SSM“虚拟群组”的设置与病毒防护 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 入侵防御（HIPS） SSM“虚拟群组”的设置与病毒防护

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

SSM“虚拟群组”的设置与病毒防护

本主题由大版主 baohe 于 2008-8-2 14:35:53 执行主题置顶/取消操作

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2008-07-01 15:49 \| 只看楼主短消息资料字号：小中大 1楼 SSM“虚拟群组”的设置与病毒防护打开SSM的首选项面板，点击“规则”、“程序”，你会看到SSM的“规则”列表中有一个名为Uregistreted组，对象类型为“虚拟群组”（图0）。 0.jpg (99.03 K) 2008-7-1 15:48:46 “虚拟群组”是个什么东东？不少人对此不甚了了。看SSM的“帮助文件”，貌似没有Uregistreted组的介绍。头大哦！其实，要了解这个“虚拟群组”是啥，得先弄清SSM规则列表的内容。默认情况下（也就是用户没有自己添加任何程序组），SSM的规则列表中只有下列组： 1、SSM组。此组收录SSM自身程序。组中的程序，不允许用户更改其父子进程设置等关键参数（有道理哦！），但用户可以往此组中添加程序（貌似无此必要）。 2、system组。此组收录系统程序。组中的程序，不允许用户更改其父子进程设置等关键参数，但允许用户往此组中添加程序（没这么变态的用户吧？）。 3、normal组。最初安装SSM时，用户为了省事，采用“学习模式”，将自己电脑中的应用程序录入SSM的规则中，这些用户应用程序收录于此组内。 4、blocked组。相当于大家熟悉的“黑名单”。凡是已知的病毒、流氓程序均应收录于此组中。 5、Uregistreted组。其实，这个所谓“虚拟群组”指的是除上述1-4组之外的任何程序（即：SSM规则列表以外的的程序。） Uregistreted组有什么用？不少人问这个问题。最初，我对此组的功能也不甚了了（不是干这个行当的撒~）。某日闲来无事，玩儿了玩儿这个Uregistreted组的设置。结果，玩儿出麻烦来了。SRENG死活无法运行了。看看SSM规则列表没有SRENG的规则！汗！为了避免不必要的麻烦，我用SRENG之前总是关闭SSM。所以，SRENG一直没机会进入SSM规则列表。把SRENG加入SSM规则列表，再运行SRENG试试------没任何问题！原来，俺玩儿SSM时，因不了解Uregistreted组到底是个啥，就把它“废”了。知道Uregistreted组有啥用了。若将SSM的“Uregistreted组”设置妥当（也就是我“废”掉Uregistreted组的那几步操作），可以将病毒拒之门外！ “废”掉Uregistreted组的操作如下： 1、双击Uregistreted组（图1） 1.jpg (155.31 K) 2008-7-1 15:48:46 2、禁止Uregistreted组与其它各组的父子进程关系（图2）。 2.jpg (67.02 K) 2008-7-1 15:48:46 3、点击“应用设定（图3）。 3.jpg (143.60 K) 2008-7-1 15:48:46 其实，这样设置并非“废掉Uregistreted组”；而是禁止未录入SSM规则列表的所有程序运行。除非用户安装SSM时系统中已经有毒，且用户用了“自学习模式”将混在系统中的病毒录入了mormal组，否则，它们不可能出现在SSM规则列表中。病毒、流氓不是经常偷袭我们吗？如果仿照上述步骤设置了SSM的Uregistreted组，估计病毒、流氓偷袭不成了。试试看。运行最近比较NB的那个“中华吸血鬼”样本kd.exe（破坏硬盘分区表哦）。看看结果如何----------（图4）。 4.jpg (53.85 K) 2008-7-1 15:48:46 它没戏！重启系统看看-----完好无损！用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1) baohe 最后编辑于 2008-07-01 16:51:19
baohe 大版主帖子:72569 注册: 2003-04-10 来自:	分享到：

hotboy 社区嘉宾帖子:27670 注册: 2002-02-01 来自:东厂	发表于： 2008-07-01 18:40 \| 短消息资料字号：小中大 2楼回复：SSM“虚拟群组”的设置与病毒防护好久没用ssm了酷卡最后编辑于 2009-02-24 11:36:08
hotboy 社区嘉宾帖子:27670 注册: 2002-02-01 来自:东厂

