学习模式”）。这样会使用户有不胜其扰的感觉。另一方面，用户若用“自学习模式”，等于放弃了SSM的防护。所以，虚拟组的设置应该引起用户注意，并根据自己的需要与操作习惯灵活安排之。附件: 文件名:1.jpg 下载次数:6931 文件类型:image/jpeg 文件大小: 上传时间:2008-7-4 9:35:29 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 baohe 最后编辑于 2008-07-04 09:40:24
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-24 16:57 \| 显示全部短消息资料字号：小中大 4楼回复 10F 子艳的帖子是的
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-28 20:21 \| 显示全部短消息资料字号：小中大 5楼回复: SSM“虚拟群组”的设置与病毒防护引用: 原帖由知交半零落于 2008-7-28 9:30:00 发表猫叔请问,我在反病毒论坛里的精华帖中参照你的SVCHOST.EXE设置了SSM相关规则,但出现语言栏变白、打开窗口外观变成类似于WIN2000的样子，还有就是因为用的是笔记本，合上盖打再打开不能出现登录名了，不知道是什么原因，还望指导。用的版本是最新的2。4。0。621 SVCHOST.EXE规则？我的帖子？地址？
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-31 21:22 \| 显示全部短消息资料字号：小中大 6楼回复: SSM“虚拟群组”的设置与病毒防护引用: 原帖由 julia_ding 于 2008-7-31 16:40:00 发表装了个ssm，看来是和瑞星冲突，启动不了。卸载后还得修复下系统才进去了从SSM 1.xx版本用到SSM 2.4.0.621，我一直将它与瑞星杀软（不包括防火墙）、Tiny（一款防火墙）合用，没任何问题。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT