一、SSM入门
1、什么是HIPS?
HIPS:Host Intrusion Prevent System 主机入侵防御系统。
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。
2、HIPS原理以及和防火墙的区别
二者但主要区别是:
(1)传统的NIPS网络防火墙只有在你使用网络的时候,通过特定的tcp/ip协议来限定用户访问某一ip地址或者也可以限制互联网用户访问个人用户和服务器终端;
(2)HIPS是限制进程调或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被检测,然后弹出警告,询问用户是否允许运行。
3、SSM(System Safety Monitor) 功能与特色
注册表监视: 高级
基本过程监视: 高级
基本底层磁盘访问控制:有
底层键盘访问控制: 有
NT服务监视: 高级
网络监控:有
启动级别:Ring0
功能的类别:AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系
二、SSM安装
1、版本和下载
免费版有些功能受限,建议使用商业版。
Version:SSM 2.4.0.619 beta
Download:http://dl1.syssafety.com/download/ssm-2.4-beta.exe
2、安装过程
打开 SSM 的安装文件。进行安装向导:指定安装路径,是否需要在桌面建立快捷方式,是否在开始菜单建立文件夹,在复制完文件后安装向导会提示您重新启动计算机。
提醒:需要调整程序用户界面的语言
进入“选项”标签页,在左边的列表里选择“常规”分支,在语言下拉栏里选择您习惯使用的语言(Chinese),最后点击“应用选项”按钮。
3、关于破解
(1)SSM无限期试用补丁
(2)手动锁注册表法
方法二注意:搜索的随机CLSID值——就是以39263为初始值,加上七月初到现在的天数。
如我是十月七号重新安装的2.4版,使用注册表编辑器查找:39263+99=39362 (31+31+30+7=99)
4、初始设置
打开首选项,选中“选项”标签页。
最好选择“自动启动”,已发现有木马可以破坏其规则,前提是没有开启SSM监控。
通常大家对SSM启动弹出的一些系列提示框头疼,选中“自学习模式”,把所有常用的软件运行一遍,会把程序规则自动添加到NORMAL组。再关闭该模式。
三、SSM功能
1、进程监控
2、网络监控
3、注册表监控
当然在“模块”标签页下还有其他很多功能,如钩子——其他大家自己试。
微软定义系统是把硬件和软件是区分开的。但通过钩子可以连接两者。(如键盘钩子和鼠标钩子)
所以查看钩子的调用就可以核实恶意木马,如盗号木马就要调用键盘钩子,而我们常用的截图工具也要调用鼠标钩子。
四、SSM规则
打开“规则”标签页,可以看到具体的设置。下面主要介绍程序和注册表规则。
1、程序规则
程序启动实例
默认为SSM、System、Normal和Blocked组,允许自己添加新的组。
其中:
SSM组是自带的,不能编辑;
Blocked(阻止)组禁用你不想运行的程序;
System(系统)组、Normal(一般)组可以右键“特别权限”具体设置。
选中其中允许编辑的组,右键“Revert to zhe Group settings”,把权限释放到该组下的每一个程序规则。双击Unregisted,进一步设置父子程序规则和操作。
那什么是父程序和子程序是什么?
任何一个大程序均可分解为许多相互独立的小程序段,这些小程序段称为程序模块。可以将其中重复的或者功能相同的程序模块设计成规定格式的独立程序段,这些程序段可提供给其他程序在不同的地方调用,从而可避免编制程序的重复劳动。我们把这种可以多次反复调用的,能完成指定操作功能的特殊程序段称为“子程序”。相对而言就把调用子程序的程序称为“父程序”,把父程序调用子程序的过程称为“调用子程序”。
提醒:一般程序的父程序都是explore.exe,但是需要看清子程序的相关信息。U盘木马一样需要调用父程序explore.exe。
参考我的程序规则:
(方便管理,Trusted组是我自己添加的,权限要比Normal组来的大)
System组:
Trusted组:
提醒:SSM默认是不允许一般程序的底层磁盘读取的,问什么呢?我们的读写磁盘都是通过XP核心程序,一般程序是不能直接读写的,因为这样有很大的安全隐患,往往是硬盘方面的病毒(如硬盘杀手)。但是QQ程序需要底层磁盘读取,所以就把它添加到Trusted组。对于需要升级的杀毒软件需要选中“允许远程数据修改”。
Normal组:
Blocked组:
讨厌QQ附带的一些服务和进程,直接把它们禁用。
至于关闭系统、挂起线程、物理内存读取等规则大家可以通过网路了解含义。
2、注册表规则
注册表修改实例
(1)默认规则:
其中文件夹上带有“P”的为SSM默认自带的规则,各类服务和Run键的保护已经很好,只需要管理一下其它容易被病毒利用的注册表项或者值就可以了。
(2)添加规则:
“注册表”选项下,右键添加规则——打开注册表对象窗口——左边框新建;
再单击新建的组——右边框新建。
注意:要选中所有子键和子项,需选中“所有子键”;点击复选框“值”,填入“*”。
我比较懒,只把最近流行的映像劫持、无法显示隐藏文件、无法进入安全模式和U盘双击失效等添加到Add组。设置为禁止创建、删除和写入。
大家参考一下别人的:
============================================================================
AutoRun:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
其中一个最容易被修改的注册项,包括CLSID值注册AutoRun和直接按照磁盘的字母(C盘,D盘)来注册AutoRun
Policies:
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies
SafeBoot:
SYSTEM\*ControlSet*\Control\SafeBoot
Network:
很简单,直接在RegWorkShop里面搜索所有带有Network的注册项添加即可
Protocols:
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Classes\Protocols\Filter
HKCR\PROTOCOLS
Extensions:
记得以前很多人这样添加:
HKCR\.aif
HKCR\.exe
HKCR\.http
……
现在只需要2条规则就可以了:
HKCR\.*
HKCU\SOFTWARE\Classes\.*
HKLM\SOFTWARE\Classes\.*
HKLM\Software\Microsoft\Internet explorer\Extensions*
Right Click:
HKCR\*\shellex\ContextMenuHandler
HKCR\*\shell*
HKCR\DRIVE
HKCR\Directory
HKCR\Folder
Security:
这一项是不固定规则的范围的,只要是无法找到合适的组别的规则都可以暂时归类到这里
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKLM\Software\Microsoft\ole
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\System\*ControlSet*\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Ras
HKLM\Software\Clients\Startmenuinternet
HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
HKLM\SAM\SAM
HKLM\SECURITY
============================================================================
新建组:AutoRun、Policies、SafeBoot、Network、Extensions、Right Click、Security
这个添加注册表规则就比较全面了。
五、SSM备份
规则默认路径:C:\Program Files\System Safety Monitor下的Global.cfg和Global.dat文件。
重装系统后只需覆盖这两个文件,你以前设置的规则就完好的Copy了。可谓一劳永逸~~~
六、SSM实例
引用:
其实,只要你会用、善用SSM,在你眼里,这些NB病毒、木马都是小菜一碟!
SSM“-还系统一片净地-”
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!