SSM（System Safety Monitor) 视频教程

作者：baohe 转载自卡卡论坛

这里看不到图片，文章源地址是：http://writeblog.csdn.net/PostEdit.aspx?entryId=1556289

需要的朋友到源地址去看吧。

SSM（System Safety Monitor) 是个不错的应用程序级监控工具（目前为止，最新版的的2.0.0.561版还是免费的），不少人都在用。
但是，到目前为止，SSM一直没考虑自身的安全保护问题。甚至在以非管理员身份登陆系统后，你都可以编辑、修改甚至加密其Global.cfg（全局配置文件）；删除其驱动程序safemon.sys。这些问题已经向Syssafety官方反映过。回答是：在今后发布的2.x版中解决。2.x版？x=?；要收费的版本？

下面讨论的这个办法的基本思路是：借助带文件保护功能的的安全工具（如：TPF2005、McFee等）防止SSM的文件被删除、篡改。
SSM的设置也是常被问到的问题。因此，这里附上10个GIF动画，一并讨论SSM的保护与设置问题。

1、在TPF2005 的“文件保护”（File Protection）中添加一条规则，禁止改动程序文件夹中的任何文件。用户自己要安装程序时，右击任务栏中的TPF图标，暂时关闭TPF的Windows Security即可。

2、与第一步相仿，添加一条文件保护规则，禁止改动Windows及其各级子目录中的文件（防止safemon.sys被删除，也可防止不少病毒、木马感染，一举多得）。Windows更新或用户自己需要处理这些目录下的文件时，暂时关闭TPF的Windows Security。

 

3、SSM启动时，要在自己的安装目录下建立、写入一个.log文件。因此，还要再加一条规则——允许SSM访问自身的文件。

 

4、SSM的基本设置：语言选择及各防护模块的启用。

 

5、通知、日志等选项的设置。

 

6、IE浏览器的基本安全防护设置（其它应用程序的安全防护也可仿此处理）。

 

7、IE浏览器的父子关系设置。如图所示设置“IE浏览器的子父关系”后，只要SSM运行，只有explorer.exe、wuauclt.exe、wupdmgr.exe三个程序可以启动/运行IE浏览器。如果再在SSM的设置中分别就explorer.exe、wuauclt.exe、wupdmgr.exe三个程序设置“禁止代码注入”、“禁止全局钩子”... ...，IE浏览器的安全问题基本可以解决了。

 

8、接下来的问题是：如何防止IE的父级程序（如explorer.exe）被恶意程序滥用？用SSM解决这个问题的办法与上一步“IE浏览器的子父关系设置”相仿——为explorer.exe设置父子关系。explorer.exe的“子”可以有很多（通过桌面快捷运行的程序都可设为explorer.exe的“子”）；但explorer.exe的“父”，我只设了一个——winlogon.exe。其它应用程序间的父子关系，也可仿此设置。

 

9、在SSM注册表监控模块中添加“文件关联保护”。SSM的默认设置中没有这些保护（Qoo以前提到过这个问题），用户可以仿照下面图中的操作自己添加这些内容。另外，常被某些木马利用的一些注册表键（如：ShellExcuteHook键）也可以这样的办法保护起来。

要添加的文件关联保护项具体内容：

HKEY_CLASSES_ROOT/exefile/shell/open/command/

HKEY_CLASSES_ROOT/txtfile/shell/open/command/

HKEY_CLASSES_ROOT/inifile/shell/open/command/

HKEY_CLASSES_ROOT/scrfile/shell/open/command/

HKEY_CLASSES_ROOT/batfile/shell/open/command/

HKEY_CLASSES_ROOT/cmdfile/shell/open/command/

HKEY_CLASSES_ROOT/regfile/shell/open/command/

HKEY_CLASSES_ROOT/comfile/shell/open/command/

HKEY_CLASSES_ROOT/folder/shell/open/command/

HKEY_CLASSES_ROOT/chm.file/shell/open/command/


HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command/

HKEY_CLASSES_ROOT/mailto/shell/open/command/

HKEY_CLASSES_ROOT/JSEFile/Shell/Edit/Command/

HKEY_CLASSES_ROOT/JSEFile/Shell/Open/Command/

HKEY_CLASSES_ROOT/JSEFile/Shell/Open2/Command/

HKEY_CLASSES_ROOT/JSFile/Shell/Edit/Command/

HKEY_CLASSES_ROOT/JSFile/Shell/Open/Command/

HKEY_CLASSES_ROOT/JSFile/Shell/Open2/Command/

HKEY_CLASSES_ROOT/VBEFile/Shell/Edit/Command/

HKEY_CLASSES_ROOT/VBEFile/Shell/Open/Command/

HKEY_CLASSES_ROOT/VBEFile/Shell/Open2/Command/

HKEY_CLASSES_ROOT/VBSFile/Shell/Edit/Command/

HKEY_CLASSES_ROOT/VBSFile/Shell/Open/Command/

HKEY_CLASSES_ROOT/VBSFile/Shell/Open2/Command/

 

10、确认当前运行的程序没有问题后，一次校验它们的MD5；SSM会记下这些MD5值。以后，当这些程序被破坏后，SSM会报警。程序升级后，MD5会变（废话），SSM会提示你的。用户自己根据实际情况确认一下即可。