当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 【视频教程】新手学会利用SSM的保护与设置

杀毒防毒
病毒中心监测发现代理木马新变种
及时修补第三方应用程序漏洞 避免木马的温床
360发布临时补丁 严防微软DirectShow漏洞
专家支招防范微软DirectShow的严重漏洞 
婚介网遭挂马导致用户隐私可能集体被盗
VB100六月测试结果公布 - 金山毒霸连续第4次通过
教你如何删除卡巴斯基临时文件 释放更多空间
蠕虫创建多重替身 利用伪装术迷惑用户
卡巴技巧:禁止恶意程序修改IE7搜索框
赛门铁克:为中小企业定制SEP安全部署
如何恢复磁盘被非法修改的文件?
杀毒软件行不行?测了就知道
检查电脑是否被挂马的几个命令
教你防范IP欺骗
清除rundll2kxp.exe病毒跟我学
微软“Morro”免费杀毒软件-360的强大对手
让你的360升级加速器不再升级的方法
教你使用dos命令扫描开放端口
三种经典的LINUX防火墙
病毒的传播新途径-视频

杀毒防毒 中的 【视频教程】新手学会利用SSM的保护与设置


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 229 ::
收藏到网摘: n/a

SSM(System Safety Monitor) 是个不错的应用程序级监控工具
(例子中的SSM版本较老。但新的设置都差不多。)图有些模糊。文件有点大。打开可能比较慢。

SSM的基本设置:语言选择及各防护模块的启用。

 

通知、日志等选项的设置。

 

IE浏览器的基本安全防护设置(其它应用程序的安全防护也可仿此处理)

 

IE浏览器的父子关系设置。如图所示设置“IE浏览器的子父关系”后,只要SSM运行,只有explorer.exe、wuauclt.exe、wupdmgr.exe三个程序可以启动/运行IE浏览器。如果再在SSM的设置中分别就explorer.exe、wuauclt.exe、wupdmgr.exe三个程序设置“禁止代码注入”、“禁止全局钩子”... ...,IE浏览器的安全问题基本可以解决了。

 

接下来的问题是:如何防止IE的父级程序(如explorer.exe)被恶意程序滥用?用SSM解决这个问题的办法与上一步“IE浏览器的子父关系设置”相仿——为explorer.exe设置父子关系。explorer.exe的“子”可以有很多(通过桌面快捷运行的程序都可设为explorer.exe的“子”);但explorer.exe的“父”,我只设了一个——winlogon.exe。其它应用程序间的父子关系,也可仿此设置。

在SSM注册表监控模块中添加“文件关联保护”。SSM的默认设置中没有这些保护(Qoo以前提到过这个问题),用户可以仿照下面图中的操作自己添加这些内容。另外,常被某些木马利用的一些注册表键(如:ShellExcuteHook键)也可以这样的办法保护起来。

要添加的文件关联保护项具体内容:

HKEY_CLASSES_ROOT\exefile\shell\open\command\

HKEY_CLASSES_ROOT\txtfile\shell\open\command\

HKEY_CLASSES_ROOT\inifile\shell\open\command\

HKEY_CLASSES_ROOT\scrfile\shell\open\command\

HKEY_CLASSES_ROOT\batfile\shell\open\command\

HKEY_CLASSES_ROOT\cmdfile\shell\open\command\

HKEY_CLASSES_ROOT\regfile\shell\open\command\

HKEY_CLASSES_ROOT\comfile\shell\open\command\

HKEY_CLASSES_ROOT\folder\shell\open\command\

HKEY_CLASSES_ROOT\chm.file\shell\open\command\


HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command\

HKEY_CLASSES_ROOT\mailto\shell\open\command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\VBEFile\Shell\Open2\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command\

HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command\

 

 

确认当前运行的程序没有问题后,一次校验它们的MD5;SSM会记下这些MD5值。以后,当这些程序被破坏后,SSM会报警。程序升级后,MD5会变(废话),SSM会提示你的。用户自己根据实际情况确认一下即可。