丟掉殺毒軟件

1、丟掉殺毒軟件，和我一起擁抱SSM！ 如果我告訴你有一個(gè)軟件占用系統(tǒng)資源極低，你幾乎感覺(jué)不到他的存在，比殺毒軟件更能讓你的電腦遠(yuǎn)離病毒，你會(huì)愿意使用嗎？天要向大家推薦一款軟件System Safety Monitor，他不是殺毒軟件，但勝似殺毒軟件。經(jīng)常有去黑客客論壇潛水的都知道，現(xiàn)在免殺過(guò)KAV2009過(guò)瑞星過(guò)主動(dòng)的木馬太多太多了。殺毒軟件在他們的面前總是顯得那么蒼白無(wú)力。希望大家耐心的看完全文，你會(huì)發(fā)現(xiàn)有了他，你完全可以拋棄傳統(tǒng)的反病毒軟件。我提到System Safety Monitor（以下簡(jiǎn)稱(chēng)SSM）和殺毒軟件、反流氓軟件工具的原理不同，那么不同之處在哪里，它又是如何防范病毒和流氓軟件

2、的呢？我們都知道，殺毒軟件是通過(guò)對(duì)系統(tǒng)中的文件進(jìn)行特征碼比對(duì)來(lái)確認(rèn)病毒的，這時(shí)病毒已經(jīng)存在于系統(tǒng)中了，我們做的一切都是補(bǔ)救措施。雖然殺毒軟件的病毒防火墻能夠在我們運(yùn)行病毒之前將其阻止，但是病毒防火墻是依賴(lài)于殺毒軟件的病毒庫(kù)的，殺毒軟件不能檢測(cè)到所有病毒，當(dāng)然病毒防火墻也不可能攔截到所有病毒。這就是殺毒軟件的缺點(diǎn)，對(duì)于新病毒沒(méi)有抵御能力。反流氓軟件工具同樣如此，目前反流氓軟件工具還不具備防御能力，或者說(shuō)很不完善，其查殺流氓軟件的原理類(lèi)似殺毒軟件的后期補(bǔ)救。而SSM的原理則完全不同。SSM不具備查毒能力，也不具備反流氓軟件功能，任何一種病毒在其面前，它都會(huì)無(wú)動(dòng)于衷。但是當(dāng)我們運(yùn)行病毒的時(shí)候，SSM

3、會(huì)馬上彈出警告對(duì)話框，但不是告訴你這是病毒，而是這個(gè)病毒想在系統(tǒng)中干什么。這就是SSM和殺毒軟件的不同之處，SSM會(huì)調(diào)整程序性能并控制它們對(duì)本地資源的存取，主要是針對(duì)操作系統(tǒng)內(nèi)部的存取管理。簡(jiǎn)單地說(shuō)，就是病毒和流氓軟件無(wú)論怎么不擇手段，都必須對(duì)系統(tǒng)的本地資源進(jìn)行修改，而SSM則會(huì)監(jiān)視系統(tǒng)的本地資源，因此任何病毒和流氓軟件都無(wú)法躲過(guò)SSM的監(jiān)視。在這層意義上我們可將SSM稱(chēng)為系統(tǒng)防火墻。SSM不僅可以起到安全防范的作用，也能夠用來(lái)調(diào)試程序，了解程序的運(yùn)行原理。在操作系統(tǒng)的環(huán)境下，任何一個(gè)程序都是各種代碼的集合體，啟動(dòng)的時(shí)候，向操作系統(tǒng)申請(qǐng)資源，然后做各種不同的動(dòng)作。所有的軟件都要這樣，只是細(xì)節(jié)上

