丢掉杀毒软件

丢掉杀毒软件，和我一起拥抱SSM！ 如果我告诉你有一个软件占用系统资源极低，你几乎感觉不到他的存在，比杀毒软件更能让你的电脑远离病毒，你会愿意使用吗？ 天要向大家推荐一款软件System Safety Monitor，他不是杀毒软件，但胜似杀毒软件。经常有去黑客客论坛潜水的都知道，现在免杀过KAV2009过瑞星过主动的木马太多太多了。杀毒软件在他们的面前总是显得那么苍白无力。希望大家耐心的看完全文，你会发现有了他，你完全可以抛弃传统的反病毒软件。 我提到System Safety Monitor（以下简称SSM）和杀毒软件、反流氓软件工具的原理不同，那么不同之处在哪里，它又是如何防范病毒和流氓软件的呢？我们都知道，杀毒软件是通过对系统中的文件进行特征码比对来确认病毒的，这时病毒已经存在于系统中了，我们做的一切都是补救措施。虽然杀毒软件的病毒防火墙能够在我们运行病毒之前将其阻止，但是病毒防火墙是依赖于杀毒软件的病毒库的，杀毒软件不能检测到所有病毒，当然病毒防火墙也不可能拦截到所有病毒。这就是杀毒软件的缺点，对于新病毒没有抵御能力。反流氓软件工具同样如此，目前反流氓软件工具还不具备防御能力，或者说很不完善，其查杀流氓软件的原理类似杀毒软件的后期补救。 而SSM的原理则完全不同。SSM不具备查毒能力，也不具备反流氓软件功能，任何一种病毒在其面前，它都会无动于衷。但是当我们运行病毒的时候，SSM会马上弹出警告对话框，但不是告诉你这是病毒，而是这个病毒想在系统中干什么。这就是SSM和杀毒软件的不同之处，SSM会调整程序性能并控制它们对本地资源的存取，主要是针对操作系统内部的存取管理。简单地说，就是病毒和流氓软件无论怎么不择手段，都必须对系统的本地资源进行修改，而SSM则会监视系统的本地资源，因此任何病毒和流氓软件都无法躲过SSM的监视。在这层意义上我们可将SSM称为系统防火墙。SSM不仅可以起到安全防范的作用，也能够用来调试程序，了解程序的运行原理。 在操作系统的环境下，任何一个程序都是各种代码的集合体，启动的时候，向操作系统申请资源，然后做各种不同的动作。所有的软件都要这样，只是细节上有点差别。 病毒和木马也是一样的道理，不管如何，它需要运行，需要安装，需要执行。比如我们安装一个软件的时候，一些站点或者共享软件作者在安装程序里偷偷捆绑上其它软件（目前大多数流氓软件是通过这个途径传播的），或者我们上网的时候，通过浏览器或者操作系统的漏洞，偷偷下载一些软件，然后执行，结果就中招了。假定我们能知道所有Windows系统的运行程序的过程以及观察进程的各种动作，不就可以断绝一切非法操作了？Windows对大多数用户来说，还是一个黑匣了，一个神秘的东西，除了一些专业人员，很少有人知道那些进程，那些软件是什么意思。那么对于普通用户，就一点办法没有了吗？答案就是：SSM。 System Safety Monitor简称SSM，是专门针对有害程序及间谍程序等的 Windows 防护软件范畴， 却并非反病毒软件，它并不提供针对特定有害程序的查找及移除特性，也不提供系统遭有害程序破坏后的恢复特性，而是真正的“防患于未然”！我们平常所用的防火墙如天网，Windows自带的防火墙，它 可监控网络流量并选择性地阻止某些程序对网络资源的存取，而 SSM 可调整程序性能并控制它们对本地资源的存取，在这层意义上我们可将 SSM 称为系统防火墙。 而我们最依赖的杀毒软件如瑞星，金山，卡巴斯基，它们的原理基本都是不停地升级特征码，然后根据这个特征码来判断文件是否是病毒，所以理论上来说，杀毒软件是跟着病毒跑，永远需要不停地升级，可能也正因为这个原因，各大升毒软件厂商最希望看到这种现象，可以慢慢坐着收钱。 我来来看看SSM能做什么： 功能特性： 　　1.控制机器上哪些程序是允许执行的，当待运行程序被修改时，会报警提示； 　　2.针对合法的程序建立规则，不会每次提示； 　　3.通过CRC32或者MD5等校验所有可执行文件的变动，再也不怕系统文件被非法修改而不知； 　　4.