网络安全 频道

转俄罗斯的系统监视器SSM

不少读者对system safety monitor(以下简称为ssm)很感兴趣。它是一款俄罗斯出品的系统监控软件,通过监视系统特定的文件(如注册表等)及应用程序,达到保护系统安全的目的。在某些功能上比winpatrol更强大。

  安装并启动(可能需手动到安装目录中运行syssafe.exe)ssm后,点击弹出的logo窗口中的close this windows(关闭窗口)项,关闭该窗口。这时ssm已经启动,并开始进行监视,我们可以在系统托盘内看到软件图标。

ssm贴身保护你的windows

  ssm既然自称system safety monitor(系统安全监视器),那么就要看看ssm的拿手绝活。

小提示 让它随windows一同启动

  只有让ssm随时启动才能起到监视和保卫系统安全的功效,因此要设置让其自动随windows一同启动。右击系统托盘的软件图标,选择 preferences(参数选项),打开system safety monitor - preferences窗口,点击options(选项)标签。确认左侧所选为general(常规),然后将右侧ssm startup mode(ssm启动模式)项修改为start automatically as aservice(以服务形式加载)(见图1)。

图1

1.打开ssm的监控

  第一步:打开system safety monitor - preferences窗口,点击plugins(插件)标签。

  第二步:确认enable plugins(激活插件)项已被勾选,这时ssm可以对start menu(“开始”菜单中的启动组)、services(加载的系统服务)、registry(注册表启动项)、ini files(系统ini文件)及iexplore(ie)实施全方位监控(见图2)。

图2

2.任意添加监控项目

  相比我们以前强烈推荐的winpatrol,ssm更优秀之处在于可以“自定义”,比如想让ssm监视一个注册表中[hkey_classes_root\.abs]下“默认”键的键值改动,你可以手工添加。

  第一步:同样是在plugins标签下,在窗口右侧选择registry→configuration。

  第二步:在右侧窗格中右击,选择add new item(添加新项目),在弹出窗口的path中输入hkey_classes_root\.abr,在name中输入“默认”,在value中输入“默认”键键值的,即photoshop.brushesfile,在value type下选择0 string即可。

  第三步:设置完成后,当该键值被修改后,ssm就会弹出警告窗口(见图3),按f2键可阻止修改,按f3键同意修改。

图3

  对一个键值的修改已经如此,对于那些网络病毒就更能轻松解决。笔者曾用“证券大盗”等多款病毒对ssm进行测试,它都能轻松应对。

功能强大的程序监控

  ssm另一强大而有用的监控就是应用程序监控,它能监控程序开启过程的一举一动。并且不管这个程序是以何种方式开启,无论是用户双击直接打开,还是由其他程序间接打开,甚至是由于系统漏洞而被悄悄执行的错误程序(包括病毒),也不管这个程序是何种格式(exe/dll等),ssm只要发现有新程序被开启,均会报告用户,最终由用户决定该程序是否运行。

1.实战ssm的程序监控

  现在很多软件的安装程序,在给用户安装软件的同时,还会“默认”安装一些用户不需要的东西(广告/插件等)。一旦你安装了这种软件就同时在不知情之下往硬盘“塞垃圾”。这时,ssm就能发挥拦截作用了。

  ssm默认是未开启程序监控,需要用户自行开启,方法很简单,只要右击系统托盘内软件图标,选择watch app activity(监视应用程序)即可。

  笔者再运行含有广告插件的软件,如“qq自动聊天器”,在安装时除了原程序,ssm提示还有新程序想运行。

  在这里,ssm的程序监控对于程序开启提供五个不同的选择。所对应的快捷按键分别是f1到f5,每项都各有含义:f1是“总是允许”,f2是“总是阻止”,f3是“只允许系统管理员,不包括其他用户”,f4是“只允许这一次”(默认选项),而f5是“只阻止这一次”,而这里自然要按f2或f5。

  之后继续安装,但居然又出现了广告插件,自然使用相同方法将其拦截即可。

  如果是病毒,ssm也同样不含糊:笔者空闲时也喜欢下载电子书看看。但如果下载下来的电子书是夹带了病毒,并且防病毒软件没有检测到怎么办?

  不要紧,还有ssm。前段时间笔者从网下载了exe格式的电子书,打开该电子书后,ssm的程序监控很自然请求用户选择,由于是要看书,所以是选择 f1、f3或f4通过啦,可是令人意外的是,又弹出ssm的警告,还有程序要运行,书打开了,自然是有问题,不管好坏先按下f2或f5阻止运行。

  后经过分析发现原来这本电子书使用了加壳处理,并绑定了病毒,虽然绕过了病毒防火毒,但ssm是从不会让你失望的。

小提示

  点击scan项,可启动杀毒软件对程序进行杀毒。但要注意需要先在ssm中设置好杀毒软件目录,否则,这里会显示locate。杀毒软件设置方法如下:打开system safety monitor - preferences窗口,点击options项,在窗口左侧点击misc,然后在窗口右侧的antivirus中设置即可(见图4)。

图4

2.添加修改应用程序规则

  如果希望针对不同的程序设置不同规则,可以在ssm中进行详细设置。

  第一步:打开system safety monitor - preferences窗口,点击application rules(应用程序规则)标签。

  第二步:这里列出了所有正在运行的程序,然后将rule(规则)默认的allowed(f3)修改为blocked(f2)则会阻止该程序运行。

  第三步:双击程序,可打开针对该程序的高级规则设置窗口,可进一步设置该程序是否能被其他软件所调用或是调用其他软件(见图5)。

图5

小提示 ssm在监控之外

★“黑名单”功能:如果不想别人使用你的msn messenger及outlook express,可以打开system safety monitor - preferences窗口,点击windows标签下的filters项,添加上“msn messenger”(不含引号)及“收件箱 - outlook express”(不含引号)两项,再右击系统托盘ssm图标,勾选filter windows captions(窗口标题过滤)项。

  这样两个程序只要一打开就马上消失掉。你可根据自己的需要将其他程序窗口标题栏填到这里即可。

★导出配置文件:点击system safety monitor - preferences窗口中service标签下的save current config file as备份你的配置文件,以便升级或重装时使用。

http://hackbase.com/tech/2007-03-05/0858.html

0
相关文章