4、有點(diǎn)差別。病毒和木馬也是一樣的道理，不管如何，它需要運(yùn)行，需要安裝，需要執(zhí)行。比如我們安裝一個(gè)軟件的時(shí)候，一些下載站點(diǎn)或者共享軟件作者在安裝程序里偷偷捆綁上其它軟件（目前大多數(shù)流氓軟件是通過(guò)這個(gè)途徑傳播的），或者我們上網(wǎng)的時(shí)候，通過(guò)瀏覽器或者操作系統(tǒng)的漏洞，偷偷下載一些軟件，然后執(zhí)行，結(jié)果就中招了。假定我們能知道所有Windows系統(tǒng)的運(yùn)行程序的過(guò)程以及觀察進(jìn)程的各種動(dòng)作，不就可以斷絕一切非法操作了？Windows對(duì)大多數(shù)用戶來(lái)說(shuō)，還是一個(gè)黑匣了，一個(gè)神秘的東西，除了一些專(zhuān)業(yè)人員，很少有人知道那些進(jìn)程，那些軟件是什么意思。那么對(duì)于普通用戶，就一點(diǎn)辦法沒(méi)有了嗎？答案就是：SSM。System S

5、afety Monitor簡(jiǎn)稱(chēng)SSM，是專(zhuān)門(mén)針對(duì)有害程序及間諜程序等的 Windows 防護(hù)軟件范疇， 卻并非反病毒軟件，它并不提供針對(duì)特定有害程序的查找及移除特性，也不提供系統(tǒng)遭有害程序破壞后的恢復(fù)特性，而是真正的“防患于未然”！我們平常所用的防火墻如天網(wǎng)，Windows自帶的防火墻，它 可監(jiān)控網(wǎng)絡(luò)流量并選擇性地阻止某些程序?qū)W(wǎng)絡(luò)資源的存取，而 SSM 可調(diào)整程序性能并控制它們對(duì)本地資源的存取，在這層意義上我們可將 SSM 稱(chēng)為系統(tǒng)防火墻。 而我們最依賴(lài)的殺毒軟件如瑞星，金山，卡巴斯基，它們的原理基本都是不停地升級(jí)特征碼，然后根據(jù)這個(gè)特征碼來(lái)判斷文件是否是病毒，所以理論上來(lái)說(shuō)，殺毒軟件是跟著

6、病毒跑，永遠(yuǎn)需要不停地升級(jí)，可能也正因?yàn)檫@個(gè)原因，各大升毒軟件廠商最希望看到這種現(xiàn)象，可以慢慢坐著收錢(qián)。我來(lái)來(lái)看看SSM能做什么：功能特性：1.控制機(jī)器上哪些程序是允許執(zhí)行的，當(dāng)待運(yùn)行程序被修改時(shí)，會(huì)報(bào)警提示；2.針對(duì)合法的程序建立規(guī)則，不會(huì)每次提示；3.通過(guò)CRC32或者M(jìn)D5等校驗(yàn)所有可執(zhí)行文件的變動(dòng)，再也不怕系統(tǒng)文件被非法修改而不知；4.控制“DLL注入”以及鍵盤(pán)記錄機(jī)對(duì)特定系統(tǒng)函數(shù)的調(diào)用；5.控制驅(qū)動(dòng)程序的安裝（包括非傳統(tǒng)方式的驅(qū)動(dòng)型漏洞Rootkits）；6.控制諸如存取 DevicePhysicalMemory對(duì)象這類(lèi)底層活動(dòng)；7.阻止未經(jīng)認(rèn)可的代碼注入，從而使任何程序都無(wú)法插入到

7、合法的程序中以進(jìn)行有害的活動(dòng)；8.控制哪些程序允許啟動(dòng)其它程序、哪些程序不允許被其它程序啟動(dòng)，如：您可以控制您的瀏覽器不被除Explorer.EXE以外的任何非可信程序啟動(dòng)；9.在雙模式中任選其一，用戶模式或管理員模式：管理員模式可設(shè)定首選項(xiàng)并加以密碼保護(hù)防止被更改，而用戶模式不能更改任何設(shè)定；10.監(jiān)控安裝新程序時(shí)注冊(cè)表重要分支鍵的更改，受保護(hù)的注冊(cè)表分支鍵被嘗試更改時(shí)將阻止或報(bào)警；11.管理自啟動(dòng)項(xiàng)目、當(dāng)前進(jìn)程等，另外提供了服務(wù)保護(hù)模塊，用以監(jiān)視已安裝的系統(tǒng)服務(wù)，當(dāng)新的服務(wù)被添加時(shí)，會(huì)報(bào)警提示；12.實(shí)時(shí)監(jiān)視 啟動(dòng)菜單、啟動(dòng)INI文件分支，以及IE設(shè)定等（包括BHO-所謂的瀏覽器輔助對(duì)象，

