| |
| |
SSM的简介与使用(二) |
来源:新人无忧整理编辑 点击数: 更新时间:2008-3-11 0:34:35  |
四、SSM规则
打开“规则”标签页,可以看到具体的设置。下面主要介绍程序和注册表规则。
1、程序规则
程序启动实例
<img src=images/temp/20080103/39_2470_4552fcc7f2616e4.jpg>
默认为SSM、System、Normal和Blocked组,允许自己添加新的组。
其中:
SSM组是自带的,不能编辑;
Blocked(阻止)组禁用你不想运行的程序;
System(系统)组、Normal(一般)组可以右键“特别权限”具体设置。
选中其中允许编辑的组,右键“Revert to zhe Group settings”,把权限释放到该组下的每一个程序规则。双击Unregisted,进一步设置父子程序规则和操作。
<img src=images/temp/20080103/39_2470_7f3a08eed4d65cb.jpg width=580>
那什么是父程序和子程序是什么?
任何一个大程序均可分解为许多相互独立的小程序段,这些小程序段称为程序模块。可以将其中重复的或者功能相同的程序模块设计成规定格式的独立程序段,这些程序段可提供给其他程序在不同的地方调用,从而可避免编制程序的重复劳动。我们把这种可以多次反复调用的,能完成指定操作功能的特殊程序段称为“子程序”。相对而言就把调用子程序的程序称为“父程序”,把父程序调用子程序的过程称为“调用子程序”。
提醒:一般程序的父程序都是explore.exe,但是需要看清子程序的相关信息。U盘木马一样需要调用父程序explore.exe。
参考我的程序规则:
(方便管理,Trusted组是我自己添加的,权限要比Normal组来的大)
System组:
<img src=images/temp/20080103/39_2470_a67cb5751e89ceb.jpg width=580>
Trusted组:
<img src=images/temp/20080103/39_2470_dd40f498dadf29e.jpg width=580>
提醒:SSM默认是不允许一般程序的底层磁盘读取的,问什么呢?我们的读写磁盘都是通过XP核心程序,一般程序是不能直接读写的,因为这样有很大的安全隐患,往往是硬盘方面的病毒(如硬盘杀手)。但是QQ程序需要底层磁盘读取,所以就把它添加到Trusted组。对于需要升级的杀毒软件需要选中“允许远程数据修改”。
Normal组:
<img src=images/temp/20080103/39_2470_0987826c11e603d.jpg>
Blocked组:
<img src=images/temp/20080103/39_2470_7a75b14d5e63b4e.jpg>
讨厌QQ附带的一些服务和进程,直接把它们禁用。
至于关闭系统、挂起线程、物理内存读取等规则大家可以通过网路了解含义。
2、注册表规则
注册表修改实例
<img src=images/temp/20080103/39_2470_1803c54884d0c96.jpg>
(1)默认规则:
<img src=images/temp/20080103/39_2470_21fbfd6e48c1712.jpg width=580>
<img src=images/temp/20080103/39_2470_5f07e97b936735e.jpg width=580>
其中文件夹上带有“P”的为SSM默认自带的规则,各类服务和Run键的保护已经很好,只需要管理一下其它容易被病毒利用的注册表项或者值就可以了。
(2)添加规则:
“注册表”选项下,右键添加规则——打开注册表对象窗口——左边框新建;
再单击新建的组——右边框新建。
<img src=images/temp/20080103/39_2470_e8bc1ac3bf10727.jpg width=580>
<img src=images/temp/20080103/39_2470_73e715b6966baeb.jpg width=580>
注意:要选中所有子键和子项,需选中“所有子键”;点击复选框“值”,填入“*”。
我比较懒,只把最近流行的映像劫持、无法显示隐藏文件、无法进入安全模式和U盘双击失效等添加到Add组。设置为禁止创建、删除和写入。
<img src=images/temp/20080103/39_2470_a534aa144a821f4.jpg width=580>
大家参考一下别人的:
============================================================================
AutoRun:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
其中一个最容易被修改的注册项,包括CLSID值注册AutoRun和直接按照磁盘的字母(C盘,D盘)来注册AutoRun
Policies:
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Windows[1] [2] [3] 下一页
| |
| |
|