控制“DLL注入”以及键盘记录机对特定系统的调用； 　　5.控制驱动程序的安装（包括非传统方式的驱动型漏洞－Rootkits）； 　　6.控制诸如存取 "\Device\PhysicalMemory"对象这类底层活动； 　　7.阻止未经认可的代码注入，从而使任何程序都无法插入到合法的程序中以进行有害的活动； 　　8.控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动，如：您可以控制您的浏览器不被除Explorer.EXE以外的任何非可信程序启动； 　　9.在双模式中任选其一，用户模式或管理员模式：管理员模式可设定首选项并加以密码保护防止被更改，而用户模式不能更改任何设定； 　　10.监控安装新程序时注册表重要分支键的更改，受保护的注册表分支键被尝试更改时将阻止或报警； 　　11.管理自启动项目、当前进程等，另外提供了服务保护模块，用以监视已安装的系统服务，当新的服务被添加时，会报警提示； 　　12.实时监视 "启动菜单"、"启动INI文件分支"，以及IE设定等（包括BHO-所谓的浏览器辅助对象，一般都是广告程序、间谍程序等垃圾）； 　　13.通过标黑名单过滤器阻止打开指定的窗口或者网页； 　　14.支持外挂任一调试器、反病毒软件等，且该软件的扩展功能均采用外挂插件形式实现，因此极易得到丰富的扩充； 　　15.本身作为服务加载，通过配置、修改可以实现隐秘的进程反杀能力。 软件运行之后，会出一个漂亮的绿色的LOGO闪屏： 然后就缩小到窗口的最右下角，双击打开： 1、更改界面语言 　　 默认语言界面是英文，为了习惯也为了便于理解，我们先要把界面改为简体中文的： 很简单的操作，现在看着，是不是舒服和熟悉一点了？ 2、为当前所有运行的程序添加可信任的规则 　　Windows在启动之后，会有很多后台的服务进程启动，我们要为这些进程添加规则，相当于是信任这些程序，以后就不会再询问了。当然，这时的前题是你的机器本身没有中招，没有可疑的程序已经运行了，这个时候，可以把一些不必要的程序都先关了： 切换“进程监控器”，然后在进程处点右键，从弹出的菜单中选择“信任所有运行中的进程”便可。点完之后，我们可以换到‘规则“的选项中，看一下SSM自动建立的规则。对于一般用户来说，这个自动建议的规则已经可以适用绝大部分情况了。至于进程的高级控制部分，我们以后会专门描述。 3、设置系统日志 　　SSM提供了强大的日志功能，几乎进程做的绝大部分动作都可以记下来，下面切换到“选项”——“日志”： 要选中”启用”，以及“程序启动”，“设置全局挂钩”，“加载驱动”，“模块”，“显示程序日志窗口”等，如果比较熟悉这些，可以根据需要，自己选择。 4、开始启用SSM控制 　　上面的操作完了之后，已经为当前运行的程序添加了规则，但SSM实际上还没有工作，我们要把它启用。切换到“规则”窗口 点击那个下拉的小三角箭头，然后选择“启动所有规则”，再点一下那个“应用设定”，关闭窗口便可，基本设置就完了，应该还是挺简单的吧？下面我们来看看具体的效果。 四、功能测试 1、启动未知的进程 　　如果这个时候，运行一个未知的程序，就会弹出一个窗口，可以显示程序的各种参数，然后让用户确认，比如现在我们打开IE浏览器（假定刚才上面第2步的时候没有为IE设置规则，当然你可以任意选择一个刚才没有运行的程序）： 解释一下几个含义： 　　父进程：是谁启动了这个进程，这里是Exploere.exe，也就是资源管理器。有时我们看到突然弹出一个广告窗口，就可以通过这个办法来观察是哪个进程弹的广告，然后再想办法清除。 　　子级进程：当前要启动的程序，即要执行的程序。 　　允许：只允许这一次运行，下一次还会继续提示。 　　阻止：只阻止这一次运行，下一次还会继续提示。 　　创建此规则的永久性规则：针对上面的这个允许或者阻止操作，比如这个IE，我们不可能每次都去点允许，那个太烦了。选择之个之后，就会自动增加一个规则，以后就照这个规则来处理，不会每次提问。 　　