瑞星卡卡安全论坛

System Safety Monitor
关于
我们将会帮助你保护你的计算机免于有害的程序

安心使用最新版本的SSM将会使你的电脑更安全









http://www.syssafety.com/
© 2005-2006 System Safety Limited. All rights reserved.
Document version: System Safety Monitor 2.0.6.



附件: 7011342007214221510.bmp

【回复“282937372”的帖子】概论

SSM允许你实时跟踪各种系统活动，以阻止不受欢迎的行为。



概念

SSM是基于主机入侵保护系统(HIPS)－－安全软件的级别是保护微软Windows操作系统不受病毒与木马程序侵害，这是些是通过监视所有运行程序的行为和阻止恶意程序与可疑程序行为。然而SSM不是一个杀毒软件，例如，它不能提供发现和清除病毒的方法。而且，如果这些程序被允许运行后造成系统损坏，SSM也不能被用来恢复系统。

它能提供保护，防止被能绕过传统防火墙，杀毒软件，或其它基于病毒库的安全工具攻击，这些安全工具只能够处理它们病毒库中已经存在的已知威胁。SSM控制应用程序行为以及它通过用户设置规则获得本地系统资源。SSM采用的方法能够保护关键的系统进程或数据库，防止两者受到已知或未知的威胁。有时通过Internet连接到电脑上，及时的更新SSM特征库是必要的。

病毒和木马程序基本上都是采用相似的方法实现的(尽管在具体细节上可能有所不同)。

SSM的主要任务是发现和阻止任何恶意应用程序的行为。



功能模块

SSM包含几个功能模块，这些模块之间是相互独立的，可以是允许或不允许。



进程监视与应用程序规则

跟踪所有活动中的应用程序，其中包括已经运行或正将运行的程序，允许你控制：

l        哪个应用程序可以运行；

l        哪个应用程序可以通过选择一个(子进程)运行；

l        哪个应用程序可以通过选择一个(父进程)被允许运行；

l        是否修改选择的程序允许其运行；

l        是否修改选择的程序允许其安装驱动；

l        是否修改选择的程序允许其执行注入代码或DLL注入。

利用子系统，你可以：

l        创造/终止一个进程(应用程序)。

l        选择一个应用程序，监视其DLL模块清单。



模块

子系统包括一系列的程序扩展功能模块。任何时刻，在下面的系统部分，模块都提供跟踪和阻止的改变。

l        Windows注册表

l        驱动和服务

l        INI文件

l        开始菜单组(开始\所有程序\开始)；

l        微软Internet Explorer设置；

l        应用程序窗口。

教程

该教程逐步说明SSM的基本功能，目的是让新用户学会如何使用SSM。



内容：

l        步聚1.安装SSM，切换SSM语言到希望的语言界面。

l        步聚2.创造运行程序规则。

l        步聚3.安装日志和“应用”日志对话框。

l        步聚4.启动程序规则，并创造规则。

l        步聚5.在学习模式中创造规则。

l        步聚6.启动模块。

l        步聚7.建立窗口过滤。



步骤1. 安装SSM，切换SSM语言到希望的语言界面。



安装

开始安装SSM。点击安装快捷方式，执行安装SSM：指定SSM安装目录，指定是否在桌面上和开始菜单中创建快捷方式；在复制必需的安装文件后，要求你重新启动电脑。重新启动电脑…。



设置你的语言界面

重新启动电脑后，打开SSM设置主窗口。双击系统托盘上SSM图标，或者使用桌面或开始菜单中的快捷方式。



附件: 7011342007214221806.bmp

切换界面语言到希望的一个，点击选项卡“Options”，在左边选择“General”，再选择语言的组合对话框，并按“Apply options”按钮。



附件: 7011342007214221959.bmp

步聚2.创造运行程序规则。

第一次安装后启动SSM，重新提供一个好的机会去创建服务和程序的允许规则，这些规则将配置系统自动启动和用户登陆项目。

为运行程序创建允许规则，点击选项卡“进程监视器”，那些程序没有规则将显示蓝色。右键菜单点击“信任全部”。现在所有运行这个程序都有一个规则(允许的那一个)，这个颜色将变为黑色。检察创建规则的清单，点击“应用规则”。


附件: 7011342007214222124.bmp

步骤3.建立日志和“应用日志”对话框



应用程序日志

应用程序日志目的是告诉你有关应用程序工作的一引动阶段，例如：启动，终止，等等。

“应用程序日志”对话框

打开“应用程序日志”窗口：

        在系统的系统托盘上中，右键点击SSM图标，在出现的菜单选项中选择“显示应用程序日志…”；

        或打开主菜单，点击选项卡“应用程序规则”，点击“显示日志…”按钮。



附件: 7011342007214222316.bmp

在“应用程序日志”对话框中，设置“最大记录条数”到10，这种方法你配置SSM只显示10条最近的日志。



附件: 7011342007214222432.bmp

选项“自动关闭在(秒)”是允许你配置SSM自动关闭“应用程序日志”对话框在设置的时间段后。如果你想能够读所有显示的日志，而不再怕窗口自动关闭，你也可以不选择此项。



