| |
| |
SSM的简介与使用(一) |
来源:新人无忧整理编辑 点击数: 更新时间:2008-3-11 0:34:35  |
一、SSM入门
1、什么是HIPS?
HIPS:Host Intrusion Prevent System 主机入侵防御系统。
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。
2、HIPS原理以及和防火墙的区别
二者但主要区别是:
(1)传统的NIPS网络防火墙只有在你使用网络的时候,通过特定的tcp/ip协议来限定用户访问某一ip地址或者也可以限制互联网用户访问个人用户和服务器终端;
(2)HIPS是限制进程调或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被检测,然后弹出警告,询问用户是否允许运行。
3、SSM(System Safety Monitor) 功能与特色
注册表监视: 高级
基本过程监视: 高级
基本底层磁盘访问控制:有
底层键盘访问控制: 有
NT服务监视: 高级
网络监控:有
启动级别:Ring0
功能的类别:AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系
二、SSM安装
1、版本和下载
免费版有些功能受限,建议使用商业版。
Version:SSM 2.4.0.619 beta
Download:http://dl1.syssafety.com/download/ssm-2.4-beta.exe
2、安装过程
打开 SSM 的安装文件。进行安装向导:指定安装路径,是否需要在桌面建立快捷方式,是否在开始菜单建立文件夹,在复制完文件后安装向导会提示您重新启动计算机。
<img src=images/temp/20080103/39_2470_1de7b1762fba267.jpg width=580>
提醒:需要调整程序用户界面的语言
进入“选项”标签页,在左边的列表里选择“常规”分支,在语言下拉栏里选择您习惯使用的语言(Chinese),最后点击“应用选项”按钮。
3、关于破解
(1)SSM无限期试用补丁
(2)手动锁注册表法
<img src=images/temp/20080103/39_2470_462fc78d4e83b88.jpg width=580>
方法二注意:搜索的随机CLSID值——就是以39263为初始值,加上七月初到现在的天数。
如我是十月七号重新安装的2.4版,使用注册表编辑器查找:39263+99=39362 (31+31+30+7=99)
4、初始设置
<img src=images/temp/20080103/39_2470_2b398c9d509a790.jpg width=580>
<img src=images/temp/20080103/39_2470_d71e12e93c04d4a.jpg width=580>
<img src=images/temp/20080103/39_2470_d0e2f8096bacfb9.jpg width=580>
打开首选项,选中“选项”标签页。
最好选择“自动启动”,已发现有木马可以破坏其规则,前提是没有开启SSM监控。
通常大家对SSM启动弹出的一些系列提示框头疼,选中“自学习模式”,把所有常用的软件运行一遍,会把程序规则自动添加到NORMAL组。再关闭该模式。
三、SSM功能
1、进程监控
<img src=images/temp/20080103/39_2470_72fa9a86291e32a.jpg width=580>
2、网络监控
<img src=images/temp/20080103/39_2470_bcb3964fc4144dd.jpg width=580>
3、注册表监控
<img src=images/temp/20080103/39_2470_7f67db668901e90.jpg width=580>
当然在“模块”标签页下还有其他很多功能,如钩子——其他大家自己试。
微软定义系统是把硬件和软件是区分开的。但通过钩子可以连接两者。(如键盘钩子和鼠标钩子)
所以查看钩子的调用就可以核实恶意木马,如盗号木马就要调用键盘钩子,而我们常用的截图工具也要调用鼠标钩子。
<img src=images/temp/20080103/39_2470_bc0bbb96d71d701.jpg width=580>
[1][2][3]
作者: wangfuxin 来源: http://bbs.cfanclub.net/read.php?tid-114909.html
| |
| |
|
