首页
社区
课程
招聘
[旧帖] [推荐]工具:SSM"-还系统一片净地-" [申请邀请码] 0.00雪花
发表于: 2012-10-9 23:44 2449

[旧帖] [推荐]工具:SSM"-还系统一片净地-" [申请邀请码] 0.00雪花

2012-10-9 23:44
2449
一、SSM入门

1、什么是HIPS?
HIPS:Host Intrusion Prevent System 主机入侵防御系统。
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。

2、HIPS原理以及和防火墙的区别
二者但主要区别是:
(1)传统的NIPS网络防火墙只有在你使用网络的时候,通过特定的tcp/ip协议来限定用户访问某一ip地址或者也可以限制互联网用户访问个人用户和服务器终端;
(2)HIPS是限制进程调或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被检测,然后弹出警告,询问用户是否允许运行。

3、SSM(System Safety Monitor) 功能与特色
注册表监视: 高级
基本过程监视: 高级
基本底层磁盘访问控制:有
底层键盘访问控制: 有
NT服务监视: 高级
网络监控:有
启动级别:Ring0
功能的类别:AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系

二、SSM安装

1、版本和下载
免费版有些功能受限,建议使用商业版。
Version:SSM 2.4.0.619 beta
Download:http://dl1.syssafety.com/download/ssm-2.4-beta.exe

2、安装过程
打开 SSM 的安装文件。进行安装向导:指定安装路径,是否需要在桌面建立快捷方式,是否在开始菜单建立文件夹,在复制完文件后安装向导会提示您重新启动计算机。

提醒:需要调整程序用户界面的语言
进入“选项”标签页,在左边的列表里选择“常规”分支,在语言下拉栏里选择您习惯使用的语言(Chinese),最后点击“应用选项”按钮。

3、关于破解
(1)SSM无限期试用补丁
(2)手动锁注册表法

方法二注意:搜索的随机CLSID值——就是以39263为初始值,加上七月初到现在的天数。
如我是十月七号重新安装的2.4版,使用注册表编辑器查找:39263+99=39362 (31+31+30+7=99)

4、初始设置

打开首选项,选中“选项”标签页。
最好选择“自动启动”,已发现有木马可以破坏其规则,前提是没有开启SSM监控。
通常大家对SSM启动弹出的一些系列提示框头疼,选中“自学习模式”,把所有常用的软件运行一遍,会把程序规则自动添加到NORMAL组。再关闭该模式。

三、SSM功能

1、进程监控
2、网络监控
3、注册表监控

当然在“模块”标签页下还有其他很多功能,如钩子——其他大家自己试。
微软定义系统是把硬件和软件是区分开的。但通过钩子可以连接两者。(如键盘钩子和鼠标钩子)
所以查看钩子的调用就可以核实恶意木马,如盗号木马就要调用键盘钩子,而我们常用的截图工具也要调用鼠标钩子。
四、SSM规则

打开“规则”标签页,可以看到具体的设置。下面主要介绍程序和注册表规则。

1、程序规则
程序启动实例
默认为SSM、System、Normal和Blocked组,允许自己添加新的组。
其中:
SSM组是自带的,不能编辑;
Blocked(阻止)组禁用你不想运行的程序;
System(系统)组、Normal(一般)组可以右键“特别权限”具体设置。
选中其中允许编辑的组,右键“Revert to zhe Group settings”,把权限释放到该组下的每一个程序规则。双击Unregisted,进一步设置父子程序规则和操作。

那什么是父程序和子程序是什么?
任何一个大程序均可分解为许多相互独立的小程序段,这些小程序段称为程序模块。可以将其中重复的或者功能相同的程序模块设计成规定格式的独立程序段,这些程序段可提供给其他程序在不同的地方调用,从而可避免编制程序的重复劳动。我们把这种可以多次反复调用的,能完成指定操作功能的特殊程序段称为“子程序”。相对而言就把调用子程序的程序称为“父程序”,把父程序调用子程序的过程称为“调用子程序”。

提醒:一般程序的父程序都是explore.exe,但是需要看清子程序的相关信息。U盘木马一样需要调用父程序explore.exe。

参考我的程序规则:
(方便管理,Trusted组是我自己添加的,权限要比Normal组来的大)

System组:
Trusted组:
提醒:SSM默认是不允许一般程序的底层磁盘读取的,问什么呢?我们的读写磁盘都是通过XP核心程序,一般程序是不能直接读写的,因为这样有很大的安全隐患,往往是硬盘方面的病毒(如硬盘杀手)。但是QQ程序需要底层磁盘读取,所以就把它添加到Trusted组。对于需要升级的杀毒软件需要选中“允许远程数据修改”。

Normal组:
Blocked组:
讨厌QQ附带的一些服务和进程,直接把它们禁用。

至于关闭系统、挂起线程、物理内存读取等规则大家可以通过网路了解含义。

2、注册表规则
注册表修改实例
(1)默认规则:
其中文件夹上带有“P”的为SSM默认自带的规则,各类服务和Run键的保护已经很好,只需要管理一下其它容易被病毒利用的注册表项或者值就可以了。

