瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【视频教程】SSM的保护与设置[原创]

12345678»   1  /  10  页   跳转

【视频教程】SSM的保护与设置[原创]

【视频教程】SSM的保护与设置[原创]


SSM(System Safety Monitor) 是个不错的应用程序级监控工具(目前为止,最新版的的2.0.0.561版还是免费的),不少人都在用。
但是,到目前为止,SSM一直没考虑自身的安全保护问题。甚至在以非管理员身份登陆系统后,你都可以编辑、修改甚至加密其Global.cfg(全局配置文件);删除其驱动程序safemon.sys。这些问题已经向Syssafety官方反映过。回答是:在今后发布的2.x版中解决。2.x版?x=?;要收费的版本?

下面讨论的这个办法的基本思路是:借助带文件保护功能的的安全工具(如:TPF2005、McFee等)防止SSM的文件被删除、篡改。
SSM的设置也是常被问到的问题。因此,这里附上10个GIF动画,一并讨论SSM的保护与设置问题。

1、在TPF2005 的“文件保护”(File Protection)中添加一条规则,禁止改动程序文件夹中的任何文件。用户自己要安装程序时,右击任务栏中的TPF图标,暂时关闭TPF的Windows Security即可。

附件附件:

下载次数:2019
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-11 11:58:06
描述:



最后编辑2008-02-23 18:13:36
分享到:
gototop
 

2、与第一步相仿,添加一条文件保护规则,禁止改动Windows及其各级子目录中的文件(防止safemon.sys被删除,也可防止不少病毒、木马感染,一举多得)。Windows更新或用户自己需要处理这些目录下的文件时,暂时关闭TPF的Windows Security。

附件附件:

下载次数:2028
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-11 11:58:49
描述:



gototop
 

3、SSM启动时,要在自己的安装目录下建立、写入一个.log文件。因此,还要再加一条规则——允许SSM访问自身的文件。

附件附件:

下载次数:2045
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-11 11:59:38
描述:



gototop
 

4、SSM的基本设置:语言选择及各防护模块的启用。

附件附件:

下载次数:1993
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-11 12:00:07
描述:



gototop
 

5、通知、日志等选项的设置。

附件附件:

下载次数:2023
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-11 12:01:06
描述:



gototop
 

6、IE浏览器的基本安全防护设置(其它应用程序的安全防护也可仿此处理)。

附件附件:

下载次数:1897
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-11 12:01:45
描述:



gototop
 

7、IE浏览器的父子关系设置。如图所示设置“IE浏览器的子父关系”后,只要SSM运行,只有explorer.exe、wuauclt.exe、wupdmgr.exe三个程序可以启动/运行IE浏览器。如果再在SSM的设置中分别就explorer.exe、wuauclt.exe、wupdmgr.exe三个程序设置“禁止代码注入”、“禁止全局钩子”... ...,IE浏览器的安全问题基本可以解决了。

附件附件:

下载次数:2029
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-11 12:02:38
描述:



gototop
 

8、接下来的问题是:如何防止IE的父级程序(如explorer.exe)被恶意程序滥用?用SSM解决这个问题的办法与上一步“IE浏览器的子父关系设置”相仿——为explorer.exe设置父子关系。explorer.exe的“子”可以有很多(通过桌面快捷运行的程序都可设为explorer.exe的“子”);但explorer.exe的“父”,我只设了一个——winlogon.exe。其它应用程序间的父子关系,也可仿此设置。

附件附件:

下载次数:2136
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-11 12:04:54
描述:



gototop
 

9、在SSM注册表监控模块中添加“文件关联保护”。SSM的默认设置中没有这些保护(Qoo以前提到过这个问题),用户可以仿照下面图中的操作自己添加这些内容。另外,常被某些木马利用的一些注册表键(如:ShellExcuteHook键)也可以这样的办法保护起来。

要添加的文件关联保护项具体内容:

HKEY_CLASSES_ROOT\exefile\shell\open\command\

HKEY_CLASSES_ROOT\txtfile\shell\open\command\

HKEY_CLASSES_ROOT\inifile\shell\open\command\

HKEY_CLASSES_ROOT\scrfile\shell\open\command\

HKEY_CLASSES_ROOT\batfile\shell\open\command\

HKEY_CLASSES_ROOT\cmdfile\shell\open\command\

HKEY_CLASSES_ROOT\regfile\shell\open\command\

HKEY_CLASSES_ROOT\comfile\shell\open\command\

HKEY_CLASSES_ROOT\folder\shell\open\command\

HKEY_CLASSES_ROOT\chm.file\shell\open\command\


HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command\

HKEY_CLASSES_ROOT\mailto\shell\open\command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command\

附件附件:

下载次数:1934
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-11 12:06:00
描述:



gototop
 

10、确认当前运行的程序没有问题后,一次校验它们的MD5;SSM会记下这些MD5值。以后,当这些程序被破坏后,SSM会报警。程序升级后,MD5会变(废话),SSM会提示你的。用户自己根据实际情况确认一下即可。

附件附件:

下载次数:1765
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-11 12:07:11
描述:



gototop
 
12345678»   1  /  10  页   跳转
页面顶部
Powered by Discuz!NT