8、一般都是廣告程序、間諜程序等垃圾）；13.通過(guò)標(biāo)題黑名單過(guò)濾器阻止打開(kāi)指定的窗口或者網(wǎng)頁(yè)；14.支持外掛任一調(diào)試器、反病毒軟件等，且該軟件的擴(kuò)展功能均采用外掛插件形式實(shí)現(xiàn)，因此極易得到豐富的擴(kuò)充；15.本身作為服務(wù)加載，通過(guò)配置、修改可以實(shí)現(xiàn)隱秘的進(jìn)程反殺能力。軟件運(yùn)行之后，會(huì)出一個(gè)漂亮的綠色的LOGO閃屏：然后就縮小到窗口的最右下角，雙擊打開(kāi)：1、更改界面語(yǔ)言 默認(rèn)語(yǔ)言界面是英文，為了習(xí)慣也為了便于理解，我們先要把界面改為簡(jiǎn)體中文的：很簡(jiǎn)單的操作，現(xiàn)在看著，是不是舒服和熟悉一點(diǎn)了？2、為當(dāng)前所有運(yùn)行的程序添加可信任的規(guī)則Windows在啟動(dòng)之后，會(huì)有很多后臺(tái)的服務(wù)進(jìn)程啟動(dòng)，我們要為這些進(jìn)程添

9、加規(guī)則，相當(dāng)于是信任這些程序，以后就不會(huì)再詢(xún)問(wèn)了。當(dāng)然，這時(shí)的前題是你的機(jī)器本身沒(méi)有中招，沒(méi)有可疑的程序已經(jīng)運(yùn)行了，這個(gè)時(shí)候，可以把一些不必要的程序都先關(guān)了：切換“進(jìn)程監(jiān)控器”，然后在進(jìn)程處點(diǎn)右鍵，從彈出的菜單中選擇“信任所有運(yùn)行中的進(jìn)程”便可。點(diǎn)完之后，我們可以換到規(guī)則“的選項(xiàng)中，看一下SSM自動(dòng)建立的規(guī)則。對(duì)于一般用戶來(lái)說(shuō)，這個(gè)自動(dòng)建議的規(guī)則已經(jīng)可以適用絕大部分情況了。至于進(jìn)程的高級(jí)控制部分，我們以后會(huì)專(zhuān)門(mén)描述。3、設(shè)置系統(tǒng)日志SSM提供了強(qiáng)大的日志功能，幾乎進(jìn)程做的絕大部分動(dòng)作都可以記下來(lái)，下面切換到“選項(xiàng)”“日志”：要選中”啟用”，以及“程序啟動(dòng)”，“設(shè)置全局掛鉤”，“加載驅(qū)動(dòng)”，“模