技术信息：执行进程ID，以及进程的路径，参数等。这样你可以知道哪个程序要运行，然后决定它是否是合法的，有用的。 2、拦截移动硬盘U盘的Autorun病毒 　　现在用移动硬盘或者U盘的越来越多，也很普遍，但是经常我们不知不觉就在传染着病毒，它主要利用了Windows提供的根目录下的autorun.inf这个文件的特性，它就是指定了一个可执行的命令，因为是自动运行，隐蔽性很强。一般因为是熟人拿过来或者是同事同学之类的，根本防不胜防（天知道这个时候，那些杀毒软件在干嘛，大部分时候都查不到的）。下面就做这一个测试，把有毒的U盘挺入，马上跳出来一个提示： 父进程rundll32.exe是一个Windows的合法程序，但是每多病毒都是通过它加载的，强烈建议不要为它设定永久性允许规则！它要运行一个H:\setup.pif这个进程，一看就是一个可疑的，点“阻止”，中止它的运行。再打开U盘，显示一下隐藏文件，果然有一个autorun.inf文件和setup.pif文件，经检查，就是一个隐藏的病毒。 3、恶意篡改主页 　　在我的BLOG中，针对飘雪/飞雪/MY123之类专门修改IE浏览器首页的，相信大家也记忆深刻，恨之入骨。当然，SSM也提供了对所有注册表敏感键值的保护，下面我们做一个测试，比如现在中了一个BHO的插件，因为没有单独的进程，它是利用IE来修改首页的，马上SSM就拦截了： 这个时候，我们就可以点阻止，来拒绝对这个注册表健值的更改，成功地保护了系统首页。 4、恶意捆绑软件测试 　　常常最头疼的，就是网上下载的软件，被捆绑了许多恶意插件，用的时候，一不小心就是中上了，无论你再小心都不行，象卖拐中的那句：防不甚防啊！我现在装所有的软件的时候，都会把SSM打开，除非是一些绝对信任的。做这一个测试，是有风险的，直接在自己机器上装病毒（有时想找这类软件，还不容易，晕）： 　　这个程序运行的时候，首先释放到temp目录下，然后写自启动，让机器下次自动启动： 接下来运行另外一个流氓软件安装： 接下来再运行一个安装： 接下来。。。一共点了七八次，其实根本就是一个病毒软件包，捆绑了七八个恶意软件，如果没有SSM，那后果就是很惨.....看到光标不停地闪，机器就得非常慢，然后广告窗口接二离三地弹出来——相信这个遭遇很多人都遇到过。 SSM的上述强大功能为木马流氓软件防范乃至整个系统的全面监控提供了绝佳的解决，使用上来说，稍微难了一点，但是对于普通用户，也是可以使用的。 　 　如果不知道进程，软件什么的，提供的一个原则就是：看那个软件位于TEMP目录下，或者突然运行了，就点“阻止”。如果这时你发觉有一个正常的程序不能运行了，再运行一次，点允许就是了。而且一般如果不上网，或者系统没有其它变动，可以不运行SSM。SSM的系统占用非常少，这点跟那些杀毒软件比起来，可以忽略不计，也是我非常推荐的一个原因。 我自己在病毒流氓软件的时候，SSM是必备的。平常机器上，也只装一个SSM，其它什么杀毒，防火墙通通不要。在我的试验中，无论是木马，流氓软件，病毒，键盘记录机等对自己的机器进行攻防实训，均被其成功截获,这是一款你找不出缺点的软件。 以上内容大多都是从网上找来的资料重整编辑的，这上面讲到的只是SSM的一部份功能，还有很多功能没有讲到，比如为所有系统进程建立MD5值库，当有病毒想插入某系统进程时SMM就会予以拦截，玩过木马的朋友都知道很多木马的穿透防火墙都是靠插入进程实现的。 同时再向大家强烈推荐一款浏览器（360安全浏览器），360的东西我一直都不太喜欢，他的安全卫士我一直视为鸡助，但360安全浏览器的创新沙箱技术是有目共睹的，“360沙箱”，使所有网页程序都密闭在此空间内运行。因此，网页上任何木马、病毒、恶意程序的攻击都会被限制在“360沙箱”中，无法对真实的计算机系统产生破坏。 PS：强烈推荐SSM+360浏览器，你将可以彻底扔掉杀毒软件。我使用这个组合已经四个月左右了，系统依然很健康。 注：本贴载自深度技术网，请慎重试用！