(2)添加规则:
“注册表”选项下,右键添加规则——打开注册表对象窗口——左边框新建;
再单击新建的组——右边框新建。

注意:要选中所有子键和子项,需选中“所有子键”;点击复选框“值”,填入“*”。

我比较懒,只把最近流行的映像劫持、无法显示隐藏文件、无法进入安全模式和U盘双击失效等添加到Add组。设置为禁止创建、删除和写入。

大家参考一下别人的:
============================================================================
AutoRun:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

其中一个最容易被修改的注册项,包括CLSID值注册AutoRun和直接按照磁盘的字母(C盘,D盘)来注册AutoRun

Policies:
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies

SafeBoot:
SYSTEM\*ControlSet*\Control\SafeBoot

Network:
很简单,直接在RegWorkShop里面搜索所有带有Network的注册项添加即可

Protocols:
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Classes\Protocols\Filter
HKCR\PROTOCOLS

Extensions:
记得以前很多人这样添加:

HKCR\.aif
HKCR\.exe
HKCR\.http
……

现在只需要2条规则就可以了:
HKCR\.*

HKCU\SOFTWARE\Classes\.*
HKLM\SOFTWARE\Classes\.*
HKLM\Software\Microsoft\Internet explorer\Extensions*

Right Click:
HKCR\*\shellex\ContextMenuHandler
HKCR\*\shell*
HKCR\DRIVE
HKCR\Directory
HKCR\Folder

Security:
这一项是不固定规则的范围的,只要是无法找到合适的组别的规则都可以暂时归类到这里

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKLM\Software\Microsoft\ole
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\System\*ControlSet*\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Ras
HKLM\Software\Clients\Startmenuinternet
HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
HKLM\SAM\SAM
HKLM\SECURITY
============================================================================
新建组:AutoRun、Policies、SafeBoot、Network、Extensions、Right Click、Security
这个添加注册表规则就比较全面了。

五、SSM备份
规则默认路径:C:\Program Files\System Safety Monitor下的Global.cfg和Global.dat文件。
重装系统后只需覆盖这两个文件,你以前设置的规则就完好的Copy了。可谓一劳永逸~~~

六、SSM实例
引用:
其实,只要你会用、善用SSM,在你眼里,这些NB病毒、木马都是小菜一碟!

SSM“-还系统一片净地-”

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (21)
雪    币: 221
活跃值: (2301)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
不能下载...
2012-10-10 14:29
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
你指的是我发的网址吗?
2012-10-11 11:52
0
雪    币: 248
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
看上去挺给力的 不过应该比较麻烦 还是算了 良好的习惯比什么都重要 。
2012-10-11 15:00
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
其实也就那么回事,比起加密解密来。这个更简单点
2012-10-11 20:45
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
没人顶这帖子吗
2012-10-14 15:50
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
大哥哥 大姐姐们 帮我一下吧,临时会员很悲催啊
2012-10-15 20:49
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
帮我顶上去吧
2012-10-19 13:12
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
看样子这篇文章没什么杀伤力,
2012-10-21 11:07
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
给力点吧,大神们。
2012-10-24 21:27
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
还差7个KX啊
2012-10-27 10:43
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
下载失效 楼主辛苦了
2012-10-27 12:58
0
雪    币: 18
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
SSM已经终止开发了,最后版本为2.4.0.622 Beta
最终注册KEY(官方最后放出的)
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楼主的文章全部是复制的,连自己试试都没有。

下载地址比较难找,CSDN上有些是带毒的。

原版的:
SHA1:2969EA26C1456EBF857EC68F65AA41F739E50DD8
MD5:8B0879140ACE2E46F4C1800D083404D2

官方有中文包(不完整)。
2012-11-13 00:17
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
麦田守望者相关简介地址:http://www.2000xg.com/article.asp?id=401
System Safety Monitor(SSM)终极破解(图文):http://www.2000xg.com/article.asp?id=402
最终版下载地址:http://dlc2.pconline.com.cn/filedown_43055_6284891/te12d2AK/SSM-2.4.0.622-beta_PConline.exe
免费版下载地址:http://dlc2.pconline.com.cn/filedown_43055_700899/te12d2AK/SSM-2.0.8.585-free.exe
第一,我这里没写原创二字。第二,的确我没有试过。第三,这是复制来的。
标题:是推荐。
有意见可以提,我没什么其它想法。
2012-11-13 17:19
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
感觉如果用hips的话用毛豆还是不错的
2012-11-14 11:09
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
还有什么好的建议的
2012-11-18 16:39
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
真的很难啊.唉,加油转正
2012-11-29 18:38
0
雪    币: 18
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
其实看雪更需要原创的文章 SSM已经太老了 再使用已经没有价值了 楼主还是需要丰富下文章的技术性
2012-11-29 21:19
0
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
看样子不用挂机软件是没有那7个kx啦
2012-12-5 19:05
0
雪    币: 85
活跃值: (37)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
这个必须顶啊,谢谢分享啊。
2012-12-6 17:34
0
雪    币: 7
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
这壳脱得无压力
2013-5-3 10:17
0
雪    币: 21
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
初来报到,感谢楼主提供。
2013-5-17 13:56
0
游客
登录 | 注册 方可回帖
返回
//