10、塊”，“顯示程序日志窗口”等，如果比較熟悉這些，可以根據(jù)需要，自己選擇。4、開(kāi)始啟用SSM控制上面的操作完了之后，已經(jīng)為當(dāng)前運(yùn)行的程序添加了規(guī)則，但SSM實(shí)際上還沒(méi)有工作，我們要把它啟用。切換到“規(guī)則”窗口點(diǎn)擊那個(gè)下拉的小三角箭頭，然后選擇“啟動(dòng)所有規(guī)則”，再點(diǎn)一下那個(gè)“應(yīng)用設(shè)定”，關(guān)閉窗口便可，基本設(shè)置就完了，應(yīng)該還是挺簡(jiǎn)單的吧？下面我們來(lái)看看具體的效果。四、功能測(cè)試1、啟動(dòng)未知的進(jìn)程如果這個(gè)時(shí)候，運(yùn)行一個(gè)未知的程序，就會(huì)彈出一個(gè)窗口，可以顯示程序的各種參數(shù)，然后讓用戶確認(rèn)，比如現(xiàn)在我們打開(kāi)IE瀏覽器（假定剛才上面第2步的時(shí)候沒(méi)有為IE設(shè)置規(guī)則，當(dāng)然你可以任意選擇一個(gè)剛才沒(méi)有運(yùn)行的程序）：解

11、釋一下幾個(gè)含義：父進(jìn)程：是誰(shuí)啟動(dòng)了這個(gè)進(jìn)程，這里是Exploere.exe，也就是資源管理器。有時(shí)我們看到突然彈出一個(gè)廣告窗口，就可以通過(guò)這個(gè)辦法來(lái)觀察是哪個(gè)進(jìn)程彈的廣告，然后再想辦法清除。子級(jí)進(jìn)程：當(dāng)前要啟動(dòng)的程序，即要執(zhí)行的程序。允許：只允許這一次運(yùn)行，下一次還會(huì)繼續(xù)提示。阻止：只阻止這一次運(yùn)行，下一次還會(huì)繼續(xù)提示。創(chuàng)建此規(guī)則的永久性規(guī)則：針對(duì)上面的這個(gè)允許或者阻止操作，比如這個(gè)IE，我們不可能每次都去點(diǎn)允許，那個(gè)太煩了。選擇之個(gè)之后，就會(huì)自動(dòng)增加一個(gè)規(guī)則，以后就照這個(gè)規(guī)則來(lái)處理，不會(huì)每次提問(wèn)。技術(shù)信息：執(zhí)行進(jìn)程ID，以及進(jìn)程的路徑，參數(shù)等。這樣你可以知道哪個(gè)程序要運(yùn)行，然后決定它是否是合

12、法的，有用的。2、攔截移動(dòng)硬盤(pán)U盤(pán)的Autorun病毒現(xiàn)在用移動(dòng)硬盤(pán)或者U盤(pán)的越來(lái)越多，也很普遍，但是經(jīng)常我們不知不覺(jué)就在傳染著病毒，它主要利用了Windows提供的根目錄下的autorun.inf這個(gè)文件的特性，它就是指定了一個(gè)可執(zhí)行的命令，因?yàn)槭亲詣?dòng)運(yùn)行，隱蔽性很強(qiáng)。一般因?yàn)槭鞘烊四眠^(guò)來(lái)或者是同事同學(xué)之類(lèi)的，根本防不勝防（天知道這個(gè)時(shí)候，那些殺毒軟件在干嘛，大部分時(shí)候都查不到的）。下面就做這一個(gè)測(cè)試，把有毒的U盤(pán)挺入，馬上跳出來(lái)一個(gè)提示：父進(jìn)程rundll32.exe是一個(gè)Windows的合法程序，但是每多病毒都是通過(guò)它加載的，強(qiáng)烈建議不要為它設(shè)定永久性允許規(guī)則！它要運(yùn)行一個(gè)H:setup

