瑞星卡卡安全论坛

隐蔽性较高、插入正常进程运行的木马/后门越来越多。遇到这类木马，有时用杀软也不能立即搞掂。怎么办？
我的习惯是用SSM解决问题。
SSM的全称为：System Safety Monitor，即：系统安全监控器。这个工具已经是“多国语言”版，支持简体中文。下载地址：http://www.syssafety.com/files.html。
SSM的使用确实比PG稍复杂些，但还算一个简单、易用的工具。如果你的IQ高于正常人，半天就能学会SSM的使用；如果你的IQ在“普通人”的水平，2－3天也能掌握它；如果你的IQ略低于“普通人”的水平，但还不属于“弱智”，花一周左右的时间，也能用它解决一些常见的问题了。
不少人不会（或不善）用SSM解决问题，其实不是其IQ偏低，而是“懒惰成性”，总是指望用杀软一下就将木马灭掉。这个帖子不是给这类人看的，我也不打算与这类人辩论“杀软是干什么的”、“XX杀软是否垃圾”、“如何向杀软商索赔”等问题。如果你将SSM理解为“运行后就能杀死那些该死的病毒/木马”的工具，那么，您就大错特错了。SSM根本就不是杀软！对于那些不愿意自己动手的的人，这个工具基本没用。还是早早卸载了好。
这个论坛里有个帖子，是我做的几个SSM操作的动画，可供初学者参考：http://forum.ikaka.com/topic.asp?board=28&artid=7781820。


下面，以一个较隐蔽的后门为例，说明用SSM搞掂它的具体过程。

这个后门运行后，SSM并不能发现其文件创建、注册表改动等行为。但是，SSM的进程列表中可发现异常的浏览器进程和异常DLL模块加载（图1）。我用OPERA浏览器，但此时，OPERA并未打开。
遇到这类怪事，应追究具体原因。
右击这个DLL，查看其“属性”（图2）——更加可疑（正常的文件都有“版本”标签，而它没有！）；文件创建日期也是最近的。
右击SSM“规则”面板，自己添加一条规则，禁止这个DLL加载运行。
添加上述规则时，意外发现同一路径下还有一个server.exe文件（图3），创建日期与上面那个DLL相同。再添加一条规则，禁止server.exe加载运行。
规则添加完后，务必点击面板下方的“应用设定”（图4）。否则，你就瞎忙活了！
还要核实一下图5所示的复选框是否勾选了（需勾选）。
下一步：将SSM设置为“自动启动”（图6），也就是“系统启动时，SSM自动加载运行”。
最后，重启系统，这个后门就被废掉了。尽管后门的.exe、.dll文件还未删除，注册表项也未清理；但只要你的SSM能随系统启动加载运行，这个后门已经没用了。
至此，只剩下了打扫垃圾的问题了。自己清扫一下，就全部搞掂了。

图1



附件: 155847200652103036.jpg

图2

附件: 155847200652103103.jpg

图3

附件: 155847200652103122.JPG

图4

附件: 155847200652103149.JPG

图5

附件: 155847200652103212.JPG

图6

附件: 155847200652103242.jpg

版主好厉害，这样聪明的木马也让版主查找。
今天SSM刚好升级，学习了。谢谢

根据创建日期和最后修改时间来判断对手动查毒很有帮助

版主，我属于＂弱智＂那一类的，要多久才学会呀？

这里有个关键的前提是要对正常的进程模块非常的熟悉
嗯！看来的下一番功夫才行．^_^
为方便大家，我直接给出下载链接吧：
http://syssafety.com/download/ssm-2.0.6.569.exe?pid=100

是啊,现在病毒发展太快
光靠杀软不行了
全世界上亿人在搞病毒
几千人搞杀软……
就得聪明一点

可是我怎么觉得它跟任务管理器差不多
我晕

我这机器上怎么装最新版，前面的版本卸载时即使钩选了卸载同时清除注册信息，再装上也都是授权已过期，不能像其网站上说的那样使用60天，挺郁闷的。

不过SSM确实在程序的控制上做得相当不错，比PG、Winpooch等同类软件都要更为细致。

引用:

【天天泡泡的贴子】我这机器上怎么装最新版，前面的版本卸载时即使钩选了卸载同时清除注册信息，再装上也都是授权已过期，不能像其网站上说的那样使用60天，挺郁闷的。 不过SSM确实在程序的控制上做得相当不错，比PG、Winpooch等同类软件都要更为细致。 ...........................

我曾将系统日期改为2008年。重启后，SSM也报过期，但运行正常。用木马样本试过。依然管用。

引用:

【友好人士的贴子】这里有个关键的前提是要对正常的进程模块非常的熟悉 嗯！看来的下一番功夫才行．^_^ ...........................

我还不行,我得要好好专研系统的进程才行呀

引用:

【baohe的贴子】 我曾将系统日期改为2008年。重启后，SSM也报过期，但运行正常。用木马样本试过。依然管用。 ...........................

这样也可  以~~试试

版主辛苦~~

新鲜出炉的作品，嘿嘿！支持一下
我256的内存，有点~~~~

SSM真是8错哈。
偶也256，跑起来没什么感觉……

学习

我的机器上也是授权过期了

引用:

【浅浅蓝的贴子】我的机器上也是授权过期了 ...........................

不要过于看重这个“授权过期”提示。
用个可以查杀的木马/病毒实际考验它一下。如果能正常工作，就别管那么多了。什么时候真的不能用了，再说。
实践是检验真理的唯一标准！

引用:

【baohe的贴子】 不要过于看重这个“授权过期”提示。 用个可以查杀的木马/病毒实际考验它一下。如果能正常工作，就别管那么多了。什么时候真的不能用了，再说。 实践是检验真理的唯一标准！ ...........................

那么我还是接着用。本来想改用PG+RD了，用惯了SSM觉得很顺手，到不能用了再说/

【回复“天天泡泡”的帖子】
Winpooch与SSM相比有点嫩
上一次利用Winpooch测试病毒样本
差一点重装系统

晕倒了

引用:

【baohe的贴子】 我曾将系统日期改为2008年。重启后，SSM也报过期，但运行正常。用木马样本试过。依然管用。 ...........................

我未出现过这种情况。我把系统时间改为2009年后，重启，ssm未报过期，还是试用。我是xp英文版，不知是不是和英文版本操作系统有关。

附件: 202215200653114654.jpg

【回复“花飞影”的帖子】
截至到目前的569版，那个“试用期满”的提示只有象征意义。不影响实际使用。

换成2.0.0.551b2了,能用要6月.

问下斑竹,用旧版本的也可以吧?

引用:

【baohe的贴子】【回复“花飞影”的帖子】 截至到目前的569版，那个“试用期满”的提示只有象征意义。不影响实际使用。 ...........................

我上次在另一个帖子也回过你的啊，确实不影响使用，但是记不住程序规则了。

引用:

【不言放弃的贴子】【回复“天天泡泡”的帖子】 Winpooch与SSM相比有点嫩 上一次利用Winpooch测试病毒样本 差一点重装系统 晕倒了 ...........................

Winpooch在程序控制上我感觉漏洞太多，很多程序的调用它都没反应。

引用:

【天天泡泡的贴子】 我上次在另一个帖子也回过你的啊，确实不影响使用，但是记不住程序规则了。 ...........................

好像真是的，只有把它的配置文件另存一下了~~

请问图怎么看不到了呢？