建立应用程序日志

在需要显示“应用程序日志”对话框时建立，点击选项卡“选择”，选择“日志”。


附件: 7011342007214222614.bmp

安装SSM后，默认情况下，所有日志除了“阻止应用程序，库文件，驱动”之外，其它项是没有选择的。认为日志允许(“允许”选项是打开的)，然后打开“显示应用程序日志窗口”选项，按“应用选项”按钮，因而，如果SSM将终止任何程序，依照不允许规则，“应用程序日志”对话框将会出现的屏幕。



步骤4.使用应用程序规则，创建规则



规则

在SSM规则中，定义一系列的应用程序行为的允许或不允许规则。为了让SSM开始控制应用程序的工作，就必须使用选项“启用应用程序规则”



启用应用程序规则

选中“启用应用程序规则”选项，它是在选项卡“应用程序规则”上，另一种方法打开/关闭选项“使用应用程序规则”，是右键选择系统托盘上中的SSM图标，再选择模块，再选择相应项目。


附件: 7011342007214222952.bmp

当选择“启用应用程序规则”后，SSM仅仅允许那些获得允许的启动和运行程序，防止那些被禁止的程序启动。因此，如果你想你的电脑运行那些程序，你需要创建那些程序为允许规则。



“应用程序活动”对话框

依靠“应用程序活动”对话框是为了便于创建应用程序允许规则。这个对话框非常重要――它会在当系统中任何程序在没有规则定义的情况下，企图执行一个程序时，都会给出信息。

“应用程序活动”对话框那一个程序试图运行完成什么任务，而且也允许你指定一个规则(允许或不允许)或允许/阻止没有规则的行为。



附件: 7011342007214223134.bmp

当你继续使用你的电脑时，对话框窗口“应用程序活动”将会时常出现，而不显示已经存在规则的应用程序。因此，必须特别注意新出现“应用程序活动”对话框，因为它显示即将运行的是有点不同于以前程序。



步骤5.在学习模式下创造规则

“学习模式”是SSM的特殊模式，它允许你在没有“应用程序活动”对话框的情况下，为某个行为创建允许规则。这种模式对于安装SSM后，最初创建信任和熟知的应用程序允许规则非常有用。



使用“学习模式”

点击“进程监视器选项卡”，选中“学习模式选项”。




附件: 7011342007214223302.bmp

运行信任的应用程序，SSM将会为这些运行中的应用程序创建允许规则，加载驱动程序等等。若结束它，只要点击“进程监视器”选项卡，去掉“学习模式”选项。

更多的信息，请看“学习模式”主题。



步骤6.启动模块



模块

安装SSM后，所有的模块是禁用的。这就需要你通过必要的设置配置这些模块。

每个模块的启用都是相互独立的，只要在“模块”选项卡上通过“启用模块”选项就可以了。



附件: 7011342007214223502.bmp

记住：改变模块的设置，要使它产生效力，就一定要按“应用设置”按钮，这会保存最后的设置。



模块报警

报警目的是通过模块识别告诉你有关系统数据的改变。

这些模块的报警可以启用/禁用，是通过点击“选项”选项卡，再点击“日志”选项，再点击“显示模块报警”窗口选项，默认情况下，该项是启用的


附件: 7011342007214223644.bmp

记住：改变模块的设置，要使它产生效力，就一定要按“应用设置”按钮，这会保存最后的设置。



打开“模块报警”窗口

l        在系统系统托盘上上右键点击SSM图标，在出现的选项中，选择“显示模块报警…”；

l        或者打开SSM主窗口，点击“模块”，点击“显示模块报警”按钮…。


附件: 7011342007214223824.bmp

在“模块报警”窗口，选项“自动关闭在(秒)”是允许你配置SSM在设置的时间段后自动关闭“模块报警”对话框。如果你想能够读所有显示的日志，而不再怕窗口自动关闭，你也可以不选择此项。



步骤7. 创建窗口过滤

窗口过滤模块包括两个部分：“过滤器”和“窗口”。



窗口

运行应用程序的窗口列表显示在窗口部分，选项“列表中包含隐藏窗口”允许你显示看得见和看不见的窗口。



过滤器

在过滤器区域，你可以看到窗口过滤设置，当启用这个模块时，那么SSM会自动关闭这些包含过滤某个单词标题列表中的窗口。

当应用窗口过滤器时，例如，如果你访问一个网站附加了一些窗口，如广告窗口。可以通过启动窗口过滤，自动关闭这样的窗口：编辑过滤列表，输入一个单词，这个单词是当前“不受欢迎的”窗口标题(如“广告”)，点击按钮“增加”，添加过滤器过滤单词列表。

记住：改变模块的设置，要使它产生效力，就一定要按“应用设置”按钮，这会保存最后的设置。
为活动窗口过滤，需要打开“启用这个模块”选项，这个可以应用，也可以在系统托盘上SSM图标中右键上选择。



附件: 7011342007214224216.bmp

参数设置

进程监视

在进程监视选项卡上，有一个当前所有运行应用程序列表，在这个窗口中，你可以对正在运行的程序完成各种任务。



附件: 7011342007214224344.bmp

进程列表中没有规则(允许或阻止)时，将突出显示为蓝色。





主要任务



创建/编辑应用程序规则

        从列表中选择一个进程；

        选择“编辑规则”菜单(右键点击该应用程序，然后选择打开子菜单中规则类型)。



改变程序规则

        选择列表中进程；

        选择“编辑规则”菜单(右键点击该应用程序，然后选择打开子菜单中规则类型)。



重新计算MD5

如果程序与相应规则有不同的校验和，这样的程序将会被使用专门的颜色突出显示在进程列表中(默认使用粟色，也可以改变突出显示颜色)。

如果你信任这个进程，你可以重新计算校验该程序：

        选择列表中进程；

        选择“重新计算校验和”(利用右键菜单)。

此时创造所有正在运行中的应用程序允许规则

        选择列表中进程；

        点击“信任全部”，(利用右键菜单)。

终止进程

        选择列表中进程；

        按“Delete”键，或选择“终止”，(利用右键菜单)。

启动新的进程

        选择列表中任何进程；

        按“Insert”键，或选择“新建…”，(利用右键菜单)。窗口“运行”对话框将会显示。

启动调试进程(*仅NT系统)

        选择列表中任何进程；

        选择“调试”菜单项，(利用右键菜单)。

*－如果系统中安装了调试器，这个菜单项才能启用。如果有一些调试器，那么默认的一个将被启用。

查看进程属性

        选择列表中的一个进程；

      选择“属性…”菜单项，(利用右键菜单)。

查看进程中使用的模块

        选择列表中的一个进程；

        选择“模块列表…”菜单项，(利用右键菜单)。




附件: 7011342007214224600.bmp

16楼？

进程列表中没有规则(允许或阻止)时，将突出显示为蓝色。





主要任务



创建/编辑应用程序规则

l        从列表中选择一个进程；

l        选择“编辑规则”菜单(右键点击该应用程序，然后选择打开子菜单中规则类型)。



改变程序规则

l        选择列表中进程；

l        选择“编辑规则”菜单(右键点击该应用程序，然后选择打开子菜单中规则类型)。



重新计算MD5

如果程序与相应规则有不同的校验和，这样的程序将会被使用专门的颜色突出显示在进程列表中(默认使用粟色，也可以改变突出显示颜色)。

如果你信任这个进程，你可以重新计算校验该程序：

l        选择列表中进程；

l        选择“重新计算校验和”(利用右键菜单)。

此时创造所有正在运行中的应用程序允许规则

l        选择列表中进程；

l        点击“信任全部”，(利用右键菜单)。

终止进程

l        选择列表中进程；

l        按“Delete”键，或选择“终止”，(利用右键菜单)。

启动新的进程

l        选择列表中任何进程；

l        按“Insert”键，或选择“新建…”，(利用右键菜单)。窗口“运行”对话框将会显示。

启动调试进程(*仅NT系统)

l        选择列表中任何进程；

l        选择“调试”菜单项，(利用右键菜单)。

*－如果系统中安装了调试器，这个菜单项才能启用。如果有一些调试器，那么默认的一个将被启用。

查看进程属性

l        选择列表中的一个进程；

l        选择“属性…”菜单项，(利用右键菜单)。

查看进程中使用的模块

l        选择列表中的一个进程；

l        选择“模块列表…”菜单项，(利用右键菜单)。





附件: 7011342007214225146.bmp

应用程序规则

在应用程序规则选项卡中，你可以管理应用程序规则，包括创建，删除和编辑规则，也可允许或阻止它们。



附件: 7011342007214225333.bmp

应用程序概论

每个应用程序都有一个自己的规则。当一个没有规则的程序启动时，那么你可以快速地创建一个永久的或一次性的(暂时的)规则。当修改/升级了应用程序使用这个规则启动时，那么SSM将会警告用户或快速改变存在的规则。