13、.pif這個(gè)進(jìn)程，一看就是一個(gè)可疑的，點(diǎn)“阻止”，中止它的運(yùn)行。再打開(kāi)U盤(pán)，顯示一下隱藏文件，果然有一個(gè)autorun.inf文件和setup.pif文件，經(jīng)檢查，就是一個(gè)隱藏的病毒。3、惡意篡改主頁(yè)在我的BLOG中，針對(duì)飄雪/飛雪/MY123之類(lèi)專(zhuān)門(mén)修改IE瀏覽器首頁(yè)的，相信大家也記憶深刻，恨之入骨。當(dāng)然，SSM也提供了對(duì)所有注冊(cè)表敏感鍵值的保護(hù)，下面我們做一個(gè)測(cè)試，比如現(xiàn)在中了一個(gè)BHO的插件，因?yàn)闆](méi)有單獨(dú)的進(jìn)程，它是利用IE來(lái)修改首頁(yè)的，馬上SSM就攔截了：這個(gè)時(shí)候，我們就可以點(diǎn)阻止，來(lái)拒絕對(duì)這個(gè)注冊(cè)表健值的更改，成功地保護(hù)了系統(tǒng)首頁(yè)。4、惡意捆綁軟件測(cè)試常常最頭疼的，就是網(wǎng)上下載的軟件

14、，被捆綁了許多惡意插件，用的時(shí)候，一不小心就是中上了，無(wú)論你再小心都不行，象賣(mài)拐中的那句：防不甚防啊！我現(xiàn)在裝所有的軟件的時(shí)候，都會(huì)把SSM打開(kāi)，除非是一些絕對(duì)信任的。做這一個(gè)測(cè)試，是有風(fēng)險(xiǎn)的，直接在自己機(jī)器上裝病毒（有時(shí)想找這類(lèi)軟件，還不容易，暈）：這個(gè)程序運(yùn)行的時(shí)候，首先釋放到temp目錄下，然后寫(xiě)自啟動(dòng)，讓機(jī)器下次自動(dòng)啟動(dòng)：接下來(lái)運(yùn)行另外一個(gè)流氓軟件安裝：接下來(lái)再運(yùn)行一個(gè)安裝：接下來(lái)。一共點(diǎn)了七八次，其實(shí)根本就是一個(gè)病毒軟件包，捆綁了七八個(gè)惡意軟件，如果沒(méi)有SSM，那后果就是很慘.看到光標(biāo)不停地閃，機(jī)器就得非常慢，然后廣告窗口接二離三地彈出來(lái)相信這個(gè)遭遇很多人都遇到過(guò)。SSM的上述強(qiáng)大功

15、能為木馬流氓軟件防范乃至整個(gè)系統(tǒng)的全面監(jiān)控提供了絕佳的解決方案，使用上來(lái)說(shuō)，稍微難了一點(diǎn)，但是對(duì)于普通用戶，也是可以使用的。 如果不知道進(jìn)程，軟件什么的，提供的一個(gè)原則就是：看那個(gè)軟件位于TEMP目錄下，或者突然運(yùn)行了，就點(diǎn)“阻止”。如果這時(shí)你發(fā)覺(jué)有一個(gè)正常的程序不能運(yùn)行了，再運(yùn)行一次，點(diǎn)允許就是了。而且一般如果不上網(wǎng)，或者系統(tǒng)沒(méi)有其它變動(dòng)，可以不運(yùn)行SSM。SSM的系統(tǒng)占用非常少，這點(diǎn)跟那些殺毒軟件比起來(lái)，可以忽略不計(jì)，也是我非常推薦的一個(gè)原因。我自己在分析病毒流氓軟件的時(shí)候，SSM是必備的。平常機(jī)器上，也只裝一個(gè)SSM，其它什么殺毒，防火墻通通不要。在我的試驗(yàn)中，無(wú)論是木馬，流氓軟件，病毒，鍵盤(pán)記錄機(jī)等對(duì)自己的機(jī)器進(jìn)行攻防實(shí)訓(xùn)，均被其成功截獲,這是一款你找不出缺點(diǎn)的軟件。以上內(nèi)容大多都是從網(wǎng)上找來(lái)的資料重整編輯的，這上面講到的只是SSM的一部份功能，還有很多功能沒(méi)有講到，比如為所有系統(tǒng)進(jìn)程建立MD5值庫(kù)，當(dāng)有病毒想插入某系統(tǒng)進(jìn)程時(shí)SMM就會(huì)予以攔截，玩過(guò)木馬的朋友都知道很多木馬的穿