mdbdd 拙长孩提狮帖子:182 注册: 2007-01-16 来自:	发表于： 2008-07-02 09:05 \| 短消息资料字号：小中大 3楼回复：SSM“虚拟群组”的设置与病毒防护问个问题 : 装了ssm 之后 ,如何设置它才能使3389 可以远程登陆上去? ( win 2k3)
mdbdd 拙长孩提狮帖子:182 注册: 2007-01-16 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2008-07-02 14:13 \| 只看楼主短消息资料字号：小中大 4楼回复: SSM“虚拟群组”的设置与病毒防护引用: 原帖由 mdbdd 于 2008-7-2 9:05:00 发表问个问题 : 装了ssm 之后 ,如何设置它才能使3389 可以远程登陆上去? ( win 2k3) 附件: 文件名:1.jpg 下载次数:7401 文件类型:image/jpeg 文件大小: 上传时间:2008-7-2 14:12:45 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 附件: 文件名:2.jpg 下载次数:7413 文件类型:image/jpeg 文件大小: 上传时间:2008-7-2 14:12:45 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 附件: 文件名:3.jpg 下载次数:7245 文件类型:image/jpeg 文件大小: 上传时间:2008-7-2 14:12:45 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

天下奇才卡卡巡查帖子:28107 注册: 2001-11-04 来自:卡卡女性协会	发表于： 2008-07-03 22:34 \| 短消息资料字号：小中大 5楼回复：SSM“虚拟群组”的设置与病毒防护查过了，似乎中文版网页除了猫叔还没人提及这个Unregistered group 的用法。在某外国论坛，给出了这样的解释： Unregistered group is a virtual group, as you can see in Object type column. Main points: - Unregistered group cannot keep any defined application rule. - Any application without SSM rule is virtually in Unregistered group. 这个解释比较精辟。不知道我的理解是否正确，Unregistered group 实际上就是提供一个受限的虚拟环境一点点的激情，一点点的执着，让我一步一步的走入了自己梦寐以求的行业。从一个学校里年少轻狂的孩子，成为了一名信息安全的研发工程师。从只知道写代码，真正开始慢慢的去思考、设计和实现一种技术、一种算法、一个模块、一个软件乃至一个系统。人生本来就该不断的追求梦想，不断的跨过一个又一个不可能穿越的鸿沟。别人看来，我很疯狂，但我笑了，人生能有几回疯？真正疯狂的人是不计后果的向前冲的，至少我还不是。我所想的，只是别人不敢想的。我所做的，只是别人不敢做的。一个一个虚无缥缈的事物，都必须是有一个一个疯狂的人逐渐的具体和完善。但愿我是这样的人，我只愿做这样的人。
天下奇才卡卡巡查帖子:28107 注册: 2001-11-04 来自:卡卡女性协会

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2008-07-04 09:35 \| 只看楼主短消息资料字号：小中大 6楼回复 5F 天下奇才的帖子你的理解基本正确。 virtually在此处的意思是“实际上”，而非“虚拟”。但是，虚拟组默认设置的父子关系如下图。这样的设置，每当用户运行SSM规则列表中没有的程序时，SSM都会跳出对话框询问用户（除非用户采用“自学习模式”）。这样会使用户有不胜其扰的感觉。另一方面，用户若用“自学习模式”，等于放弃了SSM的防护。所以，虚拟组的设置应该引起用户注意，并根据自己的需要与操作习惯灵活安排之。附件: 文件名:1.jpg 下载次数:6880 文件类型:image/jpeg 文件大小: 上传时间:2008-7-4 9:35:29 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 baohe 最后编辑于 2008-07-04 09:40:24
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆	发表于： 2008-07-14 22:38 \| 短消息资料字号：小中大 7楼回复：SSM“虚拟群组”的设置与病毒防护猫叔又另辟蹊径，学习一下。明天去另一台机器测试一下其他效果。
天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-07-20 16:43 \| 短消息资料字号：小中大 8楼回复：SSM“虚拟群组”的设置与病毒防护真的很好用汰丸，你妈妈六十大寿让你回家吃饭 http://hi.baidu.com/roxiel
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派

奇缘の随风拙长孩提狮帖子:132 注册: 2006-11-07 来自:	发表于： 2008-07-23 14:41 \| 短消息资料字号：小中大 9楼回复：SSM“虚拟群组”的设置与病毒防护。。。。善于发现啊！
奇缘の随风拙长孩提狮帖子:132 注册: 2006-11-07 来自:

子艳飘泊而立狮帖子:902 注册: 2008-06-05 来自:原藉湘，现暂住粤	发表于： 2008-07-24 15:57 \| 短消息资料字号：小中大 10楼回复：SSM“虚拟群组”的设置与病毒防护猫叔这样设了是不是从网上下载个东西都打不开了？ PC蛋蛋多看少灌水是我的原则。不得不灌又是我的理由欢迎观看我做的视频晕死挂了一年的签名签错地方了还不知道
子艳飘泊而立狮帖子:902 注册: 2008-06-05 来自:原藉湘，现暂住粤

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT