1. 首页
  2. 安全技术
  3. 系统安全
  4. System Safety Monitor

System Safety Monitor

上传者: 2019-03-28 19:13:36上传 RAR文件 5.96MB 热度 60次
隐蔽性较高、插入正常进程运行的木马/后门越来越多。遇到这类木马,有时用杀软也不能立即搞掂。怎么办?! _. m% B: \: t) O& M! {5 u4 u 我的习惯是用SSM解决问题。1 |: u6 W, H& x: i; u) V SSM的全称为:System Safety Monitor,即:系统安全监控器。这个工具已经是“多国语言”版,支持简体中文。0 }' y$ e# s7 }% w9 p5 w SSM的使用确实比PG稍复杂些,但还算一个简单、易用的工具。如果你的IQ高于正常人,半天就能学会SSM的使用;如果你的IQ在“普通人”的水平,2-3天也能掌握它;如果你的IQ略低于“普通人”的水平,但还不属于“弱智”,花一周左右的 时间,也能用它解决一些常见的问题了。 ( S! z5 V# r" h, i+ C2 W% [不少人不会(或不善)用SSM解决问题,其实不是其IQ偏低,而是“懒惰成性”,总是指望用杀软一下就将木马灭掉。这个帖子不是给这类人看的,我也不打算与这类人辩论“杀软是干什么的”、“XX杀软是否垃圾”、“如何向杀软商索赔”等问题。如果你将SSM理解为“运行后就能杀死那些该死的病毒/木马”的工具,那么,您就大错特错了。SSM根本就不是杀软!对于那些不愿意自己动手的的人,这个工具基本没用。还是早早卸载了好。% o3 `+ Z8 f( F8 z a3 u. W, p1 F 下面,以一个较隐蔽的后门为例,说明用SSM搞掂它的具体过程。# I7 M$ _2 _7 n$ @0 T0 M% j% h 这个后门运行后,SSM并不能发现其文件创建、注册表改动等行为。但是,SSM的进程列表中可发现异常的浏览器进程和异常DLL模块加载(图1)。我用OPERA浏览器,但此时,OPERA并未打开。 2 y- G/ g2 y' }遇到这类怪事,应追究具体原因。: s8 c1 t3 S8 s9 t6 e+ ` 右击这个DLL,查看其“属性”(图2)——更加可疑(正常的文件都有“版本”标签,而它没有!);文件创建日期也是最近的。 , K0 [2 Z) J- G6 v' p5 h右击SSM“规则”面板,自己添加一条规则,禁止这个DLL加载运行。; \3 Q& f3 X a2 d4 o 添加上述规则时,意外发现同一路径下还有一个server.exe文件(图3),创建日期与上面那个DLL相同。再添加一条规则,禁止server.exe加载运行。 8 g9 U ?; x/ @6 d; I- D( t规则添加完后,务必点击面板下方的“应用设定”(图4)。否则,你就瞎忙活了! ' m/ u; R2 o7 g3 g) m5 c- R1 _还要核实一下图5所示的复选框是否勾选了(需勾选)。 w# K7 X6 A& i3 K 下一步:将SSM设置为“自动启动”(图6),也就是“系统启动时,SSM自动加载运行”。* Z4 Y8 [7 \1 H6 P6 A, D 最后,重启系统,这个后门就被废掉了。尽管后门的.exe、.dll文件还未删除,注册表项也未清理;但只要你的SSM能随系统启动加载运行,这个后门已经没用了。 , X: L; k9 V' `* i" l7 K至此,只剩下了打扫垃圾的问题了。自己清扫一下,就全部搞掂了。 时间,也能用它解决一些常见的问题了。 ( S! z5 V# r" h, i+ C2 W% [不少人不会(或不善)用SSM解决问题,其实不是其IQ偏低,而是“懒惰成性”,总是指望用杀软一下就将木马灭掉。这个帖子不是给这类人看的,我也不打算与这类人辩论“杀软是干什么的”、“XX杀软是否垃圾”、“如何向杀软商索赔”等问题。如果你将SSM理解为“运行后就能杀死那些该死的病毒/木马”的工具,那么,您就大错特错了。SSM根本就不是杀软!对于那些不愿意自己动手的的人,这个工具基本没用。还是早早卸载了好。% o3 `+ Z8 f( F8 z a3 u. W, p1 F 下面,以一个较隐蔽的后门为例,说明用SSM搞掂它的具体过程。# I7 M$ _2 _7 n$ @0 T0 M% j% h 这个后门运行后,SSM并不能发现其文件创建、注册表改动等行为。但是,SSM的进程列表中可发现异常的浏览器进程和异常DLL模块加载(图1)。我用OPERA浏览器,但此时,OPERA并未打开。 2 y- G/ g2 y' }遇到这类怪事,应追究具体原因。: s8 c1 t3 S8 s9 t6 e+ ` 右击这个DLL,查看其“属性”(图2)——更加可疑(正常的文件都有“版本”标签,而它没有!);文件创建日期也是最近的。 , K0 [2 Z) J- G6 v' p5 h右击SSM“规则”面板,自己添加一条规则,禁止这个DLL加载运行。; \3 Q& f3 X a2 d4 o 添加上述规则时,意外发现同一路径下还有一个server.exe文件(图3),创建日期与上面那个DLL相同。再添加一条规则,禁止server.exe加载运行。 8 g9 U ?; x/ @6 d; I- D( t规则添加完后,务必点击面板下方的“应用设定”(图4)。否则,你就瞎忙活了! ' m/ u; R2 o7 g3 g) m5 c- R1 _还要核实一下图5所示的复选框是否勾选了(需勾选)。 w# K7 X6 A& i3 K 下一步:将SSM设置为“自动启动”(图6),也就是“系统启动时,SSM自动加载运行”。* Z4 Y8 [7 \1 H6 P6 A, D 最后,重启系统,这个后门就被废掉了。尽管后门的.exe、.dll文件还未删除,注册表项也未清理;但只要你的SSM能随系统启动加载运行,这个后门已经没用了。 , X: L; k9 V' `* i" l7 K至此,只剩下了打扫垃圾的问题了。自己清扫一下,就全部搞掂了。
用户评论
码姐姐匿名网友 2019-03-28 19:13:36

英文版的,还好有使用视频教程,感谢分享,学习中......