瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 向boehe版主及使用ssm的高手求证\求解:

1   1  /  1  页   跳转

向boehe版主及使用ssm的高手求证\求解:

向boehe版主及使用ssm的高手求证\求解:

偶使用SSM也有2年多时间了,印象中,在SSM的文件中,固有一个名为"shutdown.ssm"的文件,其图标和扩展名都有点点特别,偶一直顾名思意,认为这是SSM自己特有的文件,其功能大概是挂掉ssm吧,至于SSM为什么要挂掉自己,在什么条件下会使用这个文件或挂掉自己,偶一直没去想或没水平去多想多观察,反正它呆在那里似乎也无所作为,偶一直用的那个注册表键值破解法也一直无限期的免费使用着这个软件.
只是自去年冬起,我的ssm出现隔不多久就挂掉,先是它冒出那个提示:抱歉因为ssm遇到故障必需关闭重启云云,并问是否愿把相关故障报告发给它的官方.偶当然是选"不送报告"啦. 之后就是ssm的退出,必需要完全重装一遍才能恢复.
从病毒,木马,等恶意东西上仔细找过原因,似乎与那些无关;也反复查找了同机装的tiny,Kis-2009,以及ssm自身的设置与规则,及系统的组策略的设置\规则是否有冲突,但都没找到原因和解决办法,最后,只好用tiny的文件保护设了一条规则:禁止并记载任何东东对这个"shutdown.ssm"的访问\写入及删除等!结果,问题解决了一半:ssm自行挂掉的那个提示还是不时出现,不管点送不送"报告"它即退出(挂掉),但只需重点其快捷启动图标或任何途径,它又恢复如初,无需整个重装了!
今天,偶试着把这个shutdown.ssm文件用tiny做了md5校验加路径保护,并放入"禁止"组(blacklist组)的办法,结果 :好几个小时了,SSM再也没再出现那个故障关闭和退出的现象了!!
但是,文件夹中这个文件却不见了!这在用tiny同样办法处理的别的文件可不是这样的啊(而设tiny规则后也没重启系统,那个文件咋没了?)
我想知道的是:1,你们的tiny也有这个文件么?  2,它的功用及运作机理?从tiny观察看,光顾它的程序也就是tiny的,卡巴的某些例行的"巡视"程序,加上"系统"("system"),而ssm的开机加载似乎都是"system"进行的,而每次由"system"调动这个shutdown.ssm而关掉SSM似乎也顺理成章,只是在什么条件下才出现这种情况?是系统不能访问那个破解的键值而引起的吗?
那个文件找不到了,事先也没想到劫些相关的图,只好补一张tiny的有点相关的图了;
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
最后编辑两个铁球 最后编辑于 2009-06-28 20:27:37
分享到:
gototop
 

回复: 向boehe版主及使用ssm的高手求证\求解:

PS:猫版:所谓的 "system",能用tiny追索到,或手工找到,落实到某个具体的程序或文件或其他东东么?其路径?
gototop
 

回复:向boehe版主及使用ssm的高手求证\求解:

是这样啊?!
怎么我把这个文件按路径和md5用tiny监控起来,不准它运行,我的ssm毛病也就好了呢?有意思!算是对使用ssm的一条贡献吧.那么,用组策略也应该行啊?

谢谢指教!我没有这个文件啦,没法看时间\属性了.
最后编辑两个铁球 最后编辑于 2009-06-28 20:54:04
gototop
 

回复: 向boehe版主及使用ssm的高手求证\求解:



引用:
原帖由 A小可 于 2009-6-28 21:14:00 发表
你重启下电脑看看,理论上这个文件又会出现了。




按你说的,重启电脑试试,结果,出问题的提示又出现了,以及ssm退出,再通过快捷方式很容易又成功启动,恢复如常(问题仍在).但是,那个shutdown.ssm文件确没有出现------原来的没有了,新的没生成!

下面试着把这次重启后的几个截图发上来:
gototop
 

回复:向boehe版主及使用ssm的高手求证\求解:

看来,那条tiny设置,可以阻止那个文件的生成,但至少对系统重启后SSM退出的解决没效;shoutdown.ssm没有或生不成,对ssm的正常运行也没见什么影响.----结论.

ps:补充说明,第二张图中第二项,那个dll---ssm的繁体中文相关物件,是我重启前有意删掉了.
最后编辑两个铁球 最后编辑于 2009-06-28 22:16:50
gototop
 

回复:向boehe版主及使用ssm的高手求证\求解:

今天用冰刀看了看,原来这个Shutdown.ssm文件成了隐藏的文件!还在,大小是0,行成时间和修改时间都是昨天把它用TINY禁止起来的时间.至于ssm的自动退出,除了每次启动电脑时发生一次外,其它时间再不发生了.在Tiny面前,ssm文件的表现还确是不一样哟.
最后编辑两个铁球 最后编辑于 2009-06-29 18:22:33
gototop
 

回复: 向boehe版主及使用ssm的高手求证\求解:



引用:
原帖由 smallyou93 于 2009-6-29 18:27:00 发表
Prevent  SSM read shutdown.ssm

楼主,SSM的终身注册码已经出了哦
http://bbs.ikaka.com/showtopic-8574245.aspx


我不用什么注册码,一样长期用免费用收费版的ssm,也不用费心月月操心那个键值.发本帖的目的不是求怎么免费用SSM.不过还是谢谢你的帮助.
最后编辑两个铁球 最后编辑于 2009-06-29 18:34:13
gototop
 

回复: 向boehe版主及使用ssm的高手求证\求解:



引用:
原帖由 smallyou93 于 2009-6-29 18:27:00 发表
Prevent  SSM read shutdown.ssm

楼主,SSM的终身注册码已经出了哦
http://bbs.ikaka.com/showtopic-8574245.aspx


那个system,我认



1,我不认为SYSTEM是SSM的东东,因为即是不装SSM,Tiny的监测也一样记录出无数的"system"的活动.我问的是:在windows中,究竟哪个具体的文件是"system";
2,你说的rundll32.dll调用问题,我没观察过,不知确如你说的.是不是因为对老tiny的监测设置规则做得不妥形成的呢?
3,我不需要什么注册码,一样终身用收费版的ssm而不需月月操心.但还是谢谢高手你!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT