学会使用SSM——你可以鄙视“熊猫烧香”一类的NB病毒 bbs.ikaka.com

baohe - 2007-2-4 17:18:00

SSM下载地址：http://www.syssafety.com/files.html

据说SSM与瑞星冲突。SSM与瑞星防火墙冲突，已经有多人指出。至于SSM是否与瑞星杀软冲突，我没发现。现在，本人系统中没有瑞星杀软和防火墙，因此不便就此评论。
——————
“熊猫烧香”啊，还有那个最近NB了一下的OSO.exe（一只木马）啊，着实让不少朋友头疼了一下。
其实，只要你会用、善用SSM，在你眼里，这些NB病毒、木马都是小菜一碟！

什么叫“会用SSM”？这个问题的答案可以有N个。但是，说一千，道一万，用户还要自己动手使用它，熟悉它，才会逐渐达到“会用”的境界。即所谓“在游泳中学会游泳”（貌似是毛**他老人家的语录）。你不接受它（指SSM），你总嫌它烦人（设置不到位，提示较多），那你就永远别想什么“善用”SSM。
一句话：软件是“用”出来的，不是听别人侃而会用的；更不是看看书，就能看会的。
为了省事，不少人向别人索要已经定义好SSM的防护规则。我不赞成这种做法。SSM属于HIPS，它是一种让用户“量体裁衣”的安全工具。别人体重200斤，你的体重只有105斤，他的“衣服”你能穿着合适？！
还有人说：装SSM前，系统应该是干净的（系统不干净就不能装SSM？）。理论上，这种说法不错。实际上，这种说法没什么意义。不懂系统（或对系统一知半解）的用户占大多数，谁知道自己的系统是否干净？杀软扫过，没毒，就算干净？

我的体会：无论系统是否干净，只要你能将SSM装入系统，能运行，而且你想用SSM，你就用好了。但是，奉劝SSM的粉丝们一句：你应当了解自己当前使用的系统。至少应该知道：正常情况下，“各分区根目录”、“windows文件夹”、“系统文件夹”、“当前用户目录”、“本机目录”、“当前用户TEMP文件夹”等诸文件夹中大致有那些文件。对注册表的结构及其大致框架也有所了解。
否则，你自己动手设置SSM的“规则”时，会感到格外郁闷。

以下，就“熊猫烧香”悄悄进入系统时SSM的提示对话框及其应答，简述用SSM收拾这类NB病毒的基本操作，给SSM的粉丝们鼓鼓士气。

1、如果你正在浏览网页或者下载资料，SSM忽然弹出这样的对话框（图1），你应该按照图1所示予以回应（都看到熊猫的logo了，还犹豫吗？）。

附件: 155847200724170900.jpg

baohe - 2007-2-4 17:18:00

2、如果你一时慌乱，误点了“允许”，还有一次机会（图2）。

附件: 155847200724170932.jpg

baohe - 2007-2-4 17:19:00

3、对于刚才的失误，最好补救一下（图3）。这也说明：即使系统中有毒，也没什么了不起，SSM提供补救手段。只要你自己能辨认出病毒程序来，就有办法对付它。

附件: 155847200724170959.jpg

baohe - 2007-2-4 17:19:00

4、继续（图4）。

附件: 155847200724171023.jpg

baohe - 2007-2-4 17:20:00

5、九十九拜都拜过了，别忘记了最后这“一哆嗦”（图5）。不少初学者“功亏一篑”，问题多出在这里：最后，没点击“应用设定”，blocked规则并不生效。病毒进程也不会结束。

附件: 155847200724171053.jpg

xzlx3354 - 2007-2-4 17:20:00

能把子级进程消灭吗？哪里有地方下载　？

baohe - 2007-2-4 17:20:00

6、有人说：我点击了“应用设定”，可是，病毒进程就是结束不了。原因可能在这里：你没有勾选这两个复选框（图6）。应该勾选这两个复选框。同样，别忘记：最后须点击“应用选项”。

附件: 155847200724171118.jpg

baohe - 2007-2-4 17:21:00

7、接下来，宰掉病毒文件即可（图7）。

附件: 155847200724171145.jpg

鸟儿天上飞 - 2007-2-4 17:23:00

呵呵大叔又辛苦了....天天潜水也不见您写帖子今天终于赚到啦 HOHO~!!

baohe - 2007-2-4 17:23:00

8、别忘记了这个关键设置。否则，熊猫进入系统后，你才想起运行SSM————那你就郁闷了！

附件: 155847200724171409.jpg

UFO不幸外人 - 2007-2-4 17:34:00

支持猫叔，SSM确实是一个好软件，但是可能使用起来比较复杂。

看过很多文章都是介绍这个软件的

baohe - 2007-2-4 17:37:00

引用:

【UFO不幸外人的贴子】支持猫叔，SSM确实是一个好软件，但是可能使用起来比较复杂。

看过很多文章都是介绍这个软件的
………………

看文章，有帮助，但不能解决根本问题。
用好SSM的两个基本条件：
1、熟悉自己使用的系统。
2、熟悉SSM的设置及其设置调整操作。

这些，要慢慢来。一锹挖不出井来。

修罗撒旦 - 2007-2-4 17:51:00

如果稍微懂一点电脑知识,SSM 都可以试着用一下

忘记从前 - 2007-2-4 17:51:00

顶啊```

dier - 2007-2-4 18:02:00

慕名而来,就收到baohe的大礼一份, 幸哉
刚装上SSM 612版,还有很多没搞明白.真希望斑斑能出个较为详细的SSM教程. 在网上搜了不少关于SSM的算是教程吧,看得不明不白.有些规则不知道怎么设? 如winlogon.exe, svchost.exe, services.exe, explorer.exe...这些在系统控制,代码/DLL注入,进程控制,保护,网络,选项中怎样设还搞不明白.刚看了你的宰杀那个鸽子的,注入winlogon运行的,我都不知道怎么设它的规则了.在winlogon.exe的下面,代码注入/DLL注入下只有三个选项(允许远程代码控制,允许远程数据修改,挂起进程/线程),默认是都是灰色的问号,类似的我该怎么做? 盼赐教. 谢谢.

baohe - 2007-2-4 18:08:00

引用:

【dier的贴子】慕名而来,就收到baohe的大礼一份, 幸哉
刚装上SSM 612版,还有很多没搞明白.真希望斑斑能出个较为详细的SSM教程. 在网上搜了不少关于SSM的算是教程吧,看得不明不白.有些规则不知道怎么设? 如winlogon.exe, svchost.exe, services.exe, explorer.exe...这些在系统控制,代码/DLL注入,进程控制,保护,网络,选项中怎样设还搞不明白.刚看了你的宰杀那个鸽子的,注入winlogon运行的,我都不知道怎么设它的规则了.在winlogon.exe的下面,代码注入/DLL注入下只有三个选项(允许远程代码控制,允许远程数据修改,挂起进程/线程),默认是都是灰色的问号,类似的我该怎么做? 盼赐教. 谢谢.
………………

1.

附件: 155847200724175857.jpg

baohe - 2007-2-4 18:08:00

2.

附件: 155847200724175935.jpg

baohe - 2007-2-4 18:09:00

3.

附件: 155847200724180008.jpg

友好人士 - 2007-2-4 18:27:00

【回复“baohe”的帖子】
国宝持香冒毒烟，遥看熊猫入硬盘。
泪水成行两三尺，杀软备份全完蛋。
猫叔，你好酷！

dier - 2007-2-4 18:28:00

谢谢斑斑及时详细的教程. 辛苦了,谢谢!发自内心的真诚的谢谢.
另外, explorer.exe,services.exe也是这样设置么?
还有我发现svchost.exe在代码注入那儿,允许远程代码控制和数据修改都是两个绿色的勾,网络中允许存取受信地址和允许存取非受信地址也是两个绿色的勾,有问题吧? 心里十分疑惑.
又打扰您,十分不好意思.
再次感谢您及时详细的讲解.

baohe - 2007-2-4 18:31:00

【回复“dier”的帖子】
老婆叫我吃饭了。
晚上再接着谈。

dier - 2007-2-4 18:37:00

好的, 谢谢啊.多吃点:)

czy156 - 2007-2-4 18:46:00

顶!!!!!!
不知去那里下载

寻找北方的哥儿 - 2007-2-4 18:55:00

我也顶一下,因为自己也用着.SSM这东西还可以,唯一不怎么清楚的是,安装软件的时候,要"允许",拒绝一大堆的数据,有点烦...有时也不明白其中的一些东东....

寻找北方的哥儿 - 2007-2-4 19:07:00

允许物理内存存取,底层磁盘存取,允许关闭系统,底层键盘存取,

这是某个规则的系统控制,不明白以上四个设置,猫叔可否说一下

附件: 833061200724185820.bmp

晚风秋影 - 2007-2-4 19:08:00

那地方有下？我也想用用？

sanjingshou - 2007-2-4 19:13:00

斑竹:我的SSM怎么没有找到移至群组的

33887 - 2007-2-4 19:17:00

别人用我的电脑都设置在完全影子模式下使用.自己则在正常模式或单一影子模式下打开SSM使用.有了这两把利器电脑安全多了.

问一下版主,SSM是不是在安全模式下无法启用,会提示无法加载驱动

dier - 2007-2-4 19:34:00

引用:

【czy156的贴子】顶!!!!!!
不知去那里下载
………………

你去官方网站下吧.
下载地址: https://www.syssafety.com/files.html

dier - 2007-2-4 19:36:00

PS: 想用正版的话,以下这个注册码可以用到2007-07-19
(全部复制,粘贴进去)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瑞星卡卡安全论坛