【回复“282937372”的帖子】概论
SSM允许你实时跟踪各种系统活动,以阻止不受欢迎的行为。
概念
SSM是基于主机入侵保护系统(HIPS)--安全软件的级别是保护微软Windows操作系统不受病毒与木马程序侵害,这是些是通过监视所有运行程序的行为和阻止恶意程序与可疑程序行为。然而SSM不是一个杀毒软件,例如,它不能提供发现和清除病毒的方法。而且,如果这些程序被允许运行后造成系统损坏,SSM也不能被用来恢复系统。
它能提供保护,防止被能绕过传统防火墙,杀毒软件,或其它基于病毒库的安全工具攻击,这些安全工具只能够处理它们病毒库中已经存在的已知威胁。SSM控制应用程序行为以及它通过用户设置规则获得本地系统资源。SSM采用的方法能够保护关键的系统进程或数据库,防止两者受到已知或未知的威胁。有时通过Internet连接到电脑上,及时的更新SSM特征库是必要的。
病毒和木马程序基本上都是采用相似的方法实现的(尽管在具体细节上可能有所不同)。
SSM的主要任务是发现和阻止任何恶意应用程序的行为。
功能模块
SSM包含几个功能模块,这些模块之间是相互独立的,可以是允许或不允许。
进程监视与应用程序规则
跟踪所有活动中的应用程序,其中包括已经运行或正将运行的程序,允许你控制:
l 哪个应用程序可以运行;
l 哪个应用程序可以通过选择一个(子进程)运行;
l 哪个应用程序可以通过选择一个(父进程)被允许运行;
l 是否修改选择的程序允许其运行;
l 是否修改选择的程序允许其安装驱动;
l 是否修改选择的程序允许其执行注入代码或DLL注入。
利用子系统,你可以:
l 创造/终止一个进程(应用程序)。
l 选择一个应用程序,监视其DLL模块清单。
模块
子系统包括一系列的程序扩展功能模块。任何时刻,在下面的系统部分,模块都提供跟踪和阻止的改变。
l Windows注册表
l 驱动和服务
l INI文件
l 开始菜单组(开始\所有程序\开始);
l 微软Internet Explorer设置;
l 应用程序窗口。