规则类型

规则可以为：

l        允许――规则允许应用程序完成这个任务；

l        阻止――规则不允许应用程序完成这个任务；

l        高级――规则有一个附加父/子级项。

想了解更详细的有关父/子级项主查阅“高级应用规则”主题。

对象类型

规则属性不同于对象类型。对象类型：

l        应用程序――规则的Windows应用程序与服务；

l        驱动――系统驱动；

l        库――使用全局钩子的Dll库；

l        SSM――SSM组件。自动创建的SSM对象规则，不能被删除。

l        系统――关键的系统进程。自动创建的系统对象规则，不能被删除。

更详细不同对象类型的规则特别权限，请查看“规则特别权限”主题。



允许/阻止应用程序规则

“启用应用程序规则”选项是允许/阻止规则。如果启用应用程序规则，那么每次当任何程序试图启用其它无师进程时，执行DLL/代码注入或加载库或驱动，SSM中途截取这个行为，检查规则列表，根据规则组阻止/允许它进行更进一步执行，让用户对这个行为做决定。

如果关闭“启用应用程序规则”，SSM图标在系统托盘上，变红。



附件: 7011342007214225503.bmp

如果打开“启用应用程序规则”，SSM图标在系统托盘上，变绿

附件: 7011342007214225610.bmp

应用程序规则”选项卡



应用程序查找

文本框允许快速完成查找应用程序名。查找时，输入全部或部分程序名，或完整的可执行文件名。第一个合适的记录将会突出显示。按[ENTER]键，突出显示第二个合适的记录。启动该程序及相关联的规则，按[Ctrl] +[ENTER]。



应用程序规则列表

应用程序规则列表有四栏，第一栏包含应用程序可执行文件的全名。第二栏是规则对象的类型。第三栏是规则类型。第四栏是应用程序的校验码(MD5)。

突出显示规则：

主要行为：

无论你对规则列表做出什么样的改变，你需要按“应用设置”按钮。只有这样，所作的设置才会生效。


附件: 7011342007214225738.bmp

删除规则：

l        选择一条规则或几条规则(按住Shift不放或Ctrl键)；

l        按[Delete]键或选择“删除”菜单。(利用右键选项菜单)。

创建一个新的规则：

l        将焦点放在列表查看上，按Insert键，或在右键菜单中选择“新建…”菜单选项。

改变规则类型：

l        选择列表中的一个规则；

l        按F2或F3键，然后选择规则子菜单中适当的类型。

附加行为

校验码

更新文件校验码可能在你已经更新几个应用程序但不想马上启动它们时有帮助。

更新应用程序校验码：

l        选择一条或几条应用程序(按住Shift不放或Ctrl键)；

l        按F12键，或在“数据库维护”子菜单中选择适当的菜单项。

运行应用程序：

l        选择列表中的一个应用程序；

l        按Ctrl+Enter键或右键菜单中选择“执行”。

改变应用程序父/子附属：

l        选择列表中的一个应用程序；

l        鼠标左键双击选中程序，或在右键菜单选项中选择“高级属性”对话框。

l        在“高级属性”对话框中，检查/不检查应用程序检查栏。

更详细的请查看“高级应用程序规则”主题。

特别的权限

特别权限部分标记依赖对象类型。

改变应用程序特别权限

l        选择列表中的一个应用程序；

l        在窗口底部，或在规则菜单右键选择“特别权限”选项，检查/不检查应用程序标记。

更详细的请查看“规则特别权限”主题。

规则的特别权限

规则的特别权限选项有以下状态：

l        允许( )；

l        阻止( )；

l        询问用户( )。

注意：当标记设置为“询问用户”时，SSM将跳到“应用程序活动”对话框。

依赖对象类型(“库”，“驱动”，“系统”，“应用程序”，“SSM”)，特别权限选项是不同的。



“驱动”对象选项



附件: 7011342007214225920.bmp

对于日志选项，如果你选择 ，那么SSM将会从“日志”部分选项卡应用设置。

加载驱动

加载驱动时，写入日志。

阻止加载驱动

当SSM阻止加载驱动时，写入日志。

其它驱动选项


附件: 7011342007214230115.bmp

不检查MD5

加载驱动时，不执行检查MD5



“库”对象选项

日志选项




附件: 7011342007214230212.bmp

对于日志选项，如果你选择 ，那么SSM将会从“日志”部分选项选项卡应用设置。

加载库

加载库时，写入日志。

阻止加载库

当SSM阻止加载库时，写入日志。

其它库选项：


附件: 7011342007214230946.bmp

不检查MD5

加载库时，不执行检查MD5





附件: 7011342007214231304.bmp

SSM”对象没有选项

“系统”对象选项

[系统”对象没有选项

“应用程序”对象选项