瑞星卡卡安全论坛技术交流区入侵防御(HIPS) SSM“虚拟群组”的设置与病毒防护

12   1  /  2  页   跳转

SSM“虚拟群组”的设置与病毒防护

SSM“虚拟群组”的设置与病毒防护

打开SSM的首选项面板,点击“规则”、“程序”,你会看到SSM的“规则”列表中有一个名为Uregistreted组,对象类型为“虚拟群组”(图0)。
“虚拟群组”是个什么东东?不少人对此不甚了了。看SSM的“帮助文件”,貌似没有Uregistreted组的介绍。头大哦!
其实,要了解这个“虚拟群组”是啥,得先弄清SSM规则列表的内容。
默认情况下(也就是用户没有自己添加任何程序组),SSM的规则列表中只有下列组:
1、SSM组。此组收录SSM自身程序。组中的程序,不允许用户更改其父子进程设置等关键参数(有道理哦!),但用户可以往此组中添加程序(貌似无此必要)。
2、system组。此组收录系统程序。组中的程序,不允许用户更改其父子进程设置等关键参数,但允许用户往此组中添加程序(没这么变态的用户吧?)。
3、normal组。最初安装SSM时,用户为了省事,采用“学习模式”,将自己电脑中的应用程序录入SSM的规则中,这些用户应用程序收录于此组内。
4、blocked组。相当于大家熟悉的“黑名单”。凡是已知的病毒、流氓程序均应收录于此组中。
5、Uregistreted组。其实,这个所谓“虚拟群组”指的是除上述1-4组之外的任何程序(即:SSM规则列表以外的的程序。)

Uregistreted组有什么用?不少人问这个问题。最初,我对此组的功能也不甚了了(不是干这个行当的撒~)。某日闲来无事,玩儿了玩儿这个Uregistreted组的设置。结果,玩儿出麻烦来了。SRENG死活无法运行了。看看SSM规则列表没有SRENG的规则!汗!为了避免不必要的麻烦,我用SRENG之前总是关闭SSM。所以,SRENG一直没机会进入SSM规则列表。
把SRENG加入SSM规则列表,再运行SRENG试试------没任何问题!

原来,俺玩儿SSM时,因不了解Uregistreted组到底是个啥,就把它“废”了。
知道Uregistreted组有啥用了。若将SSM的“Uregistreted组”设置妥当(也就是我“废”掉Uregistreted组的那几步操作),可以将病毒拒之门外!
“废”掉Uregistreted组的操作如下:
1、双击Uregistreted组(图1)
2、禁止Uregistreted组与其它各组的父子进程关系(图2)。
3、点击“应用设定(图3)。

其实,这样设置并非“废掉Uregistreted组”;而是禁止未录入SSM规则列表的所有程序运行。
除非用户安装SSM时系统中已经有毒,且用户用了“自学习模式”将混在系统中的病毒录入了mormal组,否则,它们不可能出现在SSM规则列表中。
病毒、流氓不是经常偷袭我们吗?如果仿照上述步骤设置了SSM的Uregistreted组,估计病毒、流氓偷袭不成了。

试试看。
运行最近比较NB的那个“中华吸血鬼”样本kd.exe(破坏硬盘分区表哦)。看看结果如何----------(图4)。

它没戏!重启系统看看-----完好无损!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)
最后编辑baohe 最后编辑于 2008-07-01 16:51:19
分享到:
gototop
 

回复:SSM“虚拟群组”的设置与病毒防护

好久没用ssm了
最后编辑酷卡 最后编辑于 2009-02-24 11:36:08
gototop
 

回复:SSM“虚拟群组”的设置与病毒防护

问个问题 :
装了ssm 之后 ,如何设置它才能使3389 可以远程登陆上去? ( win 2k3)
gototop
 

回复: SSM“虚拟群组”的设置与病毒防护



引用:
原帖由 mdbdd 于 2008-7-2 9:05:00 发表
问个问题 :
装了ssm 之后 ,如何设置它才能使3389 可以远程登陆上去? ( win 2k3)

附件附件:

文件名:1.jpg
下载次数:7451
文件类型:image/jpeg
文件大小:
上传时间:2008-7-2 14:12:45
描述:jpg
预览信息:EXIF信息



附件附件:

文件名:2.jpg
下载次数:7489
文件类型:image/jpeg
文件大小:
上传时间:2008-7-2 14:12:45
描述:jpg
预览信息:EXIF信息



附件附件:

文件名:3.jpg
下载次数:7288
文件类型:image/jpeg
文件大小:
上传时间:2008-7-2 14:12:45
描述:jpg
预览信息:EXIF信息



gototop
 

回复:SSM“虚拟群组”的设置与病毒防护

查过了,似乎中文版网页除了猫叔还没人提及这个Unregistered group 的用法。
在某外国论坛,给出了这样的解释:
Unregistered group is a virtual group, as you can see in Object type column.
Main points:
- Unregistered group cannot keep any defined application rule.
- Any application without SSM rule is virtually in Unregistered group.
这个解释比较精辟。不知道我的理解是否正确,Unregistered group 实际上就是提供一个受限的虚拟环境

一点点的激情,一点点的执着,让我一步一步的走入了自己梦寐以求的行业。从一个学校里年少轻狂的孩子,成为了一名信息安全的研发工程师。从只知道写代码,真正开始慢慢的去思考、设计和实现一种技术、一种算法、一个模块、一个软件乃至一个系统。
人生本来就该不断的追求梦想,不断的跨过一个又一个不可能穿越的鸿沟。别人看来,我很疯狂,但我笑了,人生能有几回疯?真正疯狂的人是不计后果的向前冲的,至少我还不是。我所想的,只是别人不敢想的。我所做的,只是别人不敢做的。一个一个虚无缥缈的事物,都必须是有一个一个疯狂的人逐渐的具体和完善。但愿我是这样的人,我只愿做这样的人。
gototop
 

回复 5F 天下奇才 的帖子

你的理解基本正确。 virtually在此处的意思是“实际上”,而非“虚拟”。
但是,虚拟组默认设置的父子关系如下图。
这样的设置,每当用户运行SSM规则列表中没有的程序时,SSM都会跳出对话框询问用户(除非用户采用“自学习模式”)。这样会使用户有不胜其扰的感觉。
另一方面,用户若用“自学习模式”,等于放弃了SSM的防护。
所以,虚拟组的设置应该引起用户注意,并根据自己的需要与操作习惯灵活安排之。

附件附件:

文件名:1.jpg
下载次数:6929
文件类型:image/jpeg
文件大小:
上传时间:2008-7-4 9:35:29
描述:jpg
预览信息:EXIF信息



最后编辑baohe 最后编辑于 2008-07-04 09:40:24
gototop
 

回复:SSM“虚拟群组”的设置与病毒防护

猫叔又另辟蹊径,学习一下。明天去另一台机器测试一下其他效果。
gototop
 

回复:SSM“虚拟群组”的设置与病毒防护

真的很好用
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 

回复:SSM“虚拟群组”的设置与病毒防护

。。。。善于发现啊!
gototop
 

回复:SSM“虚拟群组”的设置与病毒防护

猫叔这样设了是不是从网上下载个东西都打不开了?
PC蛋蛋
多看少灌水是我的原则。不得不灌又是我的理由
欢迎观看我做的视频晕死挂了一年的签名签错地方了还